Segurana da Informao

Autor:
Daiara Normanda de Souza Ferreira

Tudo pela Segurana da Informao

Em todas as fases da evoluo corporativa, fato que as transaes de toda a cadeia de produo passando pelos fornecedores, fabricantes, distribuidores e consumidores - sempre teve na Informao uma base fundamental de relacionamento e coexistncia. Quer seja como princpio para troca de mercadorias, segredos estratgicos, regras de mercado, dados operacionais, quer seja simplesmente resultado de pesquisas, a informao, aliada crescente complexidade do mercado, forte concorrncia e velocidade imposta pela modernizao das relaes corporativas, elevou seu posto na pirmide estratgica do executivo, tornando-se fator vital para seu sucesso ou fracasso. Ao lado dessas variveis de mercado, a tecnologia, por meio de instrumentos e solues sofisticadas, preparadas para atender qualquer demanda do mercado, transformou-se na principal mola propulsora dessa nova face da informao dentro das corporaes, sob o nome j clssico de tecnologia da informao (TI). Descentralizao de informaes para compartilhamento em redes, necessidade de interligao de parceiros de negcios, acesso rpido, atualizao constante de base de dados, integrao de unidades de negcios e colaboradores internos, disponibilidade ao cliente etc. Para completar, tudo isso envolvido em uma grande malha digital em constante expanso, a Internet. Essas so apenas algumas das partes de um cenrio que transformou a informao na principal moeda corrente do mundo corporativo, das transaes de automao bancria ao mercado financeiro, do controle de estoque ao comrcio eletrnico. No entanto, da mesma forma que essa mudana de paradigma apresenta constantes oportunidades, com espao para se criar e ousar sobre novos caminhos, acaba tambm por se tornar um ambiente muitas vezes hostilizado, altamente visado por aes ilcitas e invariavelmente desprovido de instrumentos para combater e lidar com essas ocorrncias. Um caminho sem volta No h como voltar atrs. Qualquer companhia, desde a pequena empresa com dois ou trs PCs, at uma complexa organizao com atuao em diversos pases, sabe que em maior ou menor grau a tecnologia essencial para seu negcio. E justamente por ser vital, que esse bem no palpvel traz consigo uma necessidade bsica: segurana. Envolvida pelos ativos fsicos, tecnolgicos e humanos da empresa, cabe ressaltar que a informao hoje influenciada por trs propriedades centrais: confidencialidade, disponibilidade e integridade. Basicamente, a primeira se refere certeza de que aquele dado recebido foi realmente enviado por quem o assina, totalmente protegido e sem vazamento de seu contedo. A segunda propriedade est relacionada ao acesso informao quando necessrias sua fcil localizao e conseqente disseminao. Enfim, a integridade diz respeito garantia de que aquela informao no foi alvo de qualquer tipo de fraude. V-se que o desafio no to simples. Pela prpria natureza, embora muitas empresas de TI estejam se esforando para mudar essa realidade, a segurana da informao reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existncia de um problema (vrus, fraude, invaso etc), para

depois encontrar sua soluo (vacina, investigao, correo de vulnerabilidades etc). Para muitos, esse cenrio pode causar pnico. Afinal, primeiro eleva-se a informao ao patamar mais crtico da empresa, tornando-a pea principal do jogo. Em seguida, v-se que esse dado, pela forma e processo com que disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu testar programas hackers disponibilizados na prpria Internet ou, em casos piores, usurpado por funcionrios e passado para a concorrncia ou ainda simplesmente causando danos financeiros empresa. Mas j h prticas e solues tecnolgicas suficientemente eficientes para comprovar que a digitalizao das transaes corporativas no transformou os negcios em uma "terra de ningum". Embora reconheam que afirmar ser 100% seguro algo precipitado e arriscado, especialistas de segurana apontam que educao profissional, processos e tecnologia formam um trip resistente no combate ao crime eletrnico. Pesquisas mostram que aumentam os investimentos na proteo dos dados. A segurana o maior desafio das solues em Tecnologia da Informao (TI) para o sistema financeiro. Segundo pesquisa apresentada pela Federao Brasileira dos Bancos (Febraban), dos US$ 2 bilhes ao ano de investimentos destinados atualizao tecnolgica, 80% est direta ou indiretamente relacionado com a proteo das informaes do sistema. A International Data Center (IDC) Brasil divulgou que os bancos e seguradoras de mdio e grande porte devem aumentar em 30% seus oramentos na rea de segurana. Dados da 15 Pesquisa da Escola de Administrao de So Paulo (Eaesp) em conjunto com a Fundao Getlio Vargas de So Paulo (FGV-SP) mostra que os bancos so as instituies que mais investem em tecnologia. Enquanto a mdia do setor de servios investe cerca de 7% da receita em TI, os bancos investem 10,4%, e possuem uma curva de crescimento mais acentuada. Sem falar que estimativas de mercado apontam que somente o segmento financeiro deve desembolsar R$ 11,5 bilhes em investimentos e custeio com TI ao ano. Outras pesquisas mostram que, em 2002, cerca de 1% a 3% das verbas de TI eram destinadas segurana. Hoje, este nmero est em torno de 15% a 17%. De acordo com a IDC, o volume de negcios no Brasil dever chegar a U$ 347 milhes, envolvendo todos os segmentos - produtos, software e servios de consultoria -, representando 55% do mercado latino-americano e crescendo a taxas de 23% ao ano. Em 2006, esses volumes alcanam cifras acima de U$ 500 milhes/ano. Outro fenmeno que tem sido observado a concentrao dos servios de segurana pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritria das grandes corporaes e governos de moverem-se em direo a fornecedores slidos, que possam atender com flexibilidade, inteligncia e rapidez as demandas tanto de curto quanto de longo prazo, elevando a importncia dos fatores de tica profissional, confiabilidade e independncia, posicionando-se para o gestor como o "security advisor corporativo". Mas as experincias corporativas demonstraram que no s de software que se constri uma muralha resistente crescente variedade de ameaas, falhas e riscos. preciso que as aes corporativas sejam direcionadas por um Plano Diretor de Segurana, de forma que possam estar

frente de determinadas situaes de emergncia e risco, uma postura mais pr-ativa que reativa. Esse plano ser responsvel por verificar se a corporao est destinando verba suficiente para manter o nvel de segurana alinhado com as expectativas de negcios. Tambm apontar se as vulnerabilidades so de fato corrigidas ou se h uma falsa sensao de segurana. muito comum haver grande disparidade entre o cenrio que se pensa ter e aquilo que realmente ele . De forma mais ampla, esse plano deve considerar questes estratgicas, tticas e operacionais de negcios, atrelando-as a trs tipos bsicos de risco: humano, tecnolgico e fsico. Ao longo desse curso ser abordada cada uma dessas variveis, desde os tipos mais tradicionais de vrus que se disseminam pela rede, at as portas mais vulnerveis da empresa, passando pelo monitoramento de sua rede, seus profissionais, solues de TI, gesto, polticas de segurana etc.

Fontes consultadas:
IDC Brasil Gazeta Mercantil

Bibliografia recomendada:
Gesto de Projetos de Segurana da Informao, Jos Carlos Cordeiro Martins - Compugraf Press

As camadas de segurana
O maior desafio da indstria mundial de software de segurana , e talvez sempre tenha sido, prover solues no espao de tempo mais curto possvel, a partir da descoberta de determinada ameaa ou problema. proporo com que cresce a variedade de instrumentos digitais com a finalidade especfica de se aproveitar de qualquer brecha, falha ou vulnerabilidade de uma corporao, aumenta a malha de solues de segurana, com o intuito de dar uma cobertura cada vez mais forte e resistente para o usurio. Por que um antivrus no suficiente para deter um vrus, sendo que este um dos principais problemas de segurana que ronda qualquer companhia com um mnimo de operao baseada em internet? Simplesmente porque os vrus de computador esto muito longe de ser o nico vilo do crime digital, como tambm no so os mais fceis de barrar, visto o nvel de complexidade que esse tipo de ameaa vem ganhando rapidamente, a cada dia. Mais do que simplesmente proteger a estao de trabalho, o PC do usurio, a companhia tem sua frente a misso de garantir que o correio eletrnico enviado desse mesmo computador passar pelo servidor da empresa, seguir pela internet (ou, em certos casos, por uma rede privada virtual), chegar a um outro servidor, que transmitir a mensagem ao destinatrio com a garantia de que se trata de um contedo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada. Mas antes de tratar da infra-estrutura de tecnologias que compreendem uma rede corporativa, necessrio avaliar, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo desse Programa de Segurana da Informao consiste em realizar o levantamento e a

classificao dos ativos da empresa. Concluda essa primeira fase, preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeioar a sua segurana. O segundo quesito diz respeito a uma Poltica de Segurana, que basicamente estabelece a elaborao de normas e procedimentos dentro da organizao. Esse trabalho normalmente monitorado por um comit especfico, criado com membros interdepartamentais, junto dos quais sero identificados as responsabilidades, o posicionamento do grupo e sua rea de atuao. A infra-estrutura de tecnologias a terceira fase desse planejamento, envolvendo desde aquisio de ferramentas, at configurao e instalao de solues, criao de projetos especficos e recomendaes de uso. Somente ao amarrar todos esses processos, que o executivo de tecnologia parte para a fase de gerenciamento, passando pela anlise de infra-estrutura da companhia, auditoria de processos, testes regulares de ataque a vulnerabilidades, revises e acompanhamento de polticas e tratamento de incidentes.

Por dentro da infra-estrutura

Apresentar um organograma consolidado das ferramentas e solues que compreendem a segurana de uma rede corporativa algo, em certo sentido, at arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaas. No entanto, algumas aplicaes j fazem parte da rotina e do amadurecimento tecnolgico de muitas organizaes que, pela natureza de seus negcios, compreenderam quo crticas so suas operaes. Vamos a elas, de acordo com as suas funes: Antivrus: faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrnico. Basicamente, sua funo est atrelada ponta do processo, isto , ao usurio que envia e recebe dados, mas por vezes pode estar no servidor ou at mesmo em um provedor de servios. Os hackers j no so mais vndalos virtuais. Agora, eles criam vrus e worms que podem viver atrs dos Trojan Horses e que controlam a digitao dos usurios e procuram por informaes sensveis tais como as de cartes de crdito. Balanceamento de carga: estas ferramentas esto relacionadas capacidade de operar de cada servidor da empresa. Elas permitem que, em horrios de grande utilizao da rede, seja determinada a hierarquia do que trafega, bem como o equilbrio da carga disseminada entre os servidores. Vale lembrar que um dos papis da segurana corporativa garantir a disponibilidade da informao, algo que pode ser comprometido se no houver acompanhamento preciso da capacidade de processamento da empresa. Firewall: atua como barreiras e cumpre a funo de controlar os acessos. So solues que, uma vez estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa. Muitas vezes, recomenda-se a adoo do firewall para separar a intranet da companhia de seus clientes externos ou de servidores e servios pblicos. Basicamente, o firewall um software, mas tambm pode incorporar um hardware especializado. Como se baseia em uma anlise binria para fazer a filtragem de dados, o firewall opera da mesma maneira, sem considerar variveis externas.

Assim, vital que se estabelea uma atualizao constante de regras de filtragem para obter uma melhor performance. Detector de Intruso (IDS): ferramenta com funo de monitorar o trfego contnuo da rede, identificando ataques que estejam em execuo. Como complemento do firewall, o Intrusion Detection System se baseia em dados dinmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, cdigos de ataque etc. Varredura de vulnerabilidades: produtos que permitem corporao realizar verificaes regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores. O objetivo dessas ferramentas encontrar brechas de sistemas ou configuraes. Rede Virtual Privada (VPN): uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs so canais tunelados, fechados, utilizados para trafegar dados criptografados entre divises de uma mesma companhia, parceiros de negcios etc. Criptografia: utilizada para garantir a confidencialidade das informaes. Trata-se de uma codificao, uma cifragem que usa um processo de decifrao para restaurar os dados ao seu formato original. As chaves criptogrficas podem ser simtricas (privada) ou assimtricas (pblica). Autenticao: processo de identificao de pessoas, para disponibilizar acesso. A autenticao e conseqente autorizao de manipulao dos dados se baseiam em algo que o indivduo sabe (uma senha, por exemplo), com algo que ele tem (dispositivos como tokens, cartes inteligentes, certificados digitais etc); e que ele (leitura de ris, linhas das mos etc). Integradores: permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operaes da companhia. Mais que uma soluo, trata-se de um conceito. Alis, que tem sido oferecido pela maior parte dos fornecedores de softwares de segurana. Pesquisas de mercado apontam que a falta de integrao de produtos est entre as principais queixas de usurios quando o assunto Segurana da Informao. Sistemas de anti-spam: eliminam a maioria dos e-mails no socilitados. Software de Backup: So programas para realizar cpias dos dados para que, em alguma situao de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuper-los Pela complexidade de cada uma das etapas que compreende um projeto de segurana, especialistas recomendam que a empresa desenvolva a implementao se baseando em projetos independentes. Uma vez que a companhia tenha completado o processo, entende-se que ela est pronta para gerenciar seu funcionamento. Anlise de logs das ferramentas, backup de base de dados, auditoria, manuteno e atualizao constante das ferramentas so os prximos passos.

Fontes consultadas:
Ivan Semkovski, CPM Rodrigo Polydoro Oliva, E-trust Delloitte Consulting

Bibliografia recomendada:
Segurana.com - Segredos e Mentiras sobre a proteo na vida digital

Bruce Schneier - Editora Campus

Segurana da Informao com selo de qualidade

Estabelecer procedimentos em transaes corporativas, operar por meio de regras de acesso e restries, criar hierarquias de responsabilidades, mtodos de reao a eventuais falhas ou vulnerabilidades e, acima de tudo, ter um padro no que se refere segurana da companhia. Entre outras, so essas as razes que culminaram, h alguns anos, na criao de sistemas de proteo corporativa. Em 1995, a linguagem dos negcios utilizada na gesto de segurana chamou a ateno do British Standard Institute (BSi), entidade emissora de normas e procedimentos com mais de cem anos de histria. A digitalizao dos negcios promovida pela Internet e a expanso do comrcio exterior levaram o BSi a perceber um aumento na complexidade das relaes comerciais e a conseqente necessidade de se estabelecer um "padro de qualidade" para a rea de segurana. A anlise deu origem chamada BS 7799, norma inglesa de segurana que, desde sua criao, passou por vrias atualizaes de seu contedo. No ideal da BSi, a implementao da BS 7799 deveria ser adotada como padro mundial, mas o fato que sua adoo ainda no to grande como poderia ser. Somente agora, as empresas esto trabalhando nesse sentido. Como uma norma britnica, o ISSO acabou criando uma similar, a ISSO 17799, que conta com mais de 500 empresas certificadas em todo o mundo. Independente de questes culturais, o Brasil possui peculiaridades que restringem o acesso BS 7799. Por enquanto, o Inmetro (Instituto Nacional de Metrologia, Normalizao e Qualidade Industrial) no reconhece organizaes brasileiras para emitir a certificao, ou seja, a companhia interessada em aderir norma precisa buscar auditores internacionais para se certificar. Para reduzir a complexidade, a Mdulo utiliza sua prpria experincia e oferece o servio de Plano de Segurana para Conformidadade com a NBR ISO/IEC 17799, pelo qual auxilia empresas a obter a certificao inglesa. Outro fator que, de incio, pode corroborar com uma certa resistncia ao processo, diz respeito quantidade de detalhes impostos pela norma. A BS 7799 est dividida em duas partes: na primeira, h um conjunto de prticas de segurana; na segunda, um conjunto de mtricas e auditoria para certificao. De maneira modular, os processos envolvem dez domnios, que se subdividem em 127 controles.

A vez da ISO
A International Organization for Standardization, ou ISO, deve ser a principal difusora da norma inglesa. Em 1999, quando a BS 7799 ainda passava por adaptaes, a segurana da informao chamou a ateno da tradicional organizao sem fins lucrativos. Com sede em Genebra, a ISO conta com um comit formado por mais de 120 pases e mais de 14 mil

diferentes normas criadas. Com a finalidade de facilitar o intercmbio do comrcio com o estabelecimento de padres, a ISO decidiu investir tambm na BS 7799. Em 2000, nasceu a ISO 17799, norma que adapta apenas o processo ingls. 1. Vale ressaltar que na votao da norma ISO de segurana, alguns pases, como Alemanha, Canad, Estados Unidos, Frana, Itlia e Japo, foram contra. O motivo foi que tais pases possuam suas normas internas e no queriam adotar a norma da Inglaterra. O Brasil foi favorvel criao da norma. Hoje, a ISO 27000 est em vigor e ela uma boa opo para se adaptar aos sistemas de gesto de segurana. Certificao Embora a criao de uma norma ISO de segurana atraia, naturalmente, mais empresas, muitas delas no vem a certificao como objetivo final de sua gesto. Antes disso, essas organizaes esto mais voltadas para o que esses processos podem fazer no momento de estabelecer conceitos e diretrizes em segurana da informao. Um exemplo dessa movimentao em torno dos padres e procedimentos de processos e tecnologia o COBIT (Control Objectives for Information and Related Technology). Trata-se de um conjunto de controles e avaliaes - direcionado no somente segurana, mas a toda rea de TI - que tem como objetivo orientar a gesto do profissional, e no emitir certificao. Criado pela ISACA (Information Systems Audit and Control Association and Foundation) em 1996, aps pesquisas realizadas em dezenas de pases, o COBIT utilizado por organizaes brasileiras como Banco Central, Bovespa e GVT. Por sua amplitude, o COBIT se aplica a toda rea de TI, dividido em quatro domnios e 34 processos, detalhados em outros 300 e tantos tpicos. Entre esses, tambm h um mdulo de segurana da informao, porm, com conceitos bsicos sobre o assunto.

Desafios
O trabalho de se adequar a uma padronizao ainda algo que inibe o interesse por normas e certificados de segurana. Tanto os sistemas de planejamento mais abrangentes, quanto as certificaes especficas, geram reclamaes de que possuem ora uma estrutura muito superficial, ora rigidez de processos que impossibilitam a implementao em qualquer companhia.

Novo conjunto de normas

Esse conjunto de normas ISO/IEC so o mais importante referencial de Segurana da Informao. Essas normas substituram a normas BS 7799-2 (referente Gesto de Segurana da Informao) e ISO 17799 (Cdigo de Boas Prticas da Gesto de Segurana da Informao). No Brasil, apenas seis organizaes conseguiram obter o certificado ISO 27001: Serasa, Banco Matone, Samarco, Mdulo Security, Unisys e SERPRO. Como resultado dessas novas normas, a

listagem das normas ISO de Segurana da Informao ser a seguinte: ISO 27000 - Vocabulrio de Gesto da Segurana da Informao (sem data de publicao). ISO 27001 Norma publicada em outubro de 2005, em substituio norma BS 7799-2 para certificao de sistema de gesto de segurana da informao. ISO 27002 Substituir, em 2006/2007, o ISO 17799 (Cdigo de Boas Prticas). ISO 27003 - Abordar a gesto de risco, contendo recomendaes para a definio e implementao de um sistema de gesto de segurana da informao. A previso de publicao em 2006. ISO 27004 - Incidir sobre os mecanismos de mediao e de relatrio de um sistema de gesto de segurana da informao. Sua publicao dever ocorrer em 2007. ISO 27005 - Ser constituda por indicaes para implementao, monitorizao e melhoria contnua do sistema de controles. Seu contedo dever ser idntico ao da norma BS 7799-3:2005 Information Security Management Systems - Guidelines for Information Security Risk Management, a publicar em finais de 2005. A publicada da norma como ISO est prevista para meados de 2007. ISO 27006 - Dentro da srie 27000, a ltima norma ser referente recuperao e continuidade de negcio. Esse documento tem o ttulo provisrio de Guidelines for information and communications technology disaster recovery services, mas ainda no tem data definida para sua edio.

Fontes consultadas:
Serasa Mdulo Security

Bibliografia recomendada:
Estatstica para a Qualidade Snia Vieira - Editora Campus

Principais vulnerabilidades corporativas

Pessoas. Esta a primeira resposta que muitos institutos de pesquisas e especialistas de segurana tm utilizado quando questionados sobre a principal ameaa s transaes corporativas. Solues tecnolgicas sofisticadas, integradas a parceiros, clientes e fornecedores, a ltima palavra em ferramentas de gesto empresarial, relatrios detalhados etc. Nada disso tem valor se no h restries, polticas e processos que estabeleam e organizem a conduta do profissional dentro da corporao. Na maior parte das vezes, j se verifica que os problemas relacionados interferncia humana no esto diretamente ligados a aes fraudulentas ou demais situaes em que o funcionrio tem o objetivo de prejudicar sua empresa. Pelo contrrio. A grande maioria dos incidentes de segurana ocorre por falta de informao, falta de processos e orientao ao recurso humano. Outro fator determinante nessa equao est vinculado evoluo rpida e contnua das

tecnologias. O instituto Gartner, por exemplo, estima que um simples computador domstico ter, em 2008, processadores de 40 GHz e 1.3 Tbytes de capacidade de armazenamento. Essa potncia, ao mesmo tempo em que proporcionar inmeros benefcios, tambm se encarregar de gerar novos riscos e interesses. Esse cenrio, que estar presente em muitas residncias, sinaliza o que vir no ambiente corporativo. Mas as questes de segurana atreladas gesto de pessoal so apenas parte dos desafios que as empresas precisam enfrentar na atualidade. Antes desses, e no menos crticas, esto as vulnerabilidades tecnolgicas, renovadas a cada instante. Especialistas em identificar e estudar essas brechas vm se esforando para alertar sobre aquelas que hoje so consideradas as principais ameaas s transaes eletrnicas. O System Administration, Networking and Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) so bons exemplos dessa realidade. A seguir esto mencionadas algumas das falhas mais comumente identificadas, independentemente do porte ou da rea de atuao da companhia, bem como da complexidade de sua infra-estrutura tecnolgica e dos sistemas que utiliza.

Senhas fracas
Muitas vezes, as senhas de um funcionrio podem ser facilmente descobertas, mesclando itens comuns como nome e sobrenome, data de aniversrio, nome de esposa, filho etc. A administrao desses acessos tambm se d de forma desordenada, o usurio geralmente no tem educao para lidar com seu cdigo de acesso. Atualmente, as empresas contam com o benefcio de estabelecer uma autenticao forte, isto , mesclar algo que o usurio sabe (memria), com algo que ele tem (token) e algo que ele (biometria). Algumas ferramentas possibilitam corporao verificar o grau de segurana das senhas de seus funcionrios. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para identificar contas com senhas fracas ou sem senha.

Sistemas de backups falhos

Muitas empresas afirmam realizar backups dirios de suas transaes, mas sequer fazem manuteno para verificar se o trabalho realmente est sendo feito. preciso manter backups atualizados e mtodos de recuperao dos dados previamente testados. Muitas vezes, uma atualizao diria pouco diante das necessidades da empresa, caso venha a sofrer algum dano. Tambm recomendvel tratar da proteo fsica desses sistemas, que por vezes ficam relegados manuteno precria. J comum, depois de setembro de 2001, sites de backup onde os dados so replicados e, em caso de uma catstrofe, os sistemas so utilizados para a continuidade dos negcios.

Portas abertas
Portas abertas so convites para invases. Boas ferramentas de auditoria de servidores ou de scan podem auxiliar a empresa a identificar quais so suas brechas nos sistemas. Para no ser surpreendido, recomendado fazer uma auditoria regular dessas portas. Independentemente da ferramenta utilizada para realizar essa operao, preciso que ela varra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados por invasores. Alm disso, essas ferramentas verificam outras falhas nos sistemas operacionais tais como servios desnecessrios e aplicaes de patches de segurana requeridos.

Brechas de instalaes de sistemas operacionais padro (default) e aplicativos

Muitos fornecedores de software oferecem uma verso padro e de fcil instalao para seus clientes. Eles acreditam que melhor habilitar funes que no so necessrias, do que fazer com que o usurio tenha de instalar funes adicionais quando necessitar. Embora esse posicionamento seja conveniente para o usurio, ele acaba abrindo espao para vulnerabilidades, j que no mantm, nem corrige componentes de software no usados. Sobre os aplicativos, comum que instalaes default incluam scripts ou programas de exemplos, que muitas vezes so dispensveis. Sabe-se que uma das vulnerabilidades mais srias relacionadas a servidores web diz respeito aos scripts de exemplo, os quais so utilizados por invasores para invadir o sistema. As recomendaes bsicas so a reamoode softwares desnecessrios, a desabilitao de servios fora de uso e bloqueio de portas no usadas.

Falha em sistemas de logs

Caso a empresa venha a sofrer um ataque, ser o sistema de registro de logs o responsvel por dar as pistas bsicas para identificar a ocorrncia, saber como ocorreu e o que preciso para resolv-la. Logs so responsveis por prover detalhes sobre o que est acontecendo na rede, quais sistemas esto sendo atacados e os que foram de fato invadidos. recomendvel realizar backup de logs.

Transao sem fio desprotegida

Os equipamentos mveis so tecnologias emergentes. No entanto, os padres de comunicao utilizados atualmente requerem configurao minuciosa para apresentar um mnimo de segurana (mais detalhes no prximo mdulo deste curso). Novos padres, como o WPA (que substitui o WEP, j quebrado em 2001), prometem mais tranqilidade comunicao wireless. No entanto, recomendvel ter cautela na adoo desses recursos, conforme o grau de confidencialidade do que est sendo transmitido pelo canal sem fio.

Falha na atualizao de camadas de segurana e sistemas operacionais

A falta de gerenciamento de cada ferramenta de segurana e a correo de software disponibilizado pelos fornecedores esto entre os fatores mais crticos na gesto corporativa. Para muitos, esse um desafio constante, visto o volume de "patches" anunciado por diversos fornecedores, bem como a velocidade com que se atualizam os softwares de segurana. J existem, inclusive, empresas especializadas em fornecer ferramentas que cumprem a funo especfica de automatizar a atualizao de patches de segurana. Um Plano Diretor de Segurana deve contemplar e explicar, em detalhes, como esses processos devem ser realizados.

Fontes consultadas:
FBI Gartner SANS Institute

Bibliografia recomendada:
Segurana e Auditoria da Tecnologia da Informao - Cludia Dias

Segurana em redes sem fio

A comunicao de dados por redes sem fio (wireless network) ainda objeto de estudo de organizaes especializadas em solues de segurana da informao. A facilidade de se trafegar bits por ondas de rdio, sem necessidade de conexo a qualquer tipo de rede de cabos, tem atrado cada vez mais usurios em todas as partes do mundo. Mas o fato que, em termos prticos, esse meio de comunicao ainda no est totalmente protegido de invases e fraudes, realidade que est diretamente relacionada ao desenvolvimento dos padres de comunicao das redes sem fio. No Brasil, o padro Wi-Fi, com suas diversas verses (802.11a, b, g etc.) predominam. O 802.11b o mais utilizado em redes locais sem fio (WLANs), pois tem um alcance superior a 100 metros. No entanto, sua desvantagem a limitao da velocidade de acesso, que de 11 Mbps a serem divididos entre todos os usurios. No padro 802.11a, a velocidade atingida de at 54 Mbps, porm sua rea de cobertura at cinco vezes menor. Assim, empresas que utilizam a rede sem fio em redes locais no precisam investir em mais pontos de acesso para cobrir a mesma rea. Para resolver tais limitaes, fornecedores homologaram o padro 802.11g, que tem rea de cobertura igual ao do "b" e velocidade similar do padro "a". Alm disso, esse padro tem interoperabilidade com o padro "b". Para manter intrusos sem acesso rede, um padro de criptografia funciona em todas essas redes, o WEP (Wired Equivalente Privacy). Ocorre que o padro demonstrou graves falhas de segurana. Criado pelo Instituto dos Engenheiros Eltricos e Eletrnicos (IEEE), o padro utiliza a implementao do protocolo RC4 para realizar a criptografia dos dados. Mas especialistas descobriram meios de ter acesso chave utilizada em sua

criptografia, quebraram a segurana do padro e, logo em seguida, apresentaram diversas ferramentas capazes de romper a segurana do WEP. Muitas dessas ferramentas, inclusive, eram encontradas na prpria Internet, por meio de downloads gratuitos. Analistas tambm apontam que, para manter um nvel mdio de segurana, as redes sem fio ainda demandam certa habilidade tcnica, envolvendo desde a utilizao de recursos de segurana inerentes aos prprios Access Point, at a instalao de firewalls. Dependendo do grau de complexidade, a estrutura requer a aquisio de equipamentos, software e contratao de servios especializados. Os problemas de segurana chamaram a ateno da Wi-Fi Alliance, consrcio criado por empresas da rea, voltado ao desenvolvimento das comunicaes sem fio. Em 2003, a Aliana Wi-Fi divulgou um novo padro de acesso sem fio entre PDAs (Personal Digital Assistants). Com o nome de WPA (Wi-Fi Protected Access), essa tecnologia foi encarada como a evoluo do WEP, com mais recursos de encriptao de dados e autenticao do usurio. Paralelamente, a organizao tambm criou uma ferramenta de busca (Zone), que tem a finalidade de encontrar pontos de acesso Wi-Fi entre os cerca de 12 mil hotspots (pontos de acesso pblicos) instalados no mundo. Desde o primeiro semestre de 2003, o consrcio tambm trabalha no desenvolvimento do padro 802.11i, que inclui uma nova verso de WEP, baseada em AES (Advanced Encryption Standard), com definio de uma arquitetura de distribuio de chaves. O WPA, que ganhou o nome de 802.11i e uma subpadronizao que funciona com o 802.11a, b ou g, substituiu o padro de segurana em redes sem fio WEP. Os prprios membros do consrcio reconhecem que o atual WEP muito complexo para ser implementado, o que acaba resultando em sistemas abertos a ataques. O WPA, compatvel com o padro de redes sem fio, prometia melhorias na criptografia de dados e autenticao do usurio apenas com um upgrade de software.

Principais desafios
O termo Wi-Fi tem sido aplicado com o significado de "Wireless Fidelity". Trata-se do conceito que o mercado utiliza para se referir padronizao universal das comunicaes sem fio, embora o WiFi possua diferentes caractersticas, softwares, parmetros e protocolos. Mas antes de tratar de altas velocidades e integrao de dispositivos, especialistas e usurios da comunicao sem fio enfrentam desafio bsicos. A segurana de uma rede wireless pode ser implementada tendo em vista seus conhecidos pontos de fragilidade. Um desses est justamente no chipset do ponto de acesso, uma das fragilidades mais exploradas pelos invasores. O simples envio de um pacote UDP (User Datagram Protocol) para uma determinada porta, por exemplo, pode fazer com que o sistema retorne informaes como o nome da rede (SSID- Service Set Identifier), a chave de criptografia e at a senha do usurio. Assim, preciso evitar que o SSID, que faz a identificao do nome da rede entre os usurios, seja conhecido por um possvel intruso. Para tanto, necessrio desabilitar o envio por broadcast dessa seqncia. Outra vulnerabilidade a ser evitada est relacionada comunicao entre o ponto de acesso e os demais dispositivos autorizados a acessar a rede sem fio.

 importante que o servidor central saiba quais os nmeros das placas de rede de cada mquina autorizada a compartilhar o ambiente (MAC Address). Essa configurao evita que computadores se liguem rede com facilidade, ao se aproximarem da regio de cobertura. Vale ressaltar que atualmente existem vrios programas disponveis na Internet que simulam o endereo de qualquer placa de rede, fazendo-se passar por um dispositivo autorizado no momento de uma conexo. Isso significa que, se algum tiver informaes do cdigo de um dispositivo autorizado a usar a rede, poder faz-lo. Fechadas as brechas de segurana da rede wireless, preciso realizar a criptografia dos dados, o que garante que, se uma informao for enxergada, no poder ser decifrada. Nveis mais elaborados de criptografia so os padres AES (Advanced Encryption Standard) e o DES (Data Encryption Standart). No entanto, preciso lembrar que, quanto maior e mais elaborada for a criptografia e o volume dos dados a serem encriptados, maiores sero o tempo de processamento e o gasto de energia; e menores a autonomia da bateria de um dispositivo mvel e a performance da rede que utiliza. A velocidade pode cair at 30% em relao rede sem criptografia. Logo, preciso verificar a vulnerabilidade dos dados que sero trafegados. Alm de se valer de tecnologias voltadas cobertura da comunicao mvel, o usurio da rede fio deve atentar para o monitoramento de suas transaes. Hoje, o mercado conta com uma srie de solues utilizadas para averiguar riscos de segurana em tempo real, descobrir atividade de invasores e identificar problemas da rede wireless. Alguns programas distribudos gratuitamente pela Internet, conhecidos como sniffers (farejadores), so utilizados para isso. No entanto, tais sistemas so muitas vezes usados para o ataque a uma rede corporativa, uma vez que vasculham falhas das WLANs. Uma boa estrutura de monitoramento deve permitir, entre outras coisas, visualizar todos os clientes conectados em um dado instante, independente do horrio. O administrador tem que ter meios de saber se h instalao de pontos de acesso no-autorizados. Pode ocorrer de um funcionrio instalar uma placa no micro pessoal para ligar o desktop ao seu micro de mo e comprometer, mesmo sem o saber, toda a rede da companhia. Em uma abordagem tcnica, nota-se que as redes sem fio possuem vulnerabilidades que tm origem em concepo de padro. Por isso, os atuais fornecedores de produtos trabalham na atualizao dos sistemas de transmisso de dados. Quanto aos usurios, cabe a funo de desenvolver uma poltica especfica para redes sem fio, caso queiram aproveitar dos benefcios da comunicao mvel. Essa relao de normas inclui alguns fatores-chave como: configurao minuciosa dos equipamentos utilizados; limitao dos dispositivos que acessam os servios; e uso de tecnologias de criptografia e redes VPN. Paralelamente, preciso que haja chaves criptogrficas que autentiquem usurio e/ou dispositivo, alm de sistemas de identificao de intruso (IDS). Uma vez que o usurio esteja apto a trafegar na rede sem fio, vivel que de desabilite a emisso automtica de informaes como o nome da rede, a chave criptogrfica e a senha do administrador de rede, que trafegam pelo ponto de acesso. Outro cuidado fazer a autenticao do computador

rede usando o "MAC Address" da placa de cada dispositivo. Essa ao impedir que mquinas estranhas ao ambiente possam se conectar rede. A ativao da opo de criptografia, seja ela WEP ou WPA, fundamental para manter os intrusos sem acesso rede sem fio. Se o seu dispositivo suporta WPA, utilize essa opo, pois, como foi dito, o WEP pode ser quebrado por softwares existentes na Internet. Por fim, necessrio dar ateno especial ao posicionamento do Access Point e potncia de antena de transmisso, que muitas vezes podem ter um alcance que ultrapasse as fronteiras geogrficas da empresa. Esse vazamento de sinal perigoso e carece de mecanismos de autenticao e criptografia.

Futuro
Grandes so as expectativas junto de um mercado que ainda se encontra em seu estado inicial. No Brasil, uma pesquisa realizada mostra que a adoo de redes sem fio est em processo acelerado. Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser at mais barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisio de diversos equipamentos e servios. Mas, existe tambm a mobilidade que oferece uma conectividade praticamente ininterrupta para o usurio. Vrias empresas instalaram hot spots (conexes sem fio em lugares pblicos) nos principais pontos de acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas possibilidades de comunicao de funcionrios com suas empresas e acesso Internet. Tecnologias com o WiMax aumentam a rea de cobertura das redes sem fio e prometem ser o prximo grande boom nas corporaes e na vida das pessoas.

Fontes consultadas:
Checkpoint Compugraf NBSO (NIC BR Security Office) Sniffer Technologies

Bibliografia recomendada:
WAP - Wireless Application Protocol: a Internet sem Fios Adilson de Souza Dias - Ed. Cincia Moderna

Terceirizao de Segurana
Segurana da Informao no especialidade da indstria de manufatura, como tambm no faz parte dos negcios do setor automobilstico, de empresas alimentcias ou do varejo. No entanto, para que possam manter o core business de suas operaes, a segurana, cada vez mais se torna fator crtico para as corporaes e suas transaes. No por acaso que os institutos de pesquisa tm indicado crescimento nos oramentos de tecnologia da informao (TI) no que se refere segurana. Em alguns casos, a verba dessa rea

totalmente independente do que gasto com TI. Mas o que se nota que, conforme a segurana ganha espao entre outras prioridades das organizaes, ela passa a ter valor estratgico, isto , participa das decises de mercado, integrao com a cadeia de valor, formas de oferta de produtos e servios etc. Assim, natural que, em um mesmo grau de complexidade que as transaes eletrnicas, a Segurana da Informao demanda diversas aplicaes e camadas tanto no que se refere infra-estrutura tecnolgica (hardware e software), como tambm na prestao de servios e recursos humanos. Frente ao desafio, a terceirizao - como nas demais reas de TI - tem sido um dos caminhos procurados pelas organizaes. Como na maioria dos casos, essa tanto pode ser uma tima como uma pssima opo. O que definir cada experincia est relacionado a uma srie de processos preestabelecidos.

Como terceirizar
No h regra geral que se aplique a tudo e todos. Atualmente, algumas corporaes terceirizaram toda sua infra-estrutura de segurana, desde pessoal at backup de transaes, filtragem etc., e esto plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os servios de contingncia, com duplicao de operaes por meio de um data center. Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas orienta, ao decidir partir para um processo de outsourcing no tirar a "inteligncia" de dentro de casa. Ou seja, deve ser terceirizado apenas o que operacional, pois o que gera investimentos pesados em infra-estrutura, hardware, licenas de software etc. Em suma, cada corporao, representada por sua equipe de tecnologia e demais diretorias, deve avaliar em detalhes os benefcios e riscos de decidir pela terceirizao, gerando assim, um Planejamento de Outsourcing de Segurana. Esse relatrio dever contemplar desde os recursos de TI necessrios, bem como a mo-de-obra envolvida, os processos de migrao, atendimento a clientes e parceiros, suporte, resposta a incidentes etc. Ser esse material - baseado em preo, prazos e processos de implementao - o que definir se a terceirizao da Segurana da Informao ter ou no sucesso. De outra forma, est ser encarada apenas como mais uma maneira de burocratizar os servios, consumir investimentos e no adicionar qualquer valor s transaes da organizao.

O que terceirizar
Salvo excees, algumas reas de segurana so passveis de terceirizao como suporte, monitoramento, gerenciamento e contingncia. Os SOCs (Security Operation Center) disponveis so especializados na prestao de servios dessa natureza, entre outros. Esses centros de segurana e gerenciamento de dados esto atraindo o interesse das empresas por uma srie de razes como, por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas rpidas a incidentes e qualidade de servio estabelecida em contratos, os chamados

Service Level Agreements (SLAs). Mas mesmo com vantagens competitivas tangveis e de retorno rpido, a terceirizao de segurana tem como barreira central a questo cultural das corporaes. Invariavelmente, esse o principal desafio a ser vencido, j que exige uma relao de total confiana entre os parceiros. Essa responsabilidade tem de estar esboada em detalhes no contrato de SLA. Um programa que garanta 100% de atividade ao longo de um ano levanta suspeitas. Basta verificar o volume de incidentes de segurana que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro. Alm do nvel de servio oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma postura pr-ativa com o usurio, ou seja, na medida do possvel manter os nveis de segurana os mais preparados possveis. Esse contrato estabelece como sero atendidas as necessidades futuras do contratante e quais multas e penalidades no caso de no-cumprimento ou rompimento do acordo. Em tese, tudo passvel de ser terceirizado. Mas na realidade, o processo no to simples e imediato como se imagina. Portanto, o ideal que a empresa tenha conhecimento sobre seus prprios custos e infra-estrutura, algo que muitas vezes no est organizado ou quantificado. Na prtica, o outsourcing deve retirar da empresa tarefas repetitivas e burocrticas, que no demandam ou envolvam decises complexas ou estratgicas. Estudos apontam que, atualmente, esses servios so responsveis por algo entre 5% e 10% dos oramentos de TI. Tambm preciso avaliar a utilizao e a disponibilidade de bens que no se limitam infraestrutura tecnolgica. Em grandes corporaes, j ocorreu de a empresa contratante perder profissionais estratgicos, os quais passaram a atender a organizao via outsourcing.

Fontes consultadas:
IDC Gartner Delloitte

Bibliografia recomendada:
Terceirizao: uma abordagem estratgica Livio Antnio Giosa

Limites do monitoramento
Televiso, shopping center, entretenimento, bate-papo, variedades, paquera, museus, negcios, cartas, etc., etc., etc. Essas so apenas algumas das diversas aplicaes que, a partir de um simples PC com conexo Internet, uma empresa oferece ao seu funcionrio. No por acaso que a indstria desenvolvedora de solues de monitoramento cresce rapidamente em todo o mundo. Basicamente, as corporaes se vem frente a duas ameaas centrais. Primeiro, a queda drstica de produtividade de seus funcionrios, alm do uso indiscriminado dos recursos da companhia e de

sua infra-estrutura. Clculos feitos junto de usurios nos Estados Unidos apontam que cada pessoa gasta, em mdia, quase duas horas por dia checando e-mails, o que representa um quarto do expediente normal. O perodo inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido por 90% dos usurios. Em segundo lugar, e no menos crticas, esto as vulnerabilidades que esse acesso aleatrio ocasiona, as ameaas constantes que circulam pela Web e que, a qualquer momento, podem comprometer operaes primordiais para o funcionamento da companhia. Situaes como essas esto levando ao controle rgido de diversas aplicaes de acesso on-line, entre essas a filtragem de sites e de contedos da Internet, e restries daquela que hoje a principal ferramenta do meio digital: o correio eletrnico. Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos empregadores monitoram o uso do e-mail por parte de seus funcionrios. Muitos casos de demisso ocorrem em funo da m utilizao da ferramenta. Muitas sentenas foram dadas em favor dos empregadores, mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail. Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entre a preocupao das corporaes com o uso indiscriminado do correio eletrnico e as aes efetivas que tomam para combater a prtica. Os resultados apontaram que 75% de todos os profissionais pesquisados reconhecem que suas empresas produzem polticas de utilizao de e-mail, mas menos da metade (48%) treina seus funcionrios sobre o assunto. De acordo com a pesquisa, 59% das empresas declararam que possuem mtodos para reforar a existncia de regras e polticas internas. Os meios mais utilizados para isso so: disciplina (50%), revises de desempenho (25%), remoo de privilgios (18%) e aes legais (4%). No bastasse o controle interno, as corporaes precisam desenvolver armas para barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a AMA, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmam que as mensagens noautorizadas representam mais de 10% de seu volume dirio de e-mails, percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa.

Privacidade
No Brasil, grandes organizaes demitiram funcionrios que costumavam acessar contedos pornogrficos ou sem qualquer relao com o negcio da empresa. Mas a polmica ainda recente. Tanto que, em uma anlise mais minuciosa dos fatos e das leis de privacidade, constata-se que a prpria legislao brasileira uma das opositoras s prticas de monitorao. Aprovado em junho de 2006 pela Comisso de Educao, o Projeto de Lei 76/2000 do Senado o mais completo texto legislativo produzido no Pas para regular a represso a crimes de informtica. O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de Jos Henrique Santos Portugal, incorpora atualizaes e contribuies de outros projetos de lei menos abrangentes e altera o Cdigo de Processo Penal, o Cdigo Penal Militar e a Lei de Interceptao de Comunicaes Telefnicas.

Dentre todos os dispositivos inclusos no texto, o mais polmico a determinao de que todo aquele que prover acesso Internet ter de arquivar informaes do usurio como o nome completo, data de nascimento e endereo residencial, alm dos dados de endereo eletrnico, identificador de acesso, senha ou similar, data, hora de incio e trmino, e referncia GMT da conexo. A medida tem sido alvo de crticas enrgicas entre aqueles que prezam pela privacidade e o anonimato na rede, sob a alegao de que dados de cunho pessoal no devem ficar em bancos de dados, expostos a uma possvel devassa judicial, alm do possvel extravio para fins escusos. Discusses parte, o que se orienta que as empresas estabeleam regras claras de acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma Poltica de Segurana da Informao.. Uma vez estabelecido esse processo, preciso elaborar um termo de aceitao, colhendo a assinatura de cada profissional da companhia. Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil mquinas com acesso Internet, a principal funo da poltica de segurana foi o controle de acessos e a formatao da Internet como ferramenta corporativa. A definio de regras de uso da rede comeou com a estruturao de um comit de segurana da informao, formado por representantes de vrias reas da companhia. O comit tambm elaborou um documento no qual esto definidos os critrios para a utilizao de emails e listados os tipos de sites que no devem ser acessados pelos funcionrios. Os downloads de aplicativos foram totalmente restringidos. J na Payot, o controle de e-mails e de acesso Internet gerou economias em gastos com manuteno de rede e tempo de funcionrios parados. A fabricante de cosmticos calcula que obteve ganhos de 50% na produtividade de seus funcionrios e seu consumo de banda reduziu em 20%. Tambm deve ser de responsabilidade da organizao garantir que esse monitoramento se configure com respeito aos funcionrios e em sigilo, restringindo a divulgao dessas informaes e no configurando qualquer tipo de perseguio ao profissional. O fato que, cada vez mais, a monitoria do profissional no uma escolha, mas uma obrigao do gerenciamento de risco. A empresa deve declarar claramente que de fato monitora, listando o que rastreado, descrevendo o que procura e detalhando as conseqncias de violaes. Controles de segurana sugeridos por normas de segurana podem ser um caminho mais vivel para suportar parmetros de auditoria e conformidade para toda a companhia.

Prticas
Algumas aes bsicas podem dar maior segurana e tranqilidade corporao e ao funcionrio, no que se refere monitoria do ambiente de trabalho. So elas: Antes de qualquer ao, vivel que a companhia consulte um especialista em lei digital para saber se existem bases judiciais que afetem seus planos de monitoria. As razes para realizar a monitoria tm que estar claras entre empresa e funcionrio. O fato de uma empresa admitir abertamente que faz monitoria, reforado por aes reativas quando so

descobertas infraes, far os funcionrios entenderem que e-mail no uma forma de comunicao privada. provvel que passem a se policiar. Caracterizar a monitoria como algo de proteo mtua, dando segurana e respaldo corporao e ao profissional. Definir claramente as expectativas da empresa e informar os funcionrios sobre a monitoria. Estabelecer a poltica; educar a fora de trabalho; e empregar a poltica de maneira consistente. Combinar ferramentas de varredura de contedo e regras por escrito. Punir quando for necessrio. De outra forma, ningum respeitar as regras da companhia.

Concluso
Quanto mais uma empresa depende de redes de computadores, maiores devem ser as preocupaes com segurana. E isso significa preocupar-se com a integridade de dados, com o tempo de manuteno devido a problemas de segurana, e com muitos outros aspectos. O nmero de incidentes de segurana est em pleno crescimento, no apenas porque as redes de computadores so vulnerveis, mas tambm porque quanto mais poderosos tornam-se os aparatos de segurana leia-se firewalls, software, etc , maior se torna o interesse de hackers em invadir. Falhas em polticas de segurana expem no apenas informaes e dados de uma empresa, mas tambm causam danos srios imagem da companhia. E o zelo pela imagem que, muitas vezes, impulsiona a implantao de uma poltica de segurana, com a utilizao de firewalls, mecanismos de autenticao, algoritmos de encriptao, e outras medidas de preveno. Mas ser que apenas investindo em tecnologia a empresa estar 100% segura? Um dos maiores riscos a empresa acreditar que basta comprar equipamentos e softwares e estar segura para sempre. Produtos de segurana direcionados preveno so bons, mas so apenas uma parte do conceito geral. No o bastante ter os melhores produtos de segurana. preciso instal-los, us-los, e mant-los atualizados (instalando novas verses, aplicando patches de correo, etc) para, ento, interpretar suas informaes e responder efetivamente aos alertas registrados por eles. No contexto atual, mais do que nunca, segurana vital para o sucesso de um negcio.

Fontes consultadas:
Marco Oswaldo da Costa Freitas, consultor de segurana Embratel Edson Fontes, CSO da Gtech CSO Magazine American Management Association

Bibliografia recomendada:
1984 - George Orwell - Cia editora Nacional

Tendncias em segurana da informao

A consultoria IDC vem realizando uma srie de estudos sobreas prioridades de investimentos e principais desafios no curto e mdio prazos da comunidade de Tecnologia da Informao (TI). Sem surpresas, a Segurana da Informao surge no topo da pirmide corporativa. Esse cenrio no ocorre por acaso. Estudos realizados pela desenvolvedora de solues de segurana Symantec apontaram que vulnerabilidades de sistemas de TI cresceram 81,5% em relao a 2002. Dessas, 60% se referem a brechas facilmente invadidas, na maior parte das vezes requerendo apenas o uso de simples ferramentas, a maioria delas disponveis em sites crackers. A KPMG Forensic tambm avaliou o ndice de invases no setor corporativo e revelou que 76% das mil maiores empresas nacionais sofreram algum tipo de fraude em 2002, volume, embora seja alto, apresenta reduo nas incidncias, que em 2000 totalizavam 81%. E as perspectivas dos entrevistados no so muito otimistas para um futuro prximo. Do total, 64% acreditam que o nmero de fraudes aumentar, em funo de questes como o enfraquecimento dos valores na sociedade, falhas nos sistemas de controle, impunidade e presses econmicas.

Fraudes
Entre os diversos tipos de fraudes que fazem parte da realidade corporativa, um deles desponta como principal ameaa s transaes das empresas. Segundo a KPMG, 48% de seus entrevistados consideram os funcionrios como o principal risco. O nmero de fraudes total reportado no terceiro trimestre de 2004 j maior do que o observado no ano de 2003 inteiro. Essa uma das principais constataes do levantamento de incidentes de segurana reportados entre julho e setembro de 2004 para o grupo brasileiro de resposta a incidentes de segurana NIC BR Security Office (NBSO). Para o NBSO, o contnuo aumento no nmero de incidentes reportados um fator observado por todos os grupos de resposta a incidentes nos ltimos anos. A tendncia que esses nmeros dobrem a cada ano. Segundo estudo realizado pela Mdulo Security com as 500 maiores empresas do Pas, o vazamento de informaes o problema mais crtico. Isso faz parte dos resultados da 9 Pesquisa Nacional de Segurana da Informao. Realizado com 682 profissionais das reas de TI e segurana, das 500 maiores empresas brasileiras, o estudo revela que 77% sofreram ataques em 2003. Como principal ameaa, elas classificam as fraudes por e-mail, totalizando 29% das respostas, enquanto 66% continuam considerando os vrus e worms suas maiores preocupaes. Esses fatores, entre outros, demonstram um aumento do prejuzo nas corporaes de 2002 para 2003, riscos que devem aumentar em torno de 78% em 2004. Dessa forma, 60% projetam aumento no oramento destinado ao setor. Cerca de 73% delas possuem oramentos especficos para Tecnologia da Informao, das quais 24,5% alocam menos de 1% para segurana, enquanto 7% contam com mais de 20% para o departamento. Entre os problemas listados como mais crticos, o vazamento de informaes lidera as respostas,

com 13,5%; seguido por funcionrios insatisfeitos, com 13%, fraudes, erros e acidentes, com 12%; vrus, 9% e acessos indevidos, com 8%. Ocorre que, alm de decises judiciais, trabalhistas e criminais, os problemas ocorridos dentro das corporaes tm levado um monitoramento constante das aes dos funcionrios, as quais, por muitas vezes, acabam por afetar a privacidade das pessoas. Bill Gates, durante uma conferncia patrocinada pelo Center for Strategic and International Studies and the Information Technology Industry Council, declarou que a Microsoft vem se esforando ano a ano para que suas solues possam proteger a identidade e as informaes de seus usurios. No entanto, cada vez mais comum a utilizao de recursos de monitoramento, sugerindo, ainda que de longe, o cenrio criado pelo escritor George Orwell, em seu clssico "1984", o qual relata um futuro repressivo e totalmente dominado pela tecnologia.

Phishing
Uma das fraudes mais comuns atualmente usando a Internet e as mensagens eletrnicas a conhecida Phishing. Phising o ato de enviar um e-mail para um usurio passando-se por um envio de uma empresa legtima tentando que ele lhe fornea suas informaes particulares que sero usados para causar-lhe algum prejuzo tal como o roubo de dinheiro da sua conta corrente. O e-mail leva o usurio a visitar um site onde ele solicitado a atualizar informaes pessoais como senhas, nmeros de carto de crdito ou de contas correntes. O site usado uma cpia do original e contm os mesmos links. No entanto, o endereo IP do site no pertence empresa real. No Brasil, vrios bancos e usurios j foram usados para esse tipo de atividade que causou mais de 400 milhes de reais em perdas em 2004.

Vrus e variaes
Incidentes de segurana relacionado ao de um funcionrio - seja esta proposital ou mesmo decorrente de falta de informao e orientao da companhia - so apenas parte dos desafios corporativos. Os vrus que atualmente circulam na rede tambm tm papel de destaque entre as ameaas a serem combatidas. Especialistas em analisar as pragas digitais chamam a ateno para o carter "multifuncional" que esses vrus passaro a ter cada vez com maior intensidade. Atualmente, j possvel encontrar os chamados "vrus polimrficos", capazes de se disfararem dentro da mquina do usurio para no serem capturados. Essas ameaas tambm exploram diferentes vulnerabilidades dos sistemas, desde o acesso inadequado feito por um usurio, at uma brecha no sistema operacional da companhia. Sabe-se tambm que crackers j esto trabalhando no que denominam por "megavrus", uma espcie de programa gerador de nmeros randmicos, que determina quanto tempo permanecer inativo em um sistema infectado. Uma vez alocada, essa praga ser capaz de escolher um dos muitos mtodos que possui para se replicar. Essa a essncia da nova era de megavrus que se

aproxima, explorando mltiplos mtodos de propagao pela rede. Embora muitas empresas que adotam um sistemas de firewall se julguem protegidas, a cada dia a imprensa noticia mais e mais catstrofes milionrias envolvendo os cdigos malficos e nomes de empresas renomadas. E a ameaa tende a ser mais forte. Pesquisas realizadas pela Sophos, companhia especializada em solues de antivrus corporativo, detectaram a criao de 7.189 novas ameaas, o que somava um total de 78 mil pragas digitais em todo o mundo. Nove em cada dez vrus detectados naquele ano se disseminavam por meio de correio eletrnico. No total, 87% dos ataques registrados se voltavam ao sistema operacional Windows. Embora o sistema operacional da Microsoft seja um dos alvos mais visados pelos crackers e hackers, sabe-se que grande parte da responsabilidade por incidentes de segurana est relacionada gesto dos processos e atualizao de brechas do sistema. Apesar das correes serem providenciadas pelas empresas desenvolvedoras, as pragas se espalham por mquinas desprotegidas que no foram atualizadas. Nomes como Bugbear, Nimda e Klez fizeram fama em cima da falta de informao dos usurios.

Precaues
A estimativa dos analistas que 35% das corporaes "Fortune 500" tiveram um investimento acima de US$ 1 milho em segurana em 2003. Mas os incidentes corporativos demonstram que preciso mais que dinheiro para operar com uma estrutura protegida de qualquer tipo de ameaa. Treinamentos e conscientizao de funcionrios tm de estar entre as prioridades de qualquer companhia, seja ela uma multinacional com centenas de parceiros espalhados pelo mundo, ou mesmo uma pequena e mdia empresa, integrada sua cadeia de valor. Para isso, faz-se necessrio desenvolver e implementar polticas e procedimentos efetivos que tragam proteo s transaes, proporcionando reduo dos riscos e de perdas com eventos. Com a chegada de diversos tipos de aparelhos e formas de acesso s informaes da corporao via cabo, ondas de rdio, fibra ptica, fio de cobre - o mundo vive o final de uma primeira gerao de invaso (relacionada ao PC), para passar a um ambiente de mltiplos servidores (cliente servidor) e formas de acesso. Est nas mos dos gestores de segurana administrar a crescente demanda por investimentos em infra-estrutura tecnolgica e recursos humanos, viabilizando sua gesto de riscos, anlises de impacto; quantificao de ativos digitais crticos etc. Est mais do que provado que no basta ter as melhores ferramentas de segurana instaladas na rede, se no h um gerenciamento estruturado e baseado em processos especficos, envolvendo desde o monitoramento de transaes, at anlise, correo e registro de evidncias. Tambm faz parte do futuro da corporao o desafio de trabalhar contra o roubo de propriedade intelectual, desvios de recursos, privacidade, uso inadequado do meio eletrnico, entre outros. Atualmente, discute-se ainda a amplitude do trabalho desempenhado pela rea de Segurana da Informao e o papel de seu diretor, o Chief Security Officer (CSO). Entre prs e contras, aborda-se

se uma mesma diviso de segurana deve cuidar dos aspectos patrimoniais da uma empresa e at da segurana fsica daqueles que compem seus recursos humanos. Essas so apenas algumas peas que compem o quebra-cabeas a ser montado por qualquer corporao que deseja operar de maneira confivel e responsvel comk seus clientes e parceiros de negcios. O passo decisivo da segurana empresarial j ocorreu, quando esta j deixou de ser apenas uma questo operacional das transaes comerciais, para influenciar de maneira objetiva e estratgica cada transao da organizao. Uma nova realidade, que apenas comeou.

KPMG IDC Symantec Sophos

Fontes consultadas:

Bibliografia recomendada:

Segurana e Auditoria da Tecnologia da Informao - Cludia Dias