Thursday, December 12, 2002

Auditoria em Windows XP

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
Uma das preocupações da maioria do gestores de Segurança da Informação sempre foi de transformar os controles de segurança em mecanismos transparentes ao usuário final – impacto zero ao ambiente de trabalho. O antívirus: atualizado no gateway; o backup: automatizado no servidor de arquivos; a troca de senhas: solicitada automaticamente pelo sistema. O que seria de nós sem estes artifícios? O usuário muitas vezes não tem culpa por não conhecer os riscos frente à informação, mas em uma coisa temos que concordar: ajudaria muito, caso o usuário soubesse como é importante sua colaboração efetiva na salvaguarda da informação.

Com a intenção de ajudar os Security Officers, resolvemos lançar uma série de artigos que podem ser enviados aos usuários, de forma a colaborar no processo de sensibilização do nosso maior aliado na proteção da informação. Iniciaremos com o tema Auditoria, depois passaremos por Engenharia Social, Backup, Senhas Seguras e etc. Contamos com sua indicação para novos assuntos, afinal de contas, escrevemos para você leitor.

A. Por que auditar?

Somos todos usuários de sistemas que compartilham, modificam, criam e muitas vezes delegam autoridade a outros para o manuseio da informação. Alguns anos atrás essa responsabilidade ficava toda centrada em um mainframe, passamos então para o tempo da “informação distribuída”, e atualmente devemos lidar com uma informação viva e muitas vezes descontrolada. Outro agravante é a facilidade com que qualquer leigo opera um sistema operacional, não podemos mais contar com o fator “obscuridade técnica”.

Já que não podemos confiar na inocência técnica do “novo usuário” – usuário que conhece melhor do que ninguém os meandros das tecnologias presentes na maioria das organizações -, então devemos contar com sua colaboração na proteção da informação. É neste momento que surge a auditoria, grande aliada quando da desconfiança de que alguém pode ter bisbilhotado aquela pasta com informações confidenciais: seja o orçamento do ano, lançamento de um novo produto, movimentações financeiras, lista de clientes, etc. Parece familiar? Como saber que o “intruso” passou pela nossa casa se ele não quebrou o vidro? Cantam alguns jargões da segurança: “Pior do que ter seu computador invadido, é não saber que o computador foi invadido”.

Auditar significa pré-selecionar uma série de eventos de forma que o sistema armazene mensagens para diversos tipos de comportamentos gerados em nosso computador. Por exemplo, posso criar uma política de auditoria onde o sistema armazenará toda a tentativa de acesso a minha máquina utilizando o meu nome de usuário (username) e uma senha inválida. Caso eu ative esta auditoria, poderei futuramente identificar detalhes sobre situações onde algum individuo tenha tentado adivinhar minha senha para obter acesso a minha estação de trabalho. Sabemos que um ataque bem sucedido é sempre precedido de uma série de tentativas inválidas de acesso. A primeira acepção da palavra auditoria, no sentido prático, é a prevenção.

O segundo benefício direto da ativação da auditoria em sua estação de trabalho, é a possibilidade averiguação dos passos de um invasor, uma vez evidenciado o incidente de segurança. É o que chamamos de trilha de auditoria. Analisando o caminho do intruso, seja ele um hacker ou um colega de trabalho, fica mais fácil compreender a motivação de sua ação, e qual era o seu “alvo” – entenda-se informação.

B. Como ativar a auditoria do WindowsXP?

Escolhi o WindowsXP em inglês porque este sistema operacional está sendo amplamente utilizado no mundo todo, além do que ele conta com recursos super práticos para ativação da auditoria, sem que o usuário tenha que recorrer a especialistas ou técnicos.

Bem, agora mãos a obra: não há dificuldade em ativar a auditoria, qualquer usuário com conhecimento mínimo do sistema operacional conseguirá executar. É importante verificar se a Política de Segurança da Informação da sua empresa permite este tipo de alteração no sistema. Caso não exista uma Políttica para usuários, converse com o administrador e solicite que você possa auditar o que acontece em sua estação de trabalho; antes de tudo é importante respeitar as Diretrizes de Segurança da sua organização. De qualquer forma, você pode ativar esta política no seu computador doméstico.

Vá ao (1) Control Panel, (2) Administrative Tools, (3) Local Security Policy. Agora, neste tela você abre o item (i) Local Policies, e clica em (ii) Audit Policy. A seleção deve ficar conforme a tabela abaixo:

Tabela de Nível de Auditoria

Account logon events Success, failureAccount management Success, failureLogon events Success, failureObject access Success, failurePolicy change Success, failurePrivilege user Success, failureSystem Events Success, failure

C. Auditoria em Arquivos

Quando arquivos como ftp.exe, tftp.exe, command.com, cmd.exe, telnet.exe, wscript.exe e cscript.exe não puderem ser desabilitados, é importante deixá-los em constante auditoria. É através destes arquivos que um invasor faz o download de códigos maliciosos para o computador do usuário. Recomenda-se também ativar a auditoria em arquivos executáveis que permitem acesso a aplicações críticas.

Pressione o segundo botão do mouse sobre o arquivo que você deseja auditar. Pode ser uma planilha do XLS, um DOC ou um desenho em CAD. Vá em (1) Properties, selecione (2) Security e depois clique em (3) Advanced. Agora você clica em (i) Auditing e (ii) Add para adicionar o grupo que você pretende auditar. Neste caso vamos inserir Everyone para uma auditoria ampla. Clicando OK você sairá em uma tela onde os objetos de auditoria podem ser selecionados. Recomendo ativar os itens Traverse Folder/Execute File, Write Attributes e Delete. Todos na opção Failed. Simples, não é?

Pronto. Uma vez selecionado, devemos criar uma rotina pessoal de verificação dos eventos gerados, pelo menos uma olhada por semana. Definimos aquilo que é considerado comportamento estranho, e filtramos para podermos visualizar só o que interessa. É muito simples.

Para visualizar as informações geradas, siga os seguintes passos. Vá ao (1) Control Panel, (2) Administrative Tools, (3) Event Viewer. Clique no item (i) Security do menu da esquerda. Pronto, ai estão os eventos gerados, classificados por tipo, data e categoria. Clicando duas vezes sobre o registro você poderá obter mais informações sobre o evento.

Bem, a mensagem desta semana é: usuário, aprenda a se defender. Estamos enfrentando tempos difíceis onde qualquer um pode sem muito esforço obter informações sensíveis ou privilegiadas vasculhando o computador alheio. É bom lembrar que a responsabilidade pelas informações que estão hospedadas em nossa estação de trabalho, é individual e não deve ser compartilhada. Até o próximo artigo.

Tuesday, October 29, 2002

Oportunidades de Segurança

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Os desafios da gestão de Segurança da Informação iniciam com a concludente afirmação executiva de que “a informação é um ativo valioso“ e “uma gestão é realmente necessária”. Analisar, planejar e implementar – compreendendo nossas fragilidades e dependências tecnológicas (porque hoje a informação é, em grande parte apoiada em ativos tecnológicos), faz com que esta necessidade reflita urgência.

Quão preparados estamos para “encarar” o novo paradigma organizacional, que é a gerência da segurança da informação? Quem será o responsável por dividir suas tarefas operacionais entre atividades que incluem preservar a confidencialidade, integridade e disponibilidade do elan vital corporativo?

Faz muito pouco tempo que esta nova realidade vem tomando corpo nos compromissos da alta administração. Base a esta oportunidade de melhoria, resolvemos escrever sobre tudo aquilo que imaginamos ser prática comum em organizações modernas, e que muito facilmente pode ser adaptado para servir também aos designos da segurança da informação.

Comitê de Segurança da Informação

Junto ao já existente Comitê que trata de assuntos administrativos, porque não aproveitar e inserir uma espécie de acompanhamento qualitativo dos cenários que supoem risco a informação da organização? Discutir metas, posicionamento, estratégias e objetivos significa planejar, é impensável deixar de levar em consideração a importância de proteger bem as informações envolvidas com atividades em desenvolvimento ou mesmo já consolidadas.

Formalizar o que é informal – Comitê Interdisciplinar

Caso já exista um departamento responsável pela formalização de normas, procedimentos e instruções de trabalho, ficará muito fácil transformar o “bom senso” em conhecimento formal. A equipe de tecnologia, recursos humanos, departamento jurídico juntamente com outros departamentos, poderão formar um comitê interdisciplinar: cada nova resolução deverá ser aprovada pela alta administração e com ajuda do grupo de formalização e divulgação, estará adequada à produção.

Estas são algumas dicas: claro que jamais substituem o auxílio de um grupo de especialistas com uma base sólida e com conhecimento tácito, capacitados a catalisar o processo de uma análise de risco, ou a definição de uma política de segurança da informação. Com estes três pontos, fica presente a possiblidade e a necessidade de dar o primeiro passo!

Thursday, September 5, 2002

Tamanduá Network Intrusion Detection System

Gustavo Scotti, consultor estratégico da Axur Information Security.

É com muito orgulho que estamos lançando a nova versão do Tamanduá Network Intrusion Detection System. Em sua nova versão 1.2. – testada e atualizada em conjunto com a comunidade mundial de segurança da informação, o Tamanduá NIDS explora o que há de mais eficaz na arte da detecção de intrusos pela análise de pacotes de rede.

Durante seu período de teste, onde apenas desenvolvedores experientes estavam em condições de operá-lo, o sistema aprendeu muito; sua evolução resultou em um software adaptado às necessidades reais do dia-a-dia de um administrador de rede.

Base ao retorno da comunidade de segurança, conseqüência única do nosso empenho em oferecer uma tecnologia “um passo a frente” ao que já existe no mercado de código aberto, o Tamanduá Labs, centro de desenvolvimento de tecnologia da Axur Information Security (www.axur.com.br) comprova mais uma vez a alta qualidade dos produtos 100% nacionais.

O esforço conjunto e a capacidade técnica de altíssimo nível da ViaConnect (www.viaconnect.inf.br), com o desenvolvimento das regras que hoje servem o Tamanduá NIDS, foi fundamental para o sucesso deste projeto.

Dentro as novas características do Tamanduá NIDS – além da fácil instalação e da interface amigável, podemos destacar:

IDS Distribuído
O Tamanduá trabalha de forma distribuída. O console centraliza as configurações, regras e registros, enquanto os sensores são distribuídos em sua rede.

Sniffer Inteligente
Os mecanismos de coleta e distribuição de dados são feitos através de comunicação assíncrona e de plug-ins. O Tamanduá NIDS pode analisar a ameaça em diferentes pacotes de rede, seguindo a sessão da conexão, ao invés de análises simples, em pacotes isolados.

Defragmentação
O sniffer inteligente faz o processo de defragmentação – a análise é ideal mesmo em uma situação onde a fragmentação é intencional, como ocorre com o fragroute. Além disso, cada fragmento é processado, permitindo uma análise de vulnerabilidades baseada na má formação de pacotes fragmentados.

Suporte a Mini-MTU
Se o MTU da interface de rede utiliza, intencionalmente, pacotes com uma quantidade reduzida de dados, ainda assim não comprometerá a análise da sessão. Por exemplo, se procuramos pela palavra “AXUR”, e esta palavra estiver distribuída em quatro pacotes de rede, o Tamanduá NIDS conseguirá identificar a assinatura através de seu mecanismo de Mini-MTU. Em outras palavras: uma análise baseada na pesquisa de dados (string match), vai comparar o dado com o conteúdo do pacote, e havendo uma parcial checagem correta, esta se estenderá ao próximo pacote da sessão.

Sistema rodando em múltiplas threads
O Tamanduá roda em 3 threads distintas: (1) capture thread , coleta os pacotes de rede e insere os dados a uma lista de análise; (2) analyze thread, realiza a análise da fila de pacotes gerada pela capture thread e distribui esses pacotes para cada plug-in registrado sob a função de análise de rede; e (3) administrative thread , que se encarrega das funções administrativas do software, do controle dos plug -ins e sistema operacional.

Mecanismo MLB (Multi-Layered Boolean)
Tecnologia exclusiva; organiza as assinaturas provendo instruções confiáveis capazes de garantir que o ataque está mesmo ocorrendo. Significa que através desta tecnologia do Tamanduá Labs, é possível que não haja falsos-positivos (dependendo, logicamente, das assinaturas disponíveis). O sistema Tamanduá NIDS, possui um formato de assinatura extremamente simples, ficando muito fácil criar e personalizar cada regra a sua necessidade.

Instruções Complexas
As instruções do Tamanduá NIDS incluem padrões de RFC para os protocolos IP, TCP, UDP e ICMP. Possui também eficientes instruções de análise para os dados de aplicação, como strlen, string, data e log, esta última que registra porções do pacote, deixando os registros mais completos e ricos em informações.

Registro em Banco de Dadoss
O software Tamanduá NIDS possui um mecanismo nativo que registra os dados em uma base do tipo MySQL. Desta forma fica extremamente simples manipular os dados e gerar seus próprios relatórios, utilizando a sintaxe SQL.

Registros de Pacotes
O Tamanduá NIDS pode gravar toda a sessão ativa de uma assinatura, para a sua posterior averiguação, ou até para simular a sessão gravada. Um exemplo prático desta característica seria a necessidade de registrar a sessão de todos os operadores de mainframe, com acesso administrativo. Cada sessão pode ser gravada e posteriormente “executada”, onde o responsável pela segurança poderá visualizar a sessão do usuário em tempo proporcional ou acelerado – ferramenta Tamanduá Packet Replayer, disponível somente na versão comercial.

Plug-ins de Resposta Imediata
Nesta versão do software Tamanduá, há dois tipos de resposta. O response-exec e o response-reset. Operando no sensor, estes plug-ins disparam ações proativas para eliminar a ameaça. Você pode, por exemplo, colocar um IP em quarentena no firewall ou interromper a sessão de rede. Há ainda a possibilidade de utilizar uma regra que force o plug-in de resposta imediata ser acionado.

Relatórios Dinâmicos em Web
O Tamanduá vem com uma interface de visualização dos registros que faz filtros pelo sensor, perfil e por intervalos de tempo (diário, semanal e mensal).

Contato
A nova versão do Tamanduá já está disponível para download, e não requer a compra de licenças: http://tamandua.axur.org.

Por enquanto, a versão 1.2 do Tamanduá está disponível apenas para UNIX e depende de alguns pré -requisitos, descritos no seu manual, disponível no website oficial.

Tuesday, August 20, 2002

PDA - Pequenos no tamanho, grandes no risco

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

A dimensão da análise de risco, enquanto disciplina de um processo segurança da informação, nos permite diversas interpretações acaso trouxermos a salvaguarda do conhecimento ao nosso particular. Somos todos integrantes da aldeia global - talvez, você principalmente, leitor deste artigo que trata de tecnologia da informação -, e preciosismos a parte: não podemos tanto, quando longes do nosso notebook, da nossa conexão com a Internet e de nosso handheld. Afinal de contas, estes dispositivos portáteis, principalmente o handheld, oferece alguma proteção? Quais são os seus riscos e controles de segurança?

Nenhuma outra frase explica melhor o papel de um handheld que o já famoso “Organize sua vida”, e fica fácil entender o porquê, além de gerenciar números de telefone, datas de aniversário, senhas de diversos sistemas, despesas de viagem e listas de tarefas, ele ainda cabe em sua mão. Diria, ao exemplo do que já foi experimentado em todas as panacéias tecnológicas: centralize a solução e terás um ponto único de falha.

São poucas as técnicas especialmente desenvolvidas para a burla destes dispositivos, mas não tenha dúvida, conforme for sua evolução e participação no way-of-life do profissional moderno – expondo à atenção dos habituais “hackers” -, sentiremos a premente necessidade de certificar a segurança do nosso equipamento. Neste espectro de soluções de segurança para handhelds, podemos sugerir deste uma discreta senha de acesso ao sistema operacional, até backup automático e criptografia de todos os seus componentes.

Dependência é a palavra-chave, seguida pela privacidade – pilares que sustentam a segurança da informação, representantes legítimos da disponibilidade e da confidencialidade. Imagine perder aquela sua imensa lista de contatos, ou aquela lista de tarefas planejada para médio e longo prazo. É claro que existe um recurso que já permite o backup automático deste tipo de informação, mas e a lacuna entre as atualizações, uma vez que a autonomia destes dispositivos pode chegar a quinze dias?

Atualmente, qualquer sujeito que possuir acesso ao seu handheld ou ao dado sincronizado na sua base, pode acessar esta informação – pelo menos na forma padrão como é utilizado o dispostivo.

Quando lembramos que o ataque mais popular entre os espiões digitais continua sendo a engenharia social, talvez pareça que obter acesso a uma simples lista de tarefas ou agenda telefônica possa ser a chave para persuadir outrem a dispor de informações ainda mais sigilosas. Imagine que já existe um programa chamado “No Security”, facilmente encontrado na Internet, que permite o acesso aos conteúdos do dispositivo mesmo quando este está protegido pela autenticação nativa do sistema.

Façamos então uma rápida análise dos riscos frente aos handhelds: sem muito esforço identificamos uma série de ameaças que exploram suas vulnerabilidades – inerentes à tecnologia, onde destacamos a possibilidade do roubo, quebra ou perda do equipamento, visualização indevida da informação e interceptação de dados (quando do uso da tecnologia de infra-vermelho) por terceiros. Para a grande maioria dos riscos, felizmente, há uma solução, onde destacamos:

§ Encriptação completa de dados: alguns programas já permitem a encriptação de 128 ou 512 bits, utilizando o algorítimo Blowfish
§ Encriptação sob-demanda: transforma determinados documentos em conteúdo cifrado
§ Senha one-way: transforma a senha armazenada em um hash, evitando que a mesma seja lida
§ Auto-lock: tranca o sistema após período pré-determinado de não utilização
§ Máscara para senhas: proteção contra a visualização da senha durante sua entrada

Estes são apenas alguns dos diversos meios de proteger seu handheld, tecnologias que são comercializadas e podem ser encontradas em portais especializados.

Enquanto assistimos a transformação de velhos conceitos, tendendo a redução do fator “complicação” em ferramentas de uso profissional, concluimos: assim também deve ser com a gerência do risco. Diria, além da utillização de uma boa senha, do backup e da criptografia de dados classificados sensíveis ou confidenciais, sobra muito pouco senão recomendar “redobre seu cuidado”. A exemplo do que já é canto dominical para participantes de programas de conscientização de segurança da informação quando o assunto é laptops ou similares, evocamos o aforismo “fique de olho”. Na utilização destes pequenos equipamentos de processamento e armazenamento da informação, você é o mais eficiente controle de segurança.

Saturday, June 15, 2002

Informação: Classificar é Preciso

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Classificar é preciso, e assim prossegue a epopéia da nau corporativa chamada ‘Segurança’, trilhando mares bravios em busca da qualificação de seu patrimônio informático, ao melhor modelo “conhecer para então proteger”. Com a evolução dos dados e sistemas, a informação ganhou mobilidade, inteligência e real capacidade de gestão. A informação é substrato da inteligência competitiva; deve ser administrada em seus particulares, diferenciada e salvaguardada. Quem é quem neste mundo da informação? Quais são as melhores práticas para sua classificação? Como atuam as organizações líderes em seus respectivos setores?

A organização moderna é um grande organismo; tende ao crescimento, alimentada pela produção e operada pelo seu corpo funcional. Pense em uma analogia com o corpo humano: o grupo executivo como a mente – arquitetando objetivos e metas, em equilíbrio e sintonia com os órgãos, respeitando seus limites e suas funções. Como é que este organismo se comunica? Seu fluído vital, é a informação. Seguindo esta linha, a interrupção do fluído circulante significa paralisação das funções deste organismo e de seus processos de negócio. Em tempos de gestão integrada, onde ponteiros “suiços” indicam resultados, garantir a disponibilidade, a integridade e a confidencialidade da informação é um compromisso com resultados.

Para que o processo de classificação possa ser guiado com êxito, não dependendo exclusivamente da avaliação do consultor de segurança, faz-se necessário o envolvimento dos criadores, gestores, curadores e usuários da informação. Estes devem estar habilitados a responder aos seguintes questionamentos.

A. Qual a utilidade da informação?
Aparentemente simples, a resposta para esta pergunta deve ser consolidada base a uma visão holística – a informação é parte de um todo muitas vezes indecomponível. A informação que suporta o departamento comercial tem diferente utilidade quando confrontada com as informações provenientes da engenharia. Quando justificar utilidade, lembre sempre dos fins: suporte, operação, estratégia e etc.

B. Qual o valor da informação?
Existem diferentes métodos para a valoração da informação. São abordagens qualitativas, quantitativas e mistas; algumas compostas de cálculos e fórmulas herméticas - por vezes tão confusas que causam suspeita aos homens de espírito prático. Acredito que tão ou mais eficiente que o aparato analítico informatizado seja a avaliação pessoal do dono da informação. Ele saberá qualificar sua munição: qual o prejuízo caso esta informação seja revelada ou comprometida? Caso haja dificuldade em compor o resultado através de um indicador financeiro preciso, vale também a descrição através de escalas de classificação.

C. Qual a validade da informação?
Salvo exceções justificadas, toda a informação deve possuir um período de validade – manter informações desatualizadas, redundantes ou de integridade duvidosa, quando não por imposição legal, significa espaço em disco, leia-se “custo adicional”.

D. Quem é responsável pela manutenção da classificação da informação?
Em algumas organizações, o criador da informação é responsável pela sua classificação inicial nos quesitos da tríade da segurança – confidencialidade, integridade e disponibilidade. Esta classificação deve ser acompanhada pela definição de grupos, perfis ou usuários individuas com permissão para o acesso.

Classificação Comercial

Usualmente a informação comercial é classificada dentro das categorias: (1) sensível – requer precauções especiais; (2) confidencial – caso seja revelada pode afetar seriamente a companhia; (3) privada – informação sobre o corpo funcional; (4) proprietária – caso seja revelada, pode reduzir a margem competitiva; e (5) pública - informação que não se enquadra nas categorias anteriores, caso revelada não afetará a organização. É sempre importante que este formato seja adaptado às particularidades da sua organização.

Uma pequena tasklist que poderá servir de suporte para o trabalho de classificação:

>• Identifique quem é o dono da informação;
• Especifique quais critérios serão utilizados para sua classificação
• Converse com o dono da informação – esta deve ser enquadrada em alguma das categorias indicadas acima;
• Indique qual o nível de segurança necessário para proteger cada categoria;
• Documente exceções;
• Crie rótulos para a informação impressa e digital;
• Defina o método que será utilizado para transferir a custódia da informação;
• Indique um procedimento a desclassificação da informação;
• Treine e conscientize os usuários – é importante que todos saibam como classificar e manusear diferentes tipos de informação.

A classificação é uma poderosa ferramenta para salvaguardar a informação: através da identificação, classificação e rotulagem, pode-se aplicar diferentes métodos de proteção – guiado sempre pelo indicador de segurança. Isso evita investimentos inadequados, caracterizados pelo já conhecido jargão de segurança que canta “Não faz sentido um cofre mais valioso que o conteúdo protegido”. Será que o nosso “cofre” não está sobrecarregado com outro papel, que não o papel moeda? Devemos permitir e incentivar a circulação da informação, atentando à diferença entre distribuir informações vitais para a gestão inteligente do seu negócio à exposição incontinente da massa crítica em circulação. Então, o que é crítico? Classifique.

Friday, June 7, 2002

Não fique parado!

Jefferson Borges, consultor comercial da Axur Information Security.

Até que ponto a informação da sua empresa está segura? Esta é uma pergunta de difícil resposta – pergunta que nos leva longe; a prerrogativa é “estarei seguro até que se prove o contrário”, famosa falsa sensação de segurança. Será o mais adequado? Segurança da informação não é moda, é tendência: compreender sua importância em tempos de gestão do conhecimento, é estar à frente da inquietação que nos provoca a pergunta inicial.

São raras as organizações que investem suficiente atenção neste assunto tão delicado, o que lembra a “psicotização” de uma situação organizacional; os executivos, quando interrogados, respondem estarem atentos e preocupados com o altíssimo número de incidentes de segurança, mas não fazem muito para mudar esta situação. Será que ataques ocorrem somente contra a empresa do vizinho? Vazamento de informação, ataque contra sua página, interrupção nos seus serviços: aí estão alguns atributos do share of mind que ninguém deseja.

Como sua empresa está situada neste cenário? Tente responder as perguntas abaixo e tire suas próprias conclusões.

• A alta administração entende a segurança da informação como ponto crítico e de importância estratégica? Existem objetivos de segurança identificados e formalmente priorizados?

• A organização conhece as modernas técnicas de análise de risco como PARA - Pratical Application of Risk Analysis? Há algum tipo de vínculo entre a organização e especialistas em segurança da informação (conhecimento tácito)?

• A organização possui um index referencial com métricas quantitativas, qualitativas e mistas para identificas níveis adequados de segurança da informação?

• A coordenação de segurança possui autonomia para ações táticas, emergenciais e operacionais? Esta coordenação segue as diretrizes de segurança estabelecidas pela alta administração?

Quando se reflete acerca dos controles mínimos de segurança da informação, somos automaticamente levados a imaginar um gigantesco aparato tecnológico com altos investimentos e consultorias eternas. Todas as boas soluções são simples, o que não pode ser diferente quando se fala em um projeto de segurança da informação. A inserção da cultura organizacional inicia pelo exemplo do Grupo Executivo, pela avaliação dos valores, da missão da empresa, da visão do estrategista; “Onde queremos chegar? E como a informação é importante para atingirmos nossos objetivos? Vale a pena protegê-la”.

É preciso repensar, planejar e agir. Ação: porque o tempo nos deixa em desvantagem frente ao futuro, nunca sabemos o que vem adiante, e precisamos garantir o mínimo de estabilidade. Em termos de definição estratégica, temos com a Análise de Riscos uma ótima ferramenta para avaliação interna, identificando e parametrizando a criticidade dos pontos fracos e dos pontos fortes da estrutura por onde correm os nossos dados.

O risco sempre existirá, até mesmo porque frente ao desconhecido não temos como nos proteger. Diagnosticar o ambiente, implementar controles, minimizar e administrar riscos – podemos sim saber o que se passa, e quem sabe transformar ameaças futuras em oportunidades. Por isso, não fique parado!

Saturday, May 11, 2002

Análise de Risco: O que se diz, o que se faz, e o que realmente é

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

É perceptível o crescente interesse das organizações brasileiras por saber qual seu grau de exposição frente às ameaças capazes de comprometer a estabilidade da sua operação. São ameaças que nos fazem suar frio: concorrentes, hackers, funcionários insatisfeitos, que somadas ao grande número de vulnerabilidades nos sistemas tecnológicos, materializam o nível de risco de uma organização. Arriscar faz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro.

Antes de detalhar o que representa uma Análise de Risco, vamos sincronizar nossos termos. Por segurança entende-se ‘certeza’. Garantir que as suas estratégias retornarão no nível desejado significa identificar e entender os riscos, para então administrá-los. Estar vivo, por exemplo, significa “arriscardiariamente”.Atravessar a rua, ir ao jogo de futebol ou dirigir são exemplos de situações que envolvem fatores de risco; mas como já estamos acostumados a enfrentá-los, formamos um instinto natural para o cálculo de energia utilizada para minimizar e controlar os riscos.

Podemos utilizar a mesma analogia para o mundo corporativo onde o “estilode vida” é a operação da empresa, a exposição é o alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido para conhecer e controlar a situação.

Como analisar riscos sem estudar minuciosamente os processos de negócio que sustentam sua organização? Como classificar o risco destes processos sem antes avaliar as vulnerabilidades dos componentes de tecnologia relacionados a cada processo? Quais são os seus processos críticos? Aqueles que sustentam a área comercial, a área financeira ou a produção? Você saberia avaliar quantitativamente qual a importância do seu servidor de web? Para cada pergunta, uma mesma resposta: conhecer para proteger.

A Análise de Risco se divide em cinco partes de igual importância: isoladas, estas partes representam muito pouco ou quase nada. Alinhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na busca ao nível adequado de segurança de uma organização. Os cinco pontos são:

• Identificação e Classificação dos Processos de Negócio
• Identificação e Classificação dos Ativos
• Análise de Ameaças e Danos
• Análise de Vulnerabilidades
• Análise de Risco

Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível a elaboração do perfil de risco, que segue a fórmula: (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Atenção: a ISO/IEC 17799 não ensina a analisar o risco, serve apenas como referência normativa.

O que mais incomoda aos consultores exigentes, é o crescente número de empresas “de segurança da informação” que dizem preparar a “análise de risco”,mas na verdade fazem, quando muito, uma “análise de vulnerabilidades”.Coisa muito sem sentido, mas que até engana, afinal de contas os conceitos de Análise de Risco são ainda pouco conhecidos. Analisar riscos, definitivamente não significa passar um scanner automático na rede. Desconfie quando propuserem analisar o “risco”, sem mencionar como será avaliada a ameaça e como serão valorados os ativos (tecnológicos, humanos e processuais).

São muitas as dúvidas sobre o assunto. Reuni neste artigo apenas algumas, representando de maneira bastante objetiva, o que acredito ser de interesse dos gestores de tecnologia.

A - Por que fazer uma análise de risco?
Durante o planejamento do futuro da empresa, a Alta Administração deve garantir que todos os cuidados foram tomados para que seus planos se concretizem. A formalização de uma Análise de Risco provê um documento indicador de que este cuidado foi observado. O resultado da Análise de Risco dá à organização o controle sobre seu próprio destino – através do relatório final, pode-se identificar quais controles devem ser implementados em curto, médio e longo prazo. Há então uma relação de valor; ativos serão prottegidos com investimentos adequados ao seu valor e ao seu risco.

B - Quando fazer uma análise de riscos?
Uma análise de riscos deve ser realizada – sempre – antecedendo uinvestimento. Antes da organização iniciar um projeto, um novo processo de negócio, o desenvolvimento de uma ferramenta ou até mesmo uma relação de parceria, devese mapear, identificar e assegurar os requisitos do negócio. Em situações onde a organização nunca realizou uma Análise de Risco, recomendamos uma validação de toda a estrutura.

C - Quem deve participar da análise de riscos?
O processo de análise de riscos deve envolver especialistas em análise de riscos e especialistas no negócio da empresa – esta sinergia possibilita o foco e a qualidade do projeto. Um projeto de Análise de Risco sem o envolvimento da equipe da empresa, muito dificilmente retratará a real situação da operação.

D - Quanto tempo o projeto deve levar?
A execução do projeto deve ser realizada em tempo mínimo. Em ambientes dinâmicos a tecnologia muda muito rapidamente. Um projeto com mais de um mês em determinados ambientes -, ao final, pode estar desatualizado e não corresponder ao estado atual da organização.

Então...
Conhecer o risco é ganhar mobilidade. Alguns riscos - como o choque de um avião contra o nosso prédio -, só poderemos evitar a um alto custo; não é isso que queremos. Esse diagnóstico, que até bem pouco tempo ocultava-se sobre pequenas e isoladas iniciativas do grupo de tecnologia da informação, quase sempre relacionado a aspectos técnicos da famosa “análise de vulnerabilidades tecnológicas”, já é reconhecido como ferramenta de suporte estratégico.

O conceito de análise de risco está intimamente relacionado a figura de Competitive Intelligence (Inteligência Competitiva), uma vez que agrega “solidez” à informação corporativa. Quem sabe, com a condição de controlar as ameaças, não poderemos derivar desta ferramenta o conceito de “administração decenários”? A escolha é sua: quem dá as cartas?

Friday, April 26, 2002

O Fator Humano na Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Apesar de muito recente, a matéria que trata da informação corporativa já é considerada elemento chave na proteção e no sucesso dos negócios geridos em ambientes alicerçados pela tecnologia da informação. Com a evolução dos sistemas tecnológicos, a segurança da informação tem-se mostrado cada vez mais presente nos diversos departamentos que estruturam uma organização, evidenciando que além da turma de tecnologia, outros departamentos possuem papel crítico no suporte às diretrizes da política de proteção da informação. Neste pequeno artigo darei ênfase à participação do departamento de Recursos Humanos na segurança corporativa.

Em base a estatística de que a grande maioria dos incidentes com a informação é proveniente de vulnerabilidades que são exploradas (consciente ou inconscientemente) por pessoas, seja no mau uso de software, desconhecimento de regras de segurança ou liberação proposital de informações confidenciais, fica fácil perceber como é importante e indispensável a participação deste mediador – o departamento de RH - na consolidação de um plano de ação para a implementação e manutenção dos controladores culturais, o que chamamos de “organizacional culture”, no ambiente corporativo.

A participação do departamento de Recursos Humanos inicia na definição dos requisitos de segurança para a identificação de cargos críticos, funções, regras e responsabilidades. Parece pouco? Nunca uma sentença tão curta teve um sentido tão amplo.

Pela identificação de cargos, mapeamos todas as atividades críticas que possuem elevada importância no trato da informação, ou contato indireto com ambientes que possam estar vulneráveis a atividade humana. Por exemplo, mapeando o departamento de informática podemos identificar que alguns operadores possuem acesso completo ao sistema de gestão integrada – sistema considerado por processar informações sigilosas. Outro exemplo de função crítica, mesmo que indiretamente relacionada à segurança, é o pessoal responsável pela limpeza da sala mantenedora dos servidores críticos para a organização, onde passar um pano sobre o equipamento pode significar desliga-lo e tirar a empresa de operação.

Sabemos então que, todos as posições de trabalho devem ser analisadas, levando em consideração: (a) contato com o ambiente onde há informação sigilosa e; (b) contato com a informação sigilosa.

Isto implica que devemos, na análise de cada cargo, determinar requisitos pessoais e profissionais específicos para identificar o perfil adequado de quem irá operar em determinada posição. Cada profissional deverá possuir uma definição formal do seu cargo, o nome do seu departamento, a quem ele se reporta em caso de incidente e como a segurança da informação se inclui nas suas responsabilidades de trabalho.

Nosso próximo passo será o de selecionar dentre os candidatos à vaga, aquele que melhor corresponde às necessidades observadas durante a definição do perfil (planejamento). Baseado na ISO/IEC 17799 listarei abaixo algumas das melhores práticas aplicadas a esta tarefa, segue:

a) Verificar pelo menos uma referência profissional e pessoal
b) Confirmar qualificação acadêmica
c) Avaliar conhecimento necessário para a colocação oferecida
d) Verificar documento de identificação (identidade, passaporte e etc.)
e) Verificar crédito (em caso de envolvimento em atividade financeira)

Além dos pontos indicados acima, será necessário estabelecer um acordo de confidencialidade. Este acordo é um assunto que deve ser tratado com especial cuidado – determinará a conduta do colaborador no manuseio da informação. Para que este acordo possua uma boa fundamentação, faz-se necessário o desenvolvimento de uma política de classificação da informação corporativa. Outro documento indispensável é o termo de responsabilidade sobre a propriedade, custódia e o uso e da informação.

Lembre que estes documentos devem ser aplicados também ao colaborador casual e ao prestador de serviço. Em caso de alteração nos termos do contrato, deve haver uma revisão noo acordo de confidencialidade e no termo de responsabilidade sobre a informação. Estes documentos devem ser armazenados na pasta funcional do colaborador, junto com outras informações que interessarem à organização.

Todos os colaboradores deverão passar por um treinamento antes de iniciarem suas atividades na empresa. Estes treinamentos devem ser formatados em vários níveis, dependendo sempre da área em que o colaborador atuará: inclui desde a equipe de vendas até o administrador do banco de dados. Recomendo, de maneira global, que os itens abaixo sejam abordados durante o treinamento:

a) Classificação, manuseio e descarte de informações
b) Acesso aos sistemas
c) Vírus de computador
d) Backup
e) Utilização de softwares não licenciados
f) Uso da internet
g) Uso do e-mail
h) Engenharia social
i) Uso de notebooks
j) Segurança física e ambiental

Este treinamento deverá servir também como apoio à divulgação da política de segurança da informação.

Existem também procedimentos utilizados quando do desligamento do colaborador, mas deixarei este assunto para um próximo artigo. A participação do departamento de Recursos Humanos na segurança corporativa é um assunto que permite diversos desdobramentos, poderia ainda escrever sobre o processo de resposta a incidentes, sobre o fluxo de desativação do acesso do usuário quando do seu desligamento, métricas qualitativas e quantitativas de aderência dos colaboradores às regras de segurança da organização, processos disciplinares e outros.

Para que possamos sustentar a necessidade da inserção destes controles processuais dentro da nossa organização, devemos objetivá-los muito claramente, significa compreender que a contratação, o treinamento e a manutenção do recurso humano são fatores críticos na redução de riscos de erros humanos, roubo, fraude e até mesmo o uso indevido de recursos relacionados à informação.

Espero que este pequeno artigo seja verdadeiramente útil aos gestores de segurança da informação, fico à disposição para a troca de idéias, afinal de contas ainda estamos longe de esgotar este assunto.

Monday, January 28, 2002

Dez razões para escolher a Axur

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

A escolha de uma boa consultoria de segurança da informação é o ponto máximo em projetos nesta área, delimitador daquilo que compreendemos como o sucesso ou fracasso no ideal estratégico de tornar a organização mais segura. Com o passar dos anos muitas “especializadas” apareceram no mercado. Destas, destacaram-se algumas com ótimas idéias, mas pouca experiência, outras com muita experiência, mas incapazes de entregar ao cliente um produto verdadeiramente aproveitável – os famosos super-hackers, que esquecem o perfil estratégico da segurança como parte fundamental do business. Sem contar aquelas que desapareceram do mercado, incapazes que foram de compreender a necessidade de somar ao cliente como um parceiro de longo prazo.

Iniciei escrevendo este pequeno texto com o título “Cinco razões(...)”,depois de conversar com alguns clientes e consultores acabei aceitando acrescentar outras cinco razões, totalizando dez. Não vou além porque respeito o tempo do leitor, o que não exclui a possibilidade de uma segunda parte em, quem sabe, “Mais razões(...)”.

Sugiro que antes de contratar a empresa que cuidará da segurança da sua informação, você reflita sobre estes pontos, que considero fundamentais. Verifique se os interessados em cuidar da sua organização são capazes de apresentar os resultados esperados. Compare a vontade, afinal isto é benchmarking. Um pouco de paciência agora, ao ler estes dez itens, poupará muito seu tempo no futuro. Segurança é parte da lucratividade do negócio.

1-) Consultoria atende às necessidades da sua empresa

Um projeto de segurança da informação deve possuir um horizonte bem definido e delineado. Foco na melhoria, foco no resultado: entender que o cliente deseja e merece o “estado da arte”, utilizando normasinternacionais como a ISO/IEC 17799. Responda a pergunta: “Onde sua organização quer chegar?” e apresentaremos quais são os controles d segurança específicos para permitir que este plano futuro possa ser alcançado de forma segura, sem comprometer a sua informação.

2-) Definição clara dos objetivos da consultoria

E nada melhor do que ser objetivo, evita surpresas desagradáveis. Significa listar os objetivos do projeto e apresentá-los de forma clara, permitindo ao cliente direcionar o resultado em base às suas estratégias. Permite otimizar o tempo de projeto e evitar a “livre interpretação” de um escopo de trabalho.

3-) Coerência no tempo de execução do projeto

Um projeto é algo com começo, meio e fim (ou pelo menos deveria ser). Devido à dinamicidade dos ambientes de tecnologia nas organizações atuais, um projeto com duração maior que três meses, ao seu término, não servirá mais como referência ao “atendimento atual” de segurança da informação da organização, por isso: muito cuidado! Com a Axur não há surpresa. O projeto é acompanhado via web e em reuniões pontuais, qualquer situação que possa atrasar ou comprometer o andamento do projeto é reportada imediatamente, a palavra é: pró-atividade.

4-) Profissionais especializados (e o melhor, disponíveis)

Não há nada pior que comprar “gato por lebre”. Onde está aquele CISSP ou o outro CISA, e o MCSE? Você paga pelo melhor, então você quer o melhor. É claro que é difícil definir antecipadamente, quais serão exatamente os profissionais que participarão do seu projeto de segurança da informação, mas é justo que o cliente saiba quem está disponível e possa reavaliar a alocação de um determinado recurso.

5-) Conhecimento nas operações do negócio da sua empresa

Entendimento do seu negócio. Aceitar que cada empresa tem metas, nichos de mercado e objetivos diferentes, é aceitar que há um perfil específico de consultor para atender melhor a sua organização. Um consultor com experiência no setor financeiro é valioso a medida em que se mantêm a par das melhores práticas deste mercado, atendendo o cliente da melhor maneira, o que só é possível com conhecimento de causa. É este profissional, adequado ao seu negócio, capaz de compreender as exigências da regullamentação do seu setor, que faz parte da equipe Axur.

6-) Resultados reportados da maneira adequada clara e organizada

“Criptografia assimétrica na comunicação remota?” E dizem quesegurança não pode viver longe do informatiquês. Nós acreditamos que pode e que em alguns documentos, definitivamente, deve. Com a Axur, você recebe um produto final na seguinte configuração: Relatório de Análise de Vulnerabilidades, (aqui está o técnico!) com a descrição completa de todas as vulnerabilidades identificadas no ambiente corporativo, contém ficha de vulnerabilidade com o seu nome, sua descrição individual, impacto e criticidade; Relatório Estratégico, (e aqui o estratégico!) sumário com o apontamento de todas as macrovulnerabilidades, apresentando sinteticamente e de maneira gerencial, análise de benchmark e objetivos estratégico;

7-) Segurança da sua, e da nossa informação

Sabemos que não existe um sistema 100% seguro, o que soa descabido quando escrito por uma empresa de segurança da informação, mas podemos chegar a níveis mínimos de risco. Afinada com o que há de mais moderno em técnicas de criptografia a equipe da Axur possui um exclusivo sistema de virtual Office, onde todos os documentos relacionados ao projeto são autenticados e armazenados com total segurança.

8-) Soluções focadas na estratégia da empresa

Compreender a importância da informação é fácil. Basta imaginar o que seu concorrente poderia fazer em posse dela. Com o emprego de sistemas de gestão centralizada, com a mesma facilidade que acompanhamos os resultados financeiros de uma empresa (já organizadas e apresentadas de maneira legível, inclusive a um leigo) outro qualquer, com este nível de acesso, pode se valer destes dados valiosíssimos para comprometer a sua estratégia de atuação no mercado. Não deixe de apostar na tecnologia da informação, utilize conceitos de gerenciamento associados ao que há de mais moderno em soluções de segurança: não veja segurança da informação como uma parte da parte, e sim como uma parte do todo.

9-) Envolvimento da organização como um todo

Ao invés de utilizar somente scanners – aplicações que através de um banco de dados pré-definidos identificam e mapeiam as vulnerabilidades tecnológicas na rede, a Axur convida toda a sua empresa a participar do projeto. A importante participação de todas as gerências, funcionários, terceiros e parceiros de negócios é fundamental para o sucesso de um empreendimento de segurança. Vale lembrar que o ser humano é o ponto mais vulnerável desta estrutura que manipula a informação, portanto: treinamento, divulgação e conscientização.

10-) Custo coerente e competitivo

Grande barreira à implementação de um projeto estratégico de segurança da informação: o preço. Depois da “corrida pelo ouro” domercado, ficaram apenas aquelas empresas capazes de apresentar soluções com preços realmente competitivos, sem overhead, soluções adaptadas ao perfil do cliente. Afinal de contas, não é justo cobrar mais pelo cofre do que o dinheiro que ele armazenará. Todo o investimento é mensurado em uma análise de Return on Investment e Return on Opportunity, ferramentas que permitem ao gestor acompanhar o verdadeiro sucesso do projeto, que é a redução de custo operacional e adição de valor ao negócio.

Fica registrado nosso compromisso. Nos preocupamos com segurança para que você não tenha que se preocupar com isso. Entre em contato conosco, nós podemos ajudá-lo na sua estratégia de negócio.