Tuesday, December 9, 2003

Análise Forense: Processo de Investigação Digital

Victor Hugo Menegotto, consultor da Axur Information Security.

Incidentes de segurança fazem parte da rotina de diversas organizações, abrangendo desde roubo de informações até brincadeiras de mau gosto de funcionários. Na maioria dos casos, os incidentes ocorrem através de meios internos, de conhecimento dos colaboradores, sejam estes funcionários, prestadores de serviço ou terceiros. Os incidentes que ocorrem por intrusão externa, executada por hacker ou similar, não são menos comuns, porém curiosamente nem sempre há o interesse da organização para que seja executada uma perícia técnica do caso. Os casos nos quais uma perícia técnica é requisitada, tem quase sempre, a participação de interfaces internas da organização.

Um processo de investigação forense – conhecido “forensics” -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.

Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente, de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.

Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado. Para isso é necessário que seja formada a corrente de custódia. Este é o termo utilizado para caracterizar o processo de coleta, análise, armazenamento, apresentação do ativo ao tribunal e retorno do ativo periciado ao seu dono (pode ser um computador, disquete e etc). São tantos os fatores que podem intervir na manutenção de uma boa corrente de custódia que recomenda-se a utilização de algumas normas internacionais, como por exemplo a HB 171:2003 (Norma Australiana com Procedimentos de Gestão de Evidências de Tecnologia da Informação).

Lembre-se, muito da credibilidade da sua evidência vem da capacidade que você tem em provar para o tribunal que sua análise foi isenta e que não houve qualquer alteração no ativo periciado. Uma boa evidência deve ser confiável, suficiente e relevante.

Em muitos casos, durante um processo de análise forense, o departamento de tecnologia desempenha forte papel operacional no auxílio à perícia, fornecendo a base fundamental do processo, como registros de sistemas, fornecimento de equipamento e estrutura tecnológica. Não só a área de TI, mas todos os setores envolvidos no incidente são fundamentais. Como também, a participação da Alta Administração, que ajuda a garantir a colaboração da organização como um todo.

Apesar de uma perícia técnica sempre buscar evidências que sejam conclusivas ao processo, nem sempre isso é possível, a maior parte das evidências encontradas em processos de Forensics são registros de sistemas, os quais são juridicamente considerados do tipo hearsay evidence, ou seja, registros gerados por terceiros, que podem ser modificados. Estas evidências são comumente utilizadas em conjunto com outras evidências, criando a possibilidade de uma validação jurídica. De qualquer forma, existe a necessidade da geração de registros, que mesmo não representando prova cabal da ação de determinado agente, pode ser considerado como evidência corroborativa ou circunstancial. Para que os registros possuam a integridade necessária, é extremamente importante que sejam feitas cópias de segurança dos mesmos, e em alguns casos que estes registros sejam assinados matematicamente, com HASH MD5 por exemplo.

A falta de conhecimento de como agir no momento de um incidente pode comprometer todo o processo investigatório. Nas normas de segurança da organização, deve estar definido, para todos os usuários, a quem recorrer no momento de um incidente: geralmente o Security Officer, que deve possuir um script de como agir para cada caso, insstruindo também o agente que identificou o evento suspeito. Este, por sua vez, tem a responsabilidade de manter a corrente de custódia do ativo onde ocorreu o incidente, armazenando-o de forma adequada e lacrando-o quando necessário.

A implantação de um SGSI - Sistema de Gerencia de Segurança da Informação com base no padrão BS 7799-2 é fundamental para que as organizações tenham a possibilidade de administrar seus ativos de uma forma coerente e organizada, criando registros que facilitam enormemente eventuais processos de análise forense.

Observamos que na grande maioria das empresas, após a verificação de um incidente, ocorre quase que imediatamente a percepção da importância em se proteger os ativos de informação. O primeiro e mais prudente passo seria a realização de uma análise de risco considerando a organização como um todo, esse é sem dúvida o primeiro passo de quem leva segurança à sério. Não espere o azar, mantenha-se seguro.

Wednesday, October 29, 2003

Plano Diretor para 2004: Agenda de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Estamos nos aproximando do final do ano, época em que fechamos nosso planejamento para o próximo ano. É um momento de reflexão, momento em que devemos sopesar ações passadas considerando a sua eficiência, e as ações futuras levando em conta seu relacionamento com os aspectos estratégicos para o negócio. Não considero que a responsabilidade pela definição do Plano Diretor de Segurança da Informação – PDSI, seja exclusiva da área de tecnologia, deveria ser uma ação conjunta à Alta Administração, mas no Brasil na maioria dos casos é assim que funciona. Como estou preocupado mais com a prática que com a teoria, este artigo versará nestes moldes. Para garantir um artigo sintonizado com as últimas tendências utilizei como referência o guia do SGSI da BS 7799-2 e também a experiência de alguns dos maiores gestores de TI do país, com quem tenho algum tipo de relacionamento.

Nosso primeiro passo será listar todos os projetos relacionados à segurança que foram realizados no ano corrente. Não se pode planejar o futuro sem entender o passado, pois seria incoerente tratar de novos desafios sem antes dar o fechamento aquilo que foi realizado ou está em fase de finalização. Com base a nosso planejamento passado devemos aferir nossa capacidade de predição orçamentária considerando também a previsão de tempo, recursos e expectativas. Vou lhes contar uma regra de ouro da segurança, que parece óbvia mas nem sempre é seguida: só o que é monitorado pode ser medido, só o que é medido pode ser gerenciado. Se não houve histórico para determinarmos a performance de determinada ação, dificilmente saberemos se estamos indo para o lado certo.

Todo o investimento em um controle de segurança deve ser justificado com a minimização de um risco. Conceitualmente “controle de segurança” é tudo aquilo que se aplica na redução de determinado risco, controles são firewall, IDS, biometria, redundância de link e etc. Quanto gastar no controle? A análise de risco é quem vai dizer. Se comprei um firewall e não consigo mensurar através de informações gerenciais qual o impacto da sua ausência no negócio da minha organização, entã, não posso afirmar que eu preciso de um firewall. Lembro que esta análise deve ser preferencialmente financeira, em alguns casos – pela dificuldade que ainda temos em tangebilizar o valor do ativo informação – está a contento uma análise qualitativa apresentando o impacto da quebra da confidencialidade, integridade e disponibilidade.

Agora vamos ao que realmente nos interessa: quais são as melhores práticas para a confecção de um plano diretor anual para uma empresa de médio e grande porte. Preparei uma lista de projetos que não consideram contratação de hardware ou software, porque assim eu entraria em particulares que variam dentro de um grande espectro. Refiro-me aquilo que é imprescindível e que independente da natureza do negócio, deve ser realizado, variando apenas o escopo abrangido por cada um dos tópicos.

Janeiro – Primeira Reunião com Fórum de Segurança: esta reunião, que deve contar com a parcitipação da Alta Administração da organização, proverá direcionamento ao processo de segurança da informação, garantindo apoio a política de segurança existente e apontando quais são os níveis de risco aceitáveis para a organização.

Janeiro/Fevereiro - Análise de Riscos e Vulnerabilidades: é imprescindível que seja realizada uma análise de riscos e vulnerabilidades. Se já foi realizada uma análise no ano anterior, então é o momento de revisá-la. Esta análise deve retornar como produto um relatório que será utilizado pelo gestor durante todo o ano. O relatório de análise de risco é dinâmico e deve receber como anexo as demais análises realizadas pontualmente sobre processos que foram agregados ao negócio da organização durante o ano.

Fevereiro/Março – Plano de Continuidade do Negócio: antes do fechamento do primeiro semestre é importante que seja realizada uma Análise de Impacto - BIA, preferencialmente associada aos indicadores de criticidade dos processos listados na Análise de Riscco. Geralmente a reavaliação dos planos de continuidade geram diversas ações que fogem ao comando da área de tecnologia, responsável pela continuidade dos sistemas e muitas vezes de toda a área de telecomunicações. Ações administrativas, geralmente envolvem modificações estruturais em sites e também a contratação de terceiros. Modularize seu plano de maneira a conseguir sustentar a continuidade operacional, recuperação em caso de desastres e procedimentos para retorno a normalidade.

Março/Abril – Revisão e Confecção dos Procedimentos Operacionais e Normas de Segurança: para que haja aderência do processo de segurança à norma BS 7799- 2, faz-se necessária a documentação de todos os procedimentos operacionais e normas de segurança que garantirão a efetividade dos controles implementados. Este trabalho deve ser realizado por uma equipe especializada, uma vez que nem sempre a maneira como está sendo realizado o rodízio das fitas de backup ou o rótulo das informações, por exemplo, é o mais correto. A participação de uma equipe especializada facilita a padronização das regras seguindo os critérios das melhores práticas em segurança.

Abril – Primeiro Teste de Intrusão Externo: é indicado que sejam realizados pelo menos dois testes de intrusão em empresas que possuem endereço IP válido na internet. Após a implementação dos primeiros controles sugeridos na Análise de Risco que deve ter sido realizada no início do ano, já é momento de auditar através de tentativas simuladas de ataque a partir da Internet. Se a empresa já possui um plano de continuidade, é interessante considerar ataques de denial-of-service (esgotamento de recursos) e ensaiar a equipe de resposta a incidentes. Não se assuste quando eu escrevo “equipe de resposta a incidente”, independente do tamanho da organização deve haver alguém responsável por responder de maneira efetiva quando identificado um ataque: não importa que seja uma “equipe” de um só homem, de dez pessoas ou que seja um serviço terceirizado – como um CIRT, por exemplo.

Maio/Junho - Auditoria Tecnológica: para que haja um endosso mensal, garantindo que a empresa mantem o nível de segurança alcançado através da implementação dos controles sugeridos na Análise de Risco e delineados na Estratégia de Continuidade. Todos os controles tecnológicos devem gerar registros e estes registros devem ser verificados. A auditoria tem o caráter de envidenciar oportunidades de melhoria dentro da organização. A norma BS 7799-2 sugere que esta auditoria seja realizada por uma equipe independente e especializada, participando também o auditor interno.

Julho/Agosto - Treinamento de Funcionários: imprescindível é o treinamento dos funcionários da organização. É interessante que sejam realizados seminários tratando de temas como: Engenharia Social, Importância do Backup, Cuidados com a Senha, Classificação da Informação e etc. Em casos peculiares, considerando a participação da Alta Administração, devem ser agendados treinamentos tratando da proteção de notebook, utilização de criptografia e assinatura digital ou qualquer outro assunto que possa auxiliar à redução de risco, conforme índice indicado pela própria Alta Administração como aceitável na matriz dos riscos.

Agosto - Atualização / Treinamento do Security Officer: é tempo de atualização frente ao vasto contingente de conhecimentos que se renovam. O Security Officer ou quem for que ocupe a função de gerenciar a segurança da informação – seja este um analista, gerente, diretor ou até mesmo alguém que acumule esta função -, deve realizar pelo menos um treinamento anual para reciclagem. Este treinamento tem por objetivo o intercâmbio de boas idéias com os colegas de outras organizações e também a reflexão das melhores práticas de segurança, considerando o conhecimento e a experiência dos instrutores. Deve ser analisada também a possibilidade de um treinamento de Security Officer para uma equipe inteira, em treinamento in company. Esta prática vem sendo cada vez mais frequênte e tem trazido ótimos resultados.

Setembro – Evento Interno de Segurança da informação: para que haja o comprometimento da organização como um todo, em diversos momentos é necessário realizar trabalhos de reforço à Política de Segurança. Muitas empresas optam adotar um dia do ano como Security Day – Dia da Segurança da Informação, e aproveitam esta data para o lançamento da sua campanha de segurança, com camisetas, mousepads, pronunciamento do presidente e etc. O assunto segurança não é dos mais amigáveis. Apresentar novos controles ou conceitos que parecem tão cerceadores em um coquetel ou utilizando o recurso de um mascote, pode ser uma boa idéia.

Outubro – Segunda Reunião com Fórum de Segurança / Análise Crítica da Política de Segurança: para esta reunião é interessante que seja organizado uma espécie de Security Scorecard com indicadores de controle para cada risco tratado. Para que haja o giro do PDCA do sistema de gestão de segurança da informação, faz-se necessária uma revisão crítica da Alta Administração para endossar a continuidade da Política de Segurança da Informação.

Novembro/Dezembro - Entrevista de Aderência à Política de Segurança: a entrevista de aderência à política tem como objetivo medir a cultura de segurança da informação dos funcionários. É uma espécie de termômetro que fornece indicadores para que seja providenciado um acerto de rota. Caso seja evidenciado, por exemplo, que o departamento de engenharia está conhecendo pouco da política de backup, então entra em ação a equipe de endomarketing, sugerindo cartazes ou treinamentos específicos para elevar o conhecimento destes funcionários a um nível considerado adequado. Existem diversos softwares que realizam avaliação dos funcionários, deve-se considerar a compra ou contratação deste tipo de serviço.

Dezembro – Segundo Teste de Intrusão: é recomendado que sejam realizados no mínimo dois testes de intrusão por ano. Em algumas organizações recomenda-se testes trimestrais. Quem decide? Os interesses da organização em vista da Análise de Risco.

Além dos pontos listados acima é necessário que sejam realizadas atividades mensais, que garantam a manutenção da segurança. Uma boa prática é a realização de chekups mensais na forma de auditoria para garantir que o nível de segurança está sendo mantido. Deixe reservado um fundo que possa cobrir eventuais consultorias em uma média de 30 a 50 horas mensais, considerando a possibilidade de ocorrerem eventos pontuais que necessitem a ajuda de consultores experientes, como uma análise forense ou uma análise de vulnerabilidades em uma nova tecnologia.

A tecnologia da informação nos faz subir cada vez mais na escalada onde cada centímetro de vantagem nos dá maior participação em mercado, satistação do cliente e diferenciação. Nesta escalada não podemos subir, subir, subir sem pensar em segurança. Entenda os 127 controles apresentados na ISO 17799 como aquele pino que os alpinistas prendem à parede a cada metro de subida, garantindo que se houve algum tipo de queda, esta será controlada e estará dentro do limite de risco aceito. Espero que este perfil de direcionamento para as atividades de segurança possa ajudá-lo a organizar as prioridades para o próximo ano. Este artigo não tem a intenção de ser um modelo a ser seguido, mas de ser utilizado como benchmark na hora em que você for confeccionar seu plano para 2004.

Thursday, October 2, 2003

Desmistificando a Continuidade do Negócio: Uma análise do cenário brasileiro

Charles Schneider, consultor da Axur Information Security.

Muito se comenta sobre continuidade do negócio e para o entendimento concreto deste conceito faz-se importante à compreensão dos principais pontos que o fundamentam, tais como: grau de exposição, análise de impacto e análise de risco.

No Brasil, o PCN (Plano de Continuidade do Negócio) ainda é um conceito novo, ao contrário do que é praticado em países com maior poder econômico e tecnológico onde ele já é utilizado por inúmeras organizações. De acordo com a OMC (Organização Mundial do Comércio), uma organização permanecendo indisponível aos seus clientes ou usuários por 4 dias está designada a encerrar suas atividades.

O que acontece, principalmente a nível nacional, é que a continuidade de uma empresa ainda é vista de maneira distorcida. À vista da alta gerência, os profissionais de continuidade estão preocupados com catástrofes e desastres ao invés de estarem procurando alternativas para aumentar a produtividade e rentabilidade. Ainda permeia nas organizações nacionais a visão conservadora das gerências, onde as palavras mágicas e atrativas são: ROI (Return on Investiment) e redução do TCO (Total Cust on Ownership).

Nosso país está começando a despertar interesse neste assunto, tanto que em pesquisas de segurança recentemente publicadas, foi revelado que menos da metade das empresas entrevistadas possuem estratégias de continuidade. É muito importante a conscientização das empresas quanto à adoção de Planos de Continuidade, pois estas devem estar cientes que acontecimentos inesperados podem causar danos irreversíveis.

Pense que, problemas como uma falha num disco rígido, uma parada inesperada em um aplicativo ou um problema em sua rede pode arruinar seus negócios em questão de minutos. Mas, qual o conceito de Planos de Continuidade?

O Plano de Continuidade visa prevenir a ocorrência de desastres, minimizar o impacto de um desastre e viabilizar a ativação de processos alternativos quando da indisponibilidade dos processos vitais.

Como passo inicial no desenvolvimento do processo de continuidade deve ser elaborado a famosa BIA, cuja definição e objetivo é desconhecida por muitos. No BIA (Business Impact Analisys), como também é conhecida a análise de impacto) serão identificados os impactos de um possível desastre sobre as operações de uma organização. Além da identificação da criticidade dos processos, esta avaliação fornecerá informações que permitirão definir o escopo do plano e a tolerância quanto à paralisação dos processos vitais.

Uma vez identificada a criticidade dos processos, será necessário avaliar o grau de exposição destes ativos críticos. A avaliação do grau de exposição é uma função que envolve algumas variáveis como perdas possíveis, ameaças, vulnerabilidades e controles. Os ativos que ao serem impactados implicarem numa perda significativa deverão ser alvo de estudo pormenorizado na avaliação do Grau de Exposição.

Sabendo o quão exposta sua organização está, inicia-se a elaboração das estratégias de continuidade visando os objetivos dos planos. Devemos considerar: o custo da implantação, a manutenção dos procedimentos, a eficácia dos procedimentos, a cultura organizacional e a estratégia de resposta organizacional. Exemplos definidos na estratégia como tipos de site (Hot-site, Warm-site, Cold-site), acordo de reciprocidade, bureau de serviços externos, auto-suficiência e realocação da operação são aspectos fundamentais que devem ser considerados.

Após esse árduo processo de levantamento de dados, requisitos, cálculos, análise de dados, chegamos à fase de definição dos Planos de Continuidade, onde os objetivos vão desde a prevenção de ocorrências de desastres à manutenção dos processos vitais em operação.

Como definido anteriormente, recomenda-se que sejam criados os planos para serem executados antes (prevenção), durante (emergencial) e após (manutenção) o desastre.

Finalmente, chegamos a implementação dos Planos de Continuidade. A implementação compreende das ações que visam tornar um plano efetivamentee testado e atualizado. Essa definição visa o treinamento do pessoal, a implantação dos procedimentos, treinamentos e simulações. Também a manutenção e aperfeiçoamento permanente do plano como um todo, sua documentação e infraestrutura.

Bem, após estas definições, podemos visualizar facilmente alguns dos benefícios da continuidade do negócio, como a identificação dos processos de negócio e a recuperação dos processos de maneira ordenada e dentro de um espaço de tempo, reduzindo os prejuízos, em caso da ocorrência de um desastre.

Wednesday, September 10, 2003

O Poder da Análise de Riscos: A análise que pode alavancar grandes investimentos na área de TI

Victor Hugo Menegotto, consultor da Axur Information Security.
É eminente a necessidade da segurança da informação nas organizações, mas tal necessidade nem sempre é observada da forma adequada pela Alta Administração. A segurança é clara no ponto de vista tecnológico onde a área de TI tem uma visão ampla do que significa segurança - gestores de TI geralmente possuem noção de quais são as necessidades da organização neste contexto.

A questão é como mostrar à alta administração a verdadeira necessidade de investimentos em segurança da informação e quais benefícios este investimento pode trazer. A resposta é simples e objetiva: Análise de Riscos e Vulnerabilidades. Uma análise neste sentido é particularmente útil nos casos onde a área de TI não recebe investimentos de segurança da informação de forma adequada.

Através de relatórios concisos, organizados e objetivos, os gestores de TI têm a possibilidade de apresentar as necessidades de segurança da informação para a alta administração de forma clara. Estas apresentações devem conter não apenas riscos relacionados a aspectos tecnológicos, mas também riscos relacionados a aspectos físicos e administrativos – aspectos estes nem sempre considerados.

Uma Análise de Riscos e Vulnerabilidades possibilita a detecção de falhas e o mais importante, a possibilidade da aplicação de controles objetivos nos pontos mais críticos e com real necessidade de investimento. Assim há possibilidade de verificar perdas e conseqüências da falta de controles adequados.

O processo de implementação de grande parte dos controles de segurança encontrados no mercado é precário, geralmente estes não possuem seu investimento justificado e não transmitem segurança aos gestores das corporações. São em grande parte controles aplicados de maneira desconexa, de forma isolada. Quase sempre em momentos críticos e apenas em ativos tecnológicos.

Mas onde ficam as pessoas, que são notoriamente o elo mais fraco e necessitam claramente de controles específicos? É preciso avaliar o conhecimento dos colaboradores, em relação a segurança da informação, e planejar o nível de cultura “awareness” desejado.

O desejo da alta administração é ter confiança na área de TI, em muitos casos desacreditada e pouco valorizada. Essa confiança deve ser transmitida naturalmente, com controles adequados e bem estruturados. Com isso, a alta administração pode valorizar o trabalho de profissionais que aplicam a segurança da informação nas suas áreas.

O início desta jornada começa com uma Análise de Riscos e Vulnerabilidades, com baixo custo - um “big step” na caminhada em busca da implantação de controles. Uma Análise de Riscos e Vulnerabilidades deve atingir a organização como um todo, além de ser uma etapa fundamental para certificação na BS7799-2. Podem ser consideradas outras ações, como a criação e definição de comitês de segurança por exemplo.

A grande cartada de uma boa gerência de TI é prevenção de falhas, aplicando controles adequados sob necessidades justificadas e garantido a confiança por parte da alta administração. A apresentação de informações concretas, corretas e estruturadas amadurecem na organização os conceitos de segurança da informação e despertam interesses em investimentos na área de TI.

Thursday, August 21, 2003

Gestão da Segurança da Informação: Investimentos Eficientes em Segurança da Informação

André Palma, consultor da Axur Information Security.

Quando o assunto é investimento em segurança da informação, nota-se o quanto às organizações estão despreparadas para lidar com o assunto. Muitos falam em gerenciamento de risco e essa é realmente a chave da questão. A norma BS 7799- 2, relacionada a Gestão de Segurança da Informação apresenta um excelente framework para avaliação dos riscos e priorização das ações corretivas.

O ponto de maior impacto na hora da decisão é a mensuração correta dos investimentos em segurança. Muitas empresas implementam soluções de segurança sem, no entanto identificar claramente qual a função que a solução selecionada deve desempenhar na organização. O mercado por muito tempo pensou que investir em um firewall significava investir em segurança da informação, entretanto o que se percebe nas atuais estruturas de tecnologia é que o firewall é o mais simples dos controles de segurança. Existem outras iniciativas essenciais que geralmente são ignoradas, como por exemplo security awareness, o termo anglicano para cultura de segurança.

É evidente que investir em cultura de segurança representa uma iniciativa tão ou mais importante do que a implementação de um sistema de verificação de conteúdo acessado via Internet. Entretanto algumas organizações tomam ações sem considerar o real benefício em termos da inserção dos controles escolhidos na cadeia produtiva. A falta de conhecimento sobre a quantificação desse benefício tem gerado não ações e sim reações: atitudes motivadas por incidentes, não planejadas para a prevenção de sua ocorrência inicial. Outra razão da aplicação de controles sem o critério adequado pode ser entendido através da seguinte pergunta: o que meu concorrente implementou nos últimos meses? É isto que eu vou fazer! Esse é um mau exemplo para benchmark, pode-se utilizar padrões para melhores práticas em controles, mas não para análise de risco.

A forma adequada de lidar com estas questões pode ser resumida em uma palavra: objetivo. Todos os recursos ou ações envolvendo segurança da informação devem possuir um objetivo claro, e este objetivo deve ser mensurável. Deve-se ser capaz de verificar se a ação tomada é eficiente a atende os objetivos pretendidos. É fundamental questionar-se sobre as ações realizadas neste sentido e como estas ações estão alinhadas com as estratégias da organização. E por falar nisso, qual a estratégia da organização e como a segurança da informação se relaciona com esta estratégia?

Para ser prático, investimentos em segurança da informação devem ser planejados frente à necessidades reais e não projetadas. Análise de Risco é indispensável em qualquer processo de segurança. Como garantir a minimização dos riscos, principal objetivo dos controles de segurança, sem o conhecimento detalhado destes riscos? É inviável e qualquer outra forma de investimento em segurança pode ser comparada à intuição ou “sexto sentido”.

Uma análise de riscos formal apresenta de maneira organizada e sistemática os riscos aos quais a organização está exposta. A minimização destes riscos deve ser o objetivo da aplicação de controles de segurança como firewall ou softwares de inspeção de conteúdo. Nesse contexto considero muito difícil uma empresa considerar um software de inspeção de conteúdo mais importante que investimentos em cultura de segurança e isso fica claro quando comparamos o impacto de incidentes envolvendo o acesso à Internet e uso excessivo de bando contra os impactos envolvendo o uso indevido de informações da empresa por funcionários, ou seja, por pessoas que sabem onde procurar informação de real valor.

Existe ainda uma questão tão importante quanto à justificativa pela implementação de soluções: como verificar se as ações tomadas são eficientes e estão levando a segurança da organização para onde se espera. Quantificar a eficiência de um controle de segurança significa verificar se há retorno sobre o investimento, se os benefícios obtidos com determinada solução ou ação são realmente aqueles esperados. E volta-se novamente ao termo "objetivos" pois se não se coonhece exatamente quais os objetivos das ações tomadas, como verificar se estas ações são eficientes?

Um investimento baseado em uma análise de risco simplifica inclusive a tarefa de avaliar a eficiência de ações tomadas. Se para cada ação tomada é determinado um objetivo e este objetivo é baseado na minimização do risco, quantificadores simples como número de incidentes associados ao risco podem comprovar o sucesso das ações. O planejamento de ações deve prever métricas para avaliação periódica, considerando a real eficiência do controle avaliado na minimização do risco e busca dos benefícios esperados.

Sem métricas não se pode afirmar que determinada ação é eficiente, nem que é ineficiente. Na verdade sem planejamento de objetivos e avalição de métricas não se pode dizer muito sobre determinada ação ou implementação de controles de segurança. Talvez estes controles estejam atendendo seus objetivos, mas isso é apenas especulação e a probabilidade do investimento não estar bem direcionado é muito maior que a confiança que se pode ter na capacidade intuitiva do gestor e na avaliação informal.

É importante observar que não estamos colocando em discussão a eficiência e necessidade das soluções de segurança encontradas no mercado. O que se deve considerar sempre é o porque da aplicação destas soluções e como está sendo verificado se a solução está alinhada com os objetivos propostos e aceitos pela administração da organização. Quais são as métricas que confirmam sua eficiência e principalmente, será que estou atacando realmente os riscos mais críticos ao meu negócio?

Thursday, July 31, 2003

Rastreabilidade: Controlando o Fluxo das Informações

André Palma, consultor da Axur Information Security.

A maioria dos profissionais de segurança da informação conceitua a segurança através de três aspectos básicos: confidencialidade integridade e disponibilidade. Isto ocorre devido à grande influência de frameworks e metodologias internacionalmente consolidadas. Entretanto existe um conceito primário associado a segurança da informação que não está sendo adequadamente focado no cenário nacional – a rastreabilidade.

O conceito de rastreabilidade está diretamente relacionado ao controle sobre o fluxo da informação. É necessário identificar de forma ágil e simples como determinada informação se relaciona com o negócio. As perguntas parecem óbvias, mas nem sempre são respondidas. Qual a origem desta informação e para onde esta informação vai? Quais os links existentes entre as informações.?

A discussão sobre esse tema entre os profissionais de segurança da informação não é mera casualidade. O que tem acontecido é que a prática de proteção das informações tem sido sensivelmente prejudicada pela dificuldade de identificação das informações e seus relacionamentos. Garantir a segurança das informações sem identificar claramente seu fluxo é uma tarefa praticamente impossível. A solução pode parecer simples – identificar este fluxo. Porém as informações nem sempre seguem fluxos bem definidos, nem sempre são facilmente rastreáveis.

O mapeamento de processos de negócio muitas vezes se confunde com o mapeamento do próprio fluxo da informação, isto ocorre devido a um fator simples: a informação tem se caracterizado como o principal ativo da maioria dos negócios. Seguir o fluxo dos processos quase sempre significa seguir o fluxo das informações.

Considere a seguinte situação: identifica-se em um banco de dados um conjunto de informações incorretas. Existem no mínimo três formas de inserção de dados neste banco – cadastro pessoal, cadastro telefônico e cadastro realizado por certa empresa terceirizada. Como identificar qual das formas de inserção não estão atendendo à política de integridade? Talvez o problema ocorra apenas com cadastros telefônicos. Como aplicar os controles de segurança da forma correta, evitando sobrecarregar os processos de cadastro que não representam ameaça?

Uma análise de risco detalhada pode identificar estas fraquezas no sistema. Entretanto fica claro que sem o controle total sobre o fluxo das informações e sua forma de interação com os processos de negócio, até mesmo a tarefa de realizar uma análise de risco poderá ser demasiadamente complexa.

O paradigma de que garantir a segurança da informação reside exclusivamente na garantia da confidencialidade, da integridade e da disponibilidade está para ser quebrado. Não defendo que a visão original está incorreta, entretanto apresento um conceito que vem sendo amplamente discutido entre os profissionais de segurança do mundo todo, principalmente na Europa. Outros conceitos também bastante discutidos são a necessidade de garantia da autenticidade e a legalidade das informações. É importante não se prender exclusivamente à confidencialidade, integridade e disponibilidade.

A questão que deve ser considerada é: Como garantir a confidencialidade, a integridade e a disponibilidade das informações sem conhecer detalhadamente a forma com que essa informação se relaciona com os processos de negócio? Qual é o grau de confiança das análises de risco levando em consideração às complexas relações e caminhos que a informação assume dentro de uma organização ou entre organizações? Não seria necessário inicialmente disseminar uma cultura de controle total e rastreabilidade sobre a informação para depois garantir a adequada aplicação de segurança em suas diversas etapas de relacionamento?

O que está sendo verificado é que antes de salvaguardar a confidencialidade, integridade e a disponibilidade é necessário que haja um trabalho inicial sobre o controle do fluxo da informação. É preciso analisar com detalhes o relacionamento das informações com os processos de negócio da empresa. Este novo conceito de rastreabiilidade representa um requisito tão fundamental quanto os já bastante discutidos alicerces que configuram a tríade da segurança da informação.

Em resumo, sem conhecer os caminhos e formas da informação torna-se complexo garantir a sua confidencialidade, integridade e disponibilidade. Divulgar nas diversas áreas da organização o que significa rastreabilidade e exigir sua aplicação irá permitir o aumento da segurança, uma vez que é sensivelmente mais simples proteger o que se controla. É fortemente aconselhável divulgar através da organização o conceito de rastreabilidade e exigir que as diversas áreas da empresa interajam propiciando links adequados que irão facilitar os processos de segurança.

Tuesday, July 15, 2003

BS7799 2002: Primeira Certificação da Área Financeira das Américas

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
Esta sendo anunciada nesta semana a certificação do Banco Matone na norma BS 7799 - primeira certificação de segurança da informação para uma instituição financeira nas Américas. O Banco Matone é um dos maiores e mais tradicionais bancos privados gaúchos, líder na área de concessão de crédito para pessoa física.

Este é sem dúvida um fato relevante na história da segurança da informação no Brasil. O auditor Mr. Birggren – uma das maiores autoridades mundiais na norma, comentou “Esta certificação é muito importante e deve impactar positivamente em todo o mercado financeiro. É um ótimo começo para o Brasil”. Esta é também a primeira certificação de uma empresa brasileira na norma BS 7799 versão 2002. O grande diferencial da versão 2002 é a inclusão de regras rígidas para o desenvolvimento da análise de risco e a necessidade de medir a eficiência do sistema de gestão para promover melhoria continua.

Uma característica importante deste projeto é que o escopo do sistema de gestão de segurança da informação implementado no Banco Matone é um dos maiores do mundo, e inclui as operações do Matone no Rio Grande do Sul, Santa Catarina, Paraná, São Paulo, Rio de Janeiro, Brasília e Belo Horizonte.

Para a implementação do sistema de gestão conforme o padrão BS 7799, foi contratada a consultoria Axur Information Security, empresa brasileira especializada em segurança da informação, que desenvolveu o projeto ao longo de um ano. Para a empresa Axur esta é uma dupla vitória, a Axur é também a primeira consultoria a certificar um cliente no Brasil.

Para Fábio Ramos, gerente do projeto de certificação, a aderência da metodologia Axur aos requisitos da BS 7799 tornou o processo de certificação uma conseqüência natural do trabalho, e completa “Contamos sempre com o apoio da Alta Administração do Banco Matone: a segurança da informação já é uma camada natural nos processos do Matone”.

O processo envolveu alguns dos maiores especialistas em segurança do Brasil: Gustavo Scotti, André Palma, Paulo Barbosa, Cássio Ramos e Charles Schneider. O alto conhecimento em segurança da informação da equipe do projeto foi ponto de destaque, “Nosso método de análise de risco foi caracterizado como o ‘estado da arte’ pela auditoria”, comenta André Palma.

As instituições financeiras brasileiras são quem mais investe em segurança da informação, conforme indica relatório do Gartner Group. Em resumo, este acontecimento deve marcar para sempre a história da segurança da informação no Brasil e abrir espaço para que mais empresas busquem também esta certificação.

Sunday, June 29, 2003

PCN/DRP: Desmistificando a Continuidade do Negócio

Gustavo Scotti, consultor estratégico da Axur Information Security.

Quando pensamos em um plano de continuidade de negócio ou em um plano para recuperação de desastres, a primeira idéia que surge em nossa mente é a alta disponibilidade: equipamentos redundantes, sites replicados ou a mais avançada tecnologia para minimizar a parada do negócio. A infra-estrutura de tecnologia da informação surgiu para permitir maior escalabilidade a processos que já eram feitos de forma manual. Sob o lumiar da visão e compreensão dos processos corporativos, este artigo pretende posicioná-lo frente ao desafio da disponibilidade x interesses do negócio, permitindo também a composição de uma gestão da continuidade do negócio em conformidade com a BS7799.

PCN

Partimos da premissa: o plano de continuidade não serve para diagnosticar problemas – o problema já deve ter sido identificado. Para que possamos visualizar a composição do negócio, vamos precisar mapear os processos da empresa, definindo seu macro-fluxo. Não podemos esquecer, é claro, da realização de uma análise de risco, que é de onde vamos retirar os eventos que podem incidir na parada de um processo. É bastante importante e igualmente significativo que nesta etapa seja identificada a importância de cada processo, utilizando para isso de uma abordagem qualitativa ou quantitativa.

Agora o nosso objetivo é detalhar cada um dos processos que sustentam o negócio e definir quais são os componentes que suportam cada processo. Mapeados todos os componentes, iremos perceber que alguns destes componentes estarão sempre presentes em todos os processos. Estes componentes são chamados de pilares da contingência, e devem ter um tratamento especial. Alguns exemplos de pila res são: pessoas, energia elétrica, requisitos legais e estrutura física. O rompimento de alguma dessas estruturas causam um impacto muito grande, quase sempre levando a um desastre.

Para cada componente elencado devemos ter, detalhadamente: condições de ativação (nossos eventos da análise de risco), responsáveis pela ação do plano (titular e substituto), ações de emergência, recuperação e restauração, tempo para execução do plano e histórico de testes. Imagine que você tenha um processo que necessite da fotocópia de determinado contrato. O que fazer, por exemplo, se este equipamento falhar? Quais são as ações emergenciais, recuperativas, e restaurativas? Em quanto tempo consigo restabelecer o componente para que o processo não pare? Você agora já deve estar pensando em ter uma máquina de fotocópia redundante. O gestor pode definir que o próprio cliente traga a cópia do seu contrato, ou que vá até um centro de cópias enquanto a máquina é levada ao conserto.

Para todo plano de continuidade, existe um custo para a ativação do plano emergencial. No nosso exemplo anterior, o gestor achou uma alternativa com custo zero, e o tempo de recuperação do componente tendendo ao imediato. Lembre-se que era necessário do mapeamento da importância de cada processo. O tempo de recuperação para cada processo irá estimar uma possível perda no momento que este processo falhar. Agora o impacto da parada sobre este processo de negócio já está mapeado.

PRD

Os pilares de contingência, alicerces do negócio, são críticos e representam uma espécie de esqueleto organizacional. Em eventos cujo impacto afeta a disponiblidade do negócio, geralmente podemos mensurar as perdas pelo tempo de parada. Entender e desenvolver um plano de recuperação de desastre é levar a sério o futuro em vista das diversas ameaças que nos cercam.

Vamos analisar um exemplo de interrupção do negócio por indisponibilidade da estrutura física principal. Imagine que você chegue para trabalhar, e o prédio onde estava seu escritório já não exista mais (neste exemplo descartamos a um desastre com perdas humanas). Quem faz o quê? Como? Quando? Quais são as prioridades?

O melhor método para definir um plano de recuperação de desastre é iniciar pelo teste de mesa. Debater com os responsáveis por cada processo significa entender como cada área atuaria em um momento de crise. Roompida a barreira do evento, inicia a análise racional das ações, relacionadas a recursos necessários para restaurar em um tempo mínimo os componentes vitais para que a operação da organização possa ser restaurada em níveis satisfatórios para a manutenção do negócio.

Um plano de PRD deve ser calculado para que a perda financeira seja equivalente ao investimento do plano. Entretanto, outros aspectos devem ser considerados, para que o negócio não perca a credibilidade e os clientes, como o fator “abalo a imagem” e “perda da credibilidade”.

O PCN e o PRD não devem ser concebidos de forma ideal, tendendo ao tempo de recuperação zero. Eles devem contemplar as soluções redundantes já existentes na empresa, e seguir um plano de gestão que garanta a sua constante renovação, sempre com ênfase ao negócio da empresa. Isto garante investimentos precisos nas áreas identificadas como críticas ao negócio da organização.

Friday, May 30, 2003

ROSI: Retorno sobre Investimentos em Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Aclamado sobre a sigla ROSI – “Return on Security Investments”, a aversão ao risco de investimentos onerosos vem fazendo com que o Security Officer fique cada vez mais hábil no papel de justificar a implementação dos controles de segurança da informação.
A palavra de ordem na ciranda da proteção é “coerência”; dar espaço a tecnologia ou conceito que atenda adequadamente o controle do risco sem esquecer da nossa velha conhecida relação “custo/benefício”.

As diversas tecnologias de firewall, antivírus, IDS, controle de acesso físico e suas diversas configurações e características tornam árdua a tarefa de sacudí-los em um mesmo cesto e tirar o ticket com a solução que atenda de maneira eficiente pelo menor preço. Não menos complicado é justificar à Alta Administração a necessidade de se investir em uma tecnologia de segurança, porque afinal de contas “Nunca houve vazamento de informações ou paradas significantes no processo de negócio, por que deveríamos investir tanto?”. Só notamos a importância do capacete quando caímos da moto. E nós – profissionais de segurança -, ficamos a procura da fórmula-mágica, capaz de justificar o que parece tão evidente.

Bem, quando falamos em retorno sobre investimento, e o objetivo desta medição é segurança da informação, cabe lembrar que segundo estatísticas do Computer Security Institute e do FBI, no ano de 2002, 90% das empresas indagadas identificaram vulnerabilidades nos seus sistemas de tecnologia da informação. Com o avanço da tecnologia, o ciclo de desenvolvimento fica cada vez mais curto, aumentando a janela de vulnerabilidade dos sistemas. Esta tendência tende a se agravar nos próximos anos.

Uma vez que a gestão do risco está migrando de ser uma responsabilidade da área de tecnologia, passando a ser compartilhada de toda a organização – assumindo caráter estratégico -, faz-se necessária a instituição de métricas claras para que o diretor financeiro possa identificar de maneira tangível qual o verdadeiro retorno sobre o investimento.

Na verdade, a grande confusão gira em torno ao uso de uma regra de identificação do ROI (return on investment) através do valor o investimento menos o custo do incidente que tomaria espaço caso não existisse o controle contratado. A métrica indicada para mensurar o retorno econômico do investimento é a TIR (taxa interna de retorno). Isso pode facilitar bastante a compreensão do processo de investimento em determinado controle ou tecnologia.

A pergunta básica que leva a mensuração do valor médio para investimento na administração do risco é: qual o impacto decorrente à ocorrência de determinado risco? Para isso faz-se necessária uma análise de risco, que deve ser o ponto de partida para a definição da regra de investimento. Quando da escolha de um controle, muito cuidado na coleta de informações financeiras. Recomenda-se sempre observar, entre outros:

- Valor total das licenças;
- Valor da manutenção pelo período pós o vencimento da manutenção de garantia;
- Necessidade de treinamento de usuários ou administradores;
- Necessidade de contratação de consultoria;
- Necessidade de produtos extras para o funcionamento do controle;
- Restrições legais do uso ou restrições por país;
- Valor para renovação do contrato;
- Custo do chamado em horários fora do expediente.
Estas são informações que devemos passar ao analista financeiro para que possamos estar certos do custo real da solução.

A medida em que as organizações forem investindo em um sistema de gestão do risco, a tendência é que seja necessário cada vez menos investimento para manter o risco administrado. Conforme indicado na BS 7799 parte 2, o modelo PDCA (plan, do, check, act) permite a organização investir em controles que reduzam os riscos a níveis aceitáveis pela Alta Administração, significa assumir uma parte do risco – o risco residual, e controlar a outra parte.

É muito importante também que o Security Officer, em conjunto com o CFO (chief financial officer) ou diretor financeiro, ddeterminem qual o período de payback do projeto em vista do custo de capital da sua organização configurando o VPL (valor presente líquido). Isso pode variar muito de uma empresa para outra, e pode colaborar bastante no momento de determinar métricas para medição de resultados esperados e agendamento de fases subseqüentes em projetos de implementação. Permitirá à empresa um planejamento de curto, médio e longo prazo, acompanhando as tendências de evolução no seu cenário. Talvez através desta medição seja possível dizer com firmeza se a segurança é realmente parte de valor na cadeia produtiva do negócio da empresa.

Wednesday, April 30, 2003

Controle de Acesso: Como adequar seu ambiente aos requisitos da BS7799

Charles Schneider, consultor da Axur Information Security.

Você sabe como implementar um sistema de controle de acesso à informação que funcione de maneira verdadeiramente eficiente e não se torne um estorvo para o usuário final? Geralmente a resposta vem em coro “Coloque um firewall na entrada e tudo bem!”. Frente às técnicas de intrusão e a sofisticação das atuais arquiteturas de rede e sistemas, esta regra nem sempre funciona tão bem isoladamente. Controlar o acesso, na raiz do termo, significa restringir o acesso às informações. Este é um dos primeiros pontos a ser considerado de forma ampla e estratégica pelas organizações quando estiverem desenvolvendo um plano para proteção dos seus sistemas.

Ao longo deste artigo descreverei algumas técnicas que permitirá as organizações que necessitem maior embasamento obter uma estrutura de trabalho baseada nos controles de uma das mais importantes normas internacionais, a BS 7799. Uma mistura entre o melhor do aspecto teórico e do prático.

Como etapa inicial “em busca da rede segura”, é necessário que seja formalizada uma política de controle de acesso. Esta política deve considerar alguns tópicos como: requisitos de segurança de aplicações do negócio, identificação da informação referente às aplicações do negócio, classificação da informação conforme critérios de confidencialidade, legislação aplicável, obrigações contratuais, perfil dos usuários e gerenciamento dos direitos de acesso. Neste mesmo documento devem constar também as regras gerais de controle de acesso, definindo a aplicação do conceito “fecha tudo e só abre quando autorizado” ou “tudo é autorizado, exceto quando expressamente proibido”, sendo que esta segunda política quase nunca é aplicável. É necessário que este documento chegue a todos os usuários dos sistemas de informação.

É conveniente que seja implementado um sistema de gerenciamento de usuários que servirá para manter documentado todos os acessos lógicos e os privilégios que os usuários possuem no sistema. Este documento pode ser utilização para a concessão de acessos e privilégios aos usuários, onde a área de informática ficará de posse destes documentos para manter o controle de acesso devidamente organizado, capacitando ao departamento jurídico acionar legalmente o funcionário em caso de tentativas de acesso não autorizado.

O gestor poderá, periodicamente, conduzir uma análise crítica dos direitos e privilégios dos usuários para garantir que acessos não autorizados sejam registrados nos sistemas. Esta documentação cobrirá todo ciclo de vida de um usuário em um sistema.

O sucesso de um controle de acesso eficaz passa pela cooperação dos usuários que fazem parte da organização. Estes devem ser conscientizados a seguir as boas práticas para com suas senhas, mantendo sua confidencialidade e evitando ao máximo registrá-las de forma que possam ser lidas. Esta é uma parte importantíssima do processo e que requer o envolvimento de todos.

De que forma participa a área de informática? Sua participação é máxima. A área de informática deve proteger os serviços de rede através da implementação de controles, garantindo que usuários com acessos às redes e seu serviços não comprometam a segurança dos mesmos. Nesta etapa do processo, é necessário implantar outra política, que levará em consideração o uso de redes e seus serviços. Esta política deve considerar as redes aos quais o acesso é permitido e também um procedimento de autorização para determinar quem pode ter acesso a que redes e quais serviços.

Após formatada uma política coerente entre as necessidades do negócio e a tecnologia disponível, a área de informática deverá implantar os controles necessários para “defender” a organização. Existem diversos controles de rede disponíveis, mas como saber qual controle se mostra mais eficiente e onde implantá-lo? As implementações desses controles devem ser baseadas em uma análise de risco previamente elaborada.

Alguns controles de rede que devem ser considerados são:

§ rota de rede obrigatória, que serve para controlar o caminho entre o terminnal do usuário e o serviço de rede;

§ a autenticação para conexão de usuário externo.

Muito cuidado ao defender serviços externos, é necessário analisar se este serviço é extremamente necessário para o negócio, pois pode abrir portas de seu sistema para o mundo. Se necessário utilizar este serviço deve-se usar métodos de autenticação forte; a segregação de redes e o controle de conexões de rede podem ser feitos dividindo em domínio interno e externo, utilizando para isso o tão conhecido amigo “firewall” – citado no início do artigo, e que só agora entra em cartaz -, que filtrará o tráfego entre os domínios através de tabelas ou regras predefinidas.

Vamos tratar agora o sistema operacional. A proteção aos sistemas operacionais deve ser efetuada através das funcionalidades pré-existentes nos próprios sistemas, utilizadas para a restrição dos acessos não autorizados. O técnico da área de informática, mais precisamente o administrador de rede, deve configurar os sistemas para que o processo de entrada nos sistemas (logon) seja realizado através de um processo seguro. Um exemplo é limitar número de tentativas sem sucesso, registro das tentativas de acesso inválidas, obrigar o uso de senhas complexas e etc.

Após a obtenção de um sistema operacional bem protegido é necessário tratar às aplicações do negócio. Para isso, o proprietário da aplicação, que no caso pode ser o DBA, juntamente com o administrador de rede deve aplicar restrições aos sistemas para que os usuários mal intencionados não possam utilizar métodos para alterar os dados dos sistemas.

Mas não é somente nos domínios da organização que dados podem ser violados. Deve ser tomado um cuidado especial com a computação móvel e o trabalho remoto. Convém que seja adotada uma política formal levando em conta os riscos de trabalhar com estes recursos. Esta política deve conter os requisitos para proteção física, controles de acesso, criptografia e etc. É necessário que os usuários que se beneficiam deste recurso recebam treinamento específico.

Bem, o trabalho pesado está feito. Agora é necessário verificar o que está acontecendo e, para isso, é necessário que os sistemas sejam monitorados para detectar divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

Trilhas de auditoria devem ser configuradas nos sistemas para registrar eventos de segurança relevantes e mantidas por um período de tempo para auxiliar em investigações futuras. Alguns exemplos de eventos que devem ser registrados são: identificação do usuário, data e hora de entrada e saída no sistema, tentativas de acesso ao sistema aceitas e rejeitadas, alertas e falhas no sistema e etc. Para garantir a exatidão na auditoria, os relógios dos sistemas necessitam estar corretos, ajustado conforme algum padrão local de tempo.

Pessoal, espero que o artigo tenha sido proveitoso. Fica a pergunta “Depois desta implementação, nenhum usuário não autorizado acessará o sistema?” Bem, prometer ninguém pode, pois à medida que se expõe a informação, tanto internamente quanto externamente, o risco sempre existirá – por menor que seja. O que garantimos é uma administração inteligente do risco.

Wednesday, April 2, 2003

Desenvolvimento de Sistemas: Segurança nas aplicações de negócio

André Palma, consultor da Axur Information Security.
Os sistemas de informação representam o principal frame por onde transitam as informações de uma instituição. Afinal o objetivo destes sistemas é justamente concentrar o maior fluxo possível de informações permitindo agilidade nos processos de negócio. Entretanto nem sempre as empresas adotam as medidas de segurança necessárias durante o desenvolvimento de sistemas, para a proteção adequada destas informações.

Controles pontuais são perfeitamente válidos, porém não garantem, por si só, a segurança das informações. Um ambiente seguro devem empregar produtos de segurança sem esquecer de inserir a segurança em seus processos. Muitas empresas vêem empregando controles individuais, desconsiderando a necessidade de definição e principalmente de formalização de seus processos.

A área de desenvolvimento das empresas é um exemplo claro de processo que nem sempre recebe as atenções necessárias no que diz respeito à segurança da informação. Garantir a segurança da rede corporativa não significa ter sistemas de informação seguros. A informalidade ainda predomina nas relações entre desenvolvimento e suporte operacional.

O primeiro passo para inserir a segurança da informação na área de desenvolvimento de sistemas é definir formalmente este processo. Uma abordagem adequada é considerar como início do processo as solicitações dos usuários e como final a liberação das novas versões para produção.

Entre estes dois pontos deve existir uma avaliação do Analista de Segurança. Este analista pode ser um dos próprios Analistas de Sistemas, porem capacitados a determinar quais são os controles de segurança necessários para determinada especificação de sistema. Por exemplo, um usuário solicita inserir novos campos em um formulário. O Analista de Segurança deve avaliar esta solicitação e inserir, na especificação, a necessidade de validação de entrada, caso integridade externa seja fundamental para o negócio em questão.

A equipe de desenvolvimento somente deve receber especificações para novos sistemas ou modificações nos sistemas existentes após avaliação dos requisitos de segurança. É indispensável a formalização destes requisitos, juntamente com os requisitos do negócio apontados pelo usuário. O desenvolvimento das soluções deve respeitar integralmente as definições de segurança impostas pelo Analista de Segurança e documentadas junto aos requisitos do sistema.

Após o desenvolvimento da solução, o Analista de Segurança deve realizar uma verificação se os controles realmente são válidos e garantem, no caso do nosso exemplo, a inserção exclusiva de dados representativos. Após passar pela aprovação de segurança é necessário realizar testes formais com os usuários. Estes testes devem ser realizados em ambientes próprios, totalmente isolados do ambiente de produção.

A confirmação dos usuários de que o sistema incorpora as funções solicitadas deve ser visto como requisito mínimo para a distribuição da nova versão no ambiente de produção. Os procedimentos de distribuição também precisam estar definidos formalmente, pois representam uma fase crítica do processo. Quando possível, convém que sejam realizados testes verificando se as novas versões não possuem funções ocultas, ou os famosos covert channels, que já foram responsáveis por diversos incidentes de segurança.

Cada fase do processo deve ser formalizada e devidamente autorizada. Para isso, é importante manter uma lista de níveis de autorização, ou seja, quem pode autorizar cada fase do processo. Deve-se exigir também que os desenvolvedores documentem cada novo sistema ou modificação realizada, destacando as funções de segurança incorporadas.

Entretanto, a segurança da informação não é obtida apenas através da formalização do processo. Algumas medidas devem ser adotadas para garantir, sobretudo que cada informação é divulgada a quem se faz necessário – conceito conhecido como need to know.

Em primeiro lugar e requisito para todo o processo de desenvolvimento, os ambientes de produção e desenvolvimento deveem ser segregados. Além de fisicamente separados, em salas ou locais diferentes, devem estar logicamente separados, de preferência em redes próprias, separadas por firewalls da rede de produção. Máquinas da produção não devem realizar suporte ou qualquer outra atividade, devem ser vistas como ferramentas de desenvolvimento apenas.

Um segundo passo importante é não fornecer dados reais para testes. Muitas empresas copiam sua base de dados de alguns meses anteriores e disponibilizam aos desenvolvedores como teste. Claro que a base de testes deve representar como a máxima fidelidade a realidade do negócio. Porém pode-se obter isso através de procedimentos de descaracterização da base de dados. É importante substituir dados de clientes por dados aleatórios, números de contas por números aleatórios, ou seja, e qualquer outra informação que possa ser refletida na realidade deve ser descaracterizada.

Controles de criptografia devem ser sempre considerados e avaliados. Nem sempre são necessário, principalmente frente ao overhead que podem causar nos servidores de produção. Porém existem soluções interessantes, como autenticação de mensagens e serviços de não repúdio que não acrescentam volume às taxas de processamento.

O controle de acesso ao código fonte deve ser rigidamente definido. É importante que o responsável pelo desenvolvimento atribua a cada desenvolvedor acesso aos fontes e projetos que este está diretamente ligado. Produtos de controle de versão são interessantes neste sentido, entretanto uma organização através de servidores de arquivos com acessos definidos também resolve a questão.

Por último, é importante que o ambiente de teste seja dedicado. Uma estação de trabalho e um pequeno servidor rodando a aplicação com acesso a base de testes são o suficiente para que os usuários possam identificar e testar as novas características desenvolvidas. Esse ambiente não deve ser conectado ao ambiente de produção. Pode estar isolado ou conectado ao ambiente de desenvolvimento.

Estes são alguns mecanismos que quando adotados concorrem para o aumento da segurança nas aplicações de negócio. Não se deve esquecer que o controle e auditoria do processo devem ser realizados pelo Security Officer, ou pessoa que assume este papel na empresa. Vale ressaltar que estas medidas de segurança não só protegem as informações da empresa, mas também organizam o processo de desenvolvimento. Nada mais correto, pois um ambiente seguro é forte candidato a ser um ambiente organizado.

Monday, March 17, 2003

Segurança de Pessoas: Separation of Duties & Job Rotation

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Um dos principais aspectos da administração de segurança de uma empresa é ter de gerir recursos humanos. Na configuração de um sistema seguro – utilizando o termo sistema em uma perspectiva de negócio -, o elemento humano é o que costumamos chamar “o elo mais fraco” na cadeia de segurança da informação. Duas das principais técnicas utilizadas pelos departamentos de Recursos Humanos, em conjunto com o departamento de Segurança da Informação, é o separation of duties (separação de atividades) e job rotation (rotação de postos).

O objetivo do “separation of duties” é garantir que, em última instância, uma só pessoa – independente dos privilégios de sistema que possua - não consiga realizar atividades danosas à organização. Lembram do esteriótipo do militar durante a guerra fria, onde o general só conseguiria premer o botão de lançamento da bomba nuclear caso fossem acionadas duas chaves distantes entre si? Independente de possuir as duas chaves, o sujeito fica impedido de executar a ação; seria necessário pedir ajuda a um segundo elemento para realizar esta tarefa, classificada pelo impacto.

Recomenda-se que atividades consideradas de alto risco sejam divididas em pequenas partes e distribuídas para diferentes funcionários, preferencialmente – e quando aplicável – pessoas de áreas ou departamentos distintos, e sem vínculo profissional direto. Esta é uma forma de não correr riscos pelo “excesso de confiança”. É saudável para a empresa e também para o funcionário, que fica impossibilitado de gerar ações prejudiciais à informação mesmo que acidentalmente.

Além de previnir ações intencionais, a técnica de “separation of duties” é um eficiente mecanismo de prevenção para a ocorrência de incidentes não intencionais, freqüentes em atividades onde uma única pessoa executa a tarefa do início ao fim. Um resultado prático desta realidade é quando o sistema operacional instalado pelo administrador é homologado pela equipe de segurança; existe aí uma configuração de separação de atividades, seria muito pouco provável que o administrador encontrasse erros na sua própria instalação. É sempre bom contar com uma segunda opinião. Existem teorias bastante avançadas sobre divisão de atividades e definição de papéis, com responsabilidades para o gestor, custodiador e para o usuário da informação.

A técnica de “job rotation” transcende ao simples fato de alguém realizar atividades no lugar de outra pessoa. Significa alternar, periodicamente, pessoas que ocupam cargos operacionais. Esta prática é muito utilizada quando a análise de risco identifica demasiada dependência de um processo de negócio ou sistema a um operador, administrador e etc. Através da técnica de “ job rotation” outra pessoa pode ser preparada para ocupar o lugar do administrador, operador, analista ou quem quer que seja, servindo como redundância para a função, caso o funcionário deixe a empresa repentinamente ou fique indisponível à empresa por um longo período.

O segundo benefício direto do “job rotation”, e não menos importante que o primeiro, é a condição onde a empresa pode facilmente detectar o encaminhamento ou a realização de fraude como “data diddling” ou outras.

Seja na substituição do ocupante oficial do cargo por férias obrigatórias ou na familiarização das atividades executadas pelo elemento substituinte, a empresa poderá identificar a existência de indícios de atividades ilícitas ou ações que não condizem com as atribuições do cargo.

Estas são duas técnicas bastante utilizadas em empresas que trabalham com operações que envolvem finanças, compra ou venda de ativos. Considerando que a informação representa – e cada vez mais representará – o ativo de maior importância para uma organização, e para isso tomemos como referência o grande número de organizações que já estão utilizando sistemas de Business Intelligence e Balanced Scorecard, os custodiadores da informação serão os elementos mais visados dentro das operações de negócio. Com técnicas como as apresentadas, somadas à administração do risco tecnollógico, a implementação e divulgação da Política de Segurança e a uma gestão baseada em indicadores de resultado, o risco operação tende a ser minimizado e controlado.

Sunday, February 2, 2003

Security Awareness através do método D3/AET

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

A melhor forma de conquistar o usuário como aliado em um processo de gestão da segurança da informação é tornando-o consciente das suas responsabilidades e dos riscos que enfrentará em seu dia a dia. Devemos agir com sinceridade e apresentar sem rodeios o cenário que se faz presente. Se estivermos em uma empresa que possui uma área de engenharia, o engenheiro deve estar ciente da possibilidade de vazamento ou corrupção da informação; a área comercial da mesma forma, preocupada com a confidencialidade, disponibilidade, integridade e privacidade da informação, e nas conseqüências que este comprometimento pode acarretar.

A conscientização de segurança deve ser vista como auxiliar indispensável aos controles tecnológicos planejados ou já implementados. Igualmente importante se comparada a um firewall, um sistema de detecção de intrusos ou um sistema biométrico, a cultura organizacional pode trazer grandes benefícios para a organização; o principal deles sem dúvida alguma é o comprometimento.

Um usuário comprometido é um grande aliado, tanto na utilização segura da infomação, quanto no mapeamento de riscos ainda não identificados. É uma cadeia de conhecimento importantíssima formada a partir da conscientização e educação. Quanto maior for o conhecimento deste usuário, maior será sua capacidade de julgamento, refletindo em uma postura próativa, madura e coerente (eficiente) frente às suas responsabilidades no processo de segurança.

A prática do treinamento em segurança, ainda tão pouco utilizada no Brasil, realiza na organização o sentimento da existência de uma direção clara frente as práticas consideradas pelos gestores do negócio, como adequadas no trato com a informação. Não há mais espaço para o formalismo burocratizado das Políticas de Segurança criadas para satisfazer a auditoria. A consolidação de uma “cultura de segurança” é de indiscutível relevância quando analisamos ameaças internas (fraude, mau uso da informação, sabotagem, etc).

Nossa realidade tecnológica impõe ao usuário um uso multifacetado da tecnologia. São rotinas, responsabilidades, privilégios dentre outros, que fazem do usuário um dos mais vulneráveis elos da cadeia de segurança. Para vencer o desafio de trazer à naturalidade o controle da informação, deve-se apresentar ao usuário - em um exercício prático -, qual a importância do seu papel na gestão da informação. Ao invés de perceber a segurança como um adicional à sua atividade, o usuário deverá reconhecer a segurança como parte da sua atividade.

O ciclo básico do Security Awareness segue o modelo D3/AET. Este modelo vem sendo utilizado em função da estrutura de framework que disponbiliza, baseado nas melhores práticas para formação de uma cultura organizacional. Todos os funcionários devem ser avaliados, treinados e novamente avaliados.

O modelo D3/AET traz na forma abreviada a união das primeiras letras de Diagnose, Development, Definition/Awareness, Education (e) Training. A modelagem organiza-se da seguinte forma:

1. Diagnose - Diagnóstico do nível de cultura de segurança da organização
2. Definition - Definição da estratégia de implementação da cultura
3. Development - Desenvolvimento do material para implementação da estratégia

Awareness - Conscientização;
Education - Educação;
Training - Treinamento

Diagnóstico do nível de cultura: essencial a um projeto desta natureza, o diagnóstico vai apontar o nível de cultura atual na organização. O resultado desta avaliação deve ser apresentado preferencialmente em indicadores quantitativos. Algo do tipo: “Departamento Comercial alcançou um desempenho de 80% no conhecimento da política de antivírus”. É importante que já exista uma Política implementada; não faz sentido avaliar a cultura de segurança dos usuários se não existirem parâmetros para o certo e errado.

Definição da estratégia de implementação: este é o momento onde definiremos qual é a melhor maneira para alcançarmos os objetivos almejados. Existem diversas estratéggias para implementação. É importante frisar que mesmo em um plano teórico, já é o momento de identificar volume de investimento na campanha de divulgação, no suporte e no reforço a cultura de segurança da informação da organização.
Desenvolvimento do material para implementação da estratégia: o material que será utilizado para a divulgação da cultura deve ser confeccionado preferencialmente por uma equipe de marketing (endomarketing), em colaboração e com assessoria do Security Officer. Oferecer um conteúdo de fácil digestão quando se fala em segurança da informação, pode não ser um desafio tão simples. Uma boa sugestão é a criação de um simpático mascote com a intenção de tornar o processo de divulgação algo agradável aos olhos do usuário. Lembre-se da regra de ouro: não se conquista aliados com coação. Dizer que todos serão monitorados e comportamentos inadequados serão punidos, pode ser uma faca de dois gumes. Ao invés de amedrontar, a prática nos dá provas de que o melhor é encorajá-los a participar como agentes no controle da informação.

Awareness: o usuário só estará comprometido com a segurança da informação quando for capaz de compreender a importância da sua participação efetiva no processo de gestão da segurança. A conscientização deve despertar para uma visão instintiva. Um insight. O que até então nem era percebido, passa a fazer parte quase que natural do pensamento deste usuário. Sabe aquele cuidado que temos ao sair do carro à noite? Checar se os vidros estão fechados mesmo quando guardamos o carro na garagem. É natural, não? Esta é a chave do sucesso.

Educação: O processo de educação torna claro aos funcionários que a organização está preocupada com a informação. Assim há o resguardo da organização quanto ao “dito pelo não dito”, é a caracterização do seu due care. É suficiente apoiar a divulgação em dez objetivos ou metas, tratando pontos que reflitam o pensamento da organização frente aos riscos que mais a preocupam. Alguns exemplos de tópicos que podem ser abordados:

Vírus de Computador e Cavalo de Troia
Uso de e-mail com segurança
Uso de senhas seguras
Uso da internet com segurança
Práticas de Backup

É interessante que estas palestras não passem de 50 minutos e que ao final, o usuário possa ser avaliado sem sentir que com isso será julgado ou punido. Este tipo de teste deve seguir o carater de “orientação”.

Treinamentos: são divididos os grupos para o treinamento. Geralmente são disponibilizadas turmas de maneira que estejam juntos os grupos de interesse como, por exemplo, departamento comercial, engenharia, diretoria e etc. Desta forma pode-se personalizar o discurso e direcionar o conhecimento àquilo que se aplica às atividades de cada setor, departamento ou unidade. Os treinamentos incorporam o cuidado de segurança à rotina do usuário. Criar uma rotina nos poupa energia e automatiza o acerto.

Uma boa didática, sintonizada com a expcetativa da audiência, utilização de um material rico em exemplos e com bons insights podem ser decisivos para se alcançar êxito na aceitação do usuário. No começo pode ser um pouco dificil organizar uma apresentação com a fórmula certeira para conquistar o público, mas com o passar do tempo e com o feedback dos próprios usuários, a empresa acabará formatando seu modus operandi.

- x - x-

Apesar da simplicidade com o qual o assunto Security Awareness foi aqui exposto, espero sinceramente que possa depertar para ações imediatas o pensamento dos gestores de segurança da informação que nos deram seu precioso tempo na leitura deste artigo. Se quisermos garantir a segurança incondicional da informação, devemos aprender que avaliar o risco é lidar com o imprevisto: conscientizar, educar, treinar significa fazer deste risco um ideal compartilhado entre todos os componentes humanos, parte do processo de valor de uma organização. Administrar o risco, mais do que escondê-lo, é trazê-lo em evidência para quem possa interessar.