Thursday, October 7, 2004

Security Officer: O Gestor da Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Com a evolução dos sistemas de tecnologia houve uma desenfreada busca pela modernização e pela informatização dos processos das empresas. Processos que antes eram realizados manualmente, ou através de dezenas de formulários, foram traduzidos para os meios digitais. Isso tudo aconteceu nos últimos 10 ou 15 anos. A quebra de paradigmas dos ativos reais e tangíveis para os ativos de informação, muitas vezes intangíveis, fizeram com que as grandes empresas fossem pegas no contrapé.

O universo cada vez maior de hackers, de vulnerabilidades tecnológicas e de ameaças internas criaram um cenário de grande risco para as organizações. Surgiu um risco com o qual os executivos não estavam acostumados a lidar: o risco da quebra da confidencialidade, integridade e disponibilidade da informação. As primeiras perguntas dirigidas pelos CEOs aos diretores e gerentes de TI foram: Qual o meu nível de risco? Como devo gerenciar este risco? Qual o nível adequado do risco? Quais são as melhores práticas internacionais em segurança da informação?

E percebeu-se que ninguém sabia ou poderia responder. A disciplina de gestão de risco operacional, sistêmico, cambial, entre outros, é parte do dia-a-dia de muitas empresas; a gestão do risco à informação, não. Pois então, na mesma época – década de 90 - percebeu-se também que não havia ninguém nas empresas com conhecimento suficiente para responder as perguntas dos executivos. Foi frente a esta nova necessidade que surgiu o Security Officer.

O nome ainda permanece em inglês, mas Security Officer é o equivalente a Gerente de Segurança da Informação, e possui variações como CSO – Chief Security Officer, resumindo que este funcionário é responsável pela gestão da segurança da informação. Observem que em algumas empresas americanas e até mesmo brasileiras, o CSO está com status de C-Level, respondendo diretamente ao Conselho Administrativo. Mas o nome do cargo não é tão importante, o que deve ser esclarecido é a natureza do seu conceito funcional.

Ainda está em crescimento o número de SO (Security Officers) que não são responsáveis somente por segurança em tecnologia da informação, acumulando também funções de segurança no controle de acesso físico – como deveria ser. Nos Estados Unidos a grande maioria dos SO possui background militar, do FBI ou serviço secreto; aqui no Brasil este cenário é muito diferente, nossas cadeiras de SO são ocupadas geralmente por ex-funcionários de grandes consultorias de segurança da informação.

O especialista em segurança da informação tem ganhado cada vez mais espaço no mercado de trabalho. Ainda existe muita demanda para profissionais de segurança, inclusive com salários que superam em muito a média de um profissional de tecnologia da informação. Infelizmente não existem muitos cursos acadêmicos com foco em segurança da informação, por conta disso, a formação deste profissional fica a critério de cursos especializados e de certificações internacionais. Nesta área, possuir certificações neutras (não focadas em uma tecnologia específica), pode significar rápida colocação no mercado de trabalho, destaco algumas certificações como CISSP e SSCP do (ISC)2, CISA, CISM do ISACA e CIFI do IISFA. Maiores informações podem ser encontradas na web.

Exemplo de Descrição de Cargo

Existe muita dificuldade em estabelecer quais são efetivamente as responsabilidades do SO e como este se enquadra na hierarquia de uma empresa. O que percebemos é que na maioria das empresas brasileiras o SO fica abaixo do diretor de tecnologia. Este é um modelo errado, embora eu tenha sempre muito cuidado em apontar este erro, porque já é um grande mérito a empresa possuir um responsável por segurança. No modelo ideal posicionamos o Security Officer de forma a que esta possa se reportar diretamente a Alta Administração. A independência é fator fundamental, porque o SO não pode se sentir constrangido em indicar situações anômalas que envolvam seus superiores. É necessário também um conhecimento generalista de tecnologia; queiramos oou não, as empresas são apoiadas por componentes tecnológicos em seus processos de negócio.

Responsabilidade:

Manter a análise de risco atualizada, refletindo o estado corrente da organização;

Identificar controles físicos, administrativos e tecnológicos para mitigação do risco;

Aprovar junto a Alta Administração o nível de aceitação do risco;

Desenvolver, implementar e gerenciar um programa de conscientização e treinamento com base na Política de Segurança da empresa;

Conduzir processos de investigação forense computacional e estabelecer interfaces com especialistas externos

Trabalhar lado-a-lado com consultores externos e auditores independentes quando for necessário.
Qualificações:

Deve ser diplomático, bem articulado possuir condições de liderar um ou vários grupos e ainda, estar capacitado a escrever relatórios com uma linguagem de negócio para indicar à Alta Administração o status de risco da organização;

Deve possuir experiência em Gestão de Risco, Política de Segurança, Plano de Continuidade de Negócios, Auditoria e padrões internacionais de segurança, como a BS 7799;

Deve estar capacitado a desenvolver acordos de níveis de serviço com terceiros, para estabelecer um bom controle da segurança nas interfaces externas à organização;

É interessante que o SO possua conhecimento em aspectos legais relacionados à segurança da informação. Algo que é muito valorizado é o conhecimento técnico e seu entendimento acerca dos controles tecnológicos como Firewall, IDS, VPN, antivírus entre outros.

Estas são algumas indicações que eu imagino que poderão facilitar na definição da posição do Security Officer na sua empresa. Obviamente existem diferentes modelos que vão variar de acordo com a cultura de cada empresa, o mais importante é começar, a evolução da figura do SO será uma equalização natural que a experiência fornecerá ao entendimento que a organização tem em relação à segurança da informação.

Tuesday, August 31, 2004

Governança Corporativa: Segurança da Informação na Mira dos Conselhos

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

No atual modelo de governança corporativa, aspectos como a segurança da informação raramente são considerados. “Criar valor para o acionista” – esta é uma das principais premissas de qualquer empresa da iniciativa privada. Observando sob esta fria óptica, existe um grande contrasenso na abordagem utilizada por alguns executivos.

Alguns dos indicadores que posicionam o valor da empresa quando de um processo de valoração, são diretamente influenciados pela capacidade da organização em proteger sua informação. Significa que empresas da nova economia, e empresas da velha economia que estão buscando a modernização, tem seu maior valor concentrado nos ativos intangíveis, como marca, percepção de mercado e conhecimento.

Analisando este cenário, percebemos que os ativos de valor para a empresa se desdobram sob o prisma da informação. O que conta hoje não é mais o patrimônio imobilizado, e sim a capacidade que ela tem de gerar retorno sobre o investimento em uma perspectiva de dois ou cinco anos, em conseqüência dos seus diferenciais. Muitos destes diferenciais, que agregam valor para a empresa, são personificados em: bases de dados, cadastros, planejamento estratégico, fórmulas, projetos dentre outros. Ou seja, informação pura.

Os últimos cinco anos estão aí para confirmar; algumas empresas que surgiram no início deste nosso novo século já valem muito mais do que indústrias centenárias. Existe um movimento forte para a informatização, processos digitalizados; frente a isso, ou as empresas modernizam sua forma de pensar a gestão do negócio, ou terão que sair do jogo. Na estrada rumo ao desenvolvimento e a modernização, informatização é palavra chave.

Então, o que fazer para seguir um bom modelo de governança, considerando a segurança da informação como uma das regras do jogo? A exemplo do que muitas empresas já fazem nos EUA e em toda a Europa, as empresas brasileiras devem começar a olhar com mais seriedade para as questões dos riscos relacionados a tecnologia da informação. O que muitos executivos não percebem, é que a responsabilidade final caso ocorra algum incidente relacionado ao vazamento de informação, ataque de um hacker, perda de dados entre outros, será da Alta Administração. O impacto de qualquer um dos incidentes citados refletirá no potencial competitivo da empresa, minimizando sua vantagem competitiva e em alguns casos trazendo sérias conseqüências financeiras e administrativas, como quebra de contratos, multas e até mesmo degradação da imagem.

Para que haja caracterização de Due Dilligence, o Conselho Administrativo da empresa deverá prestar atenção em aspectos como:

• existência de uma política de segurança da informação dando o direcionamento das ações para o manuseio dos dados no ambiente corporativo e também por parceiros de negócio;

• analise dos riscos relacionados a informação, para poder tomar decisões em relação a implementação de controles

• acompanhamento dos incidentes expressivos no ambiente organizacional

• garantia da privacidade da informação de clientes e parceiros

• segurança da informação deve fazer parte das tomadas de decisão das empresas

Deve-se considerar também a formação de um Fórum de Segurança. Este Fórum já está presente nas grandes organizações e geralmente é composto por membros da Alta Administração e pelo Security Officer (pessoa responsável pelas questões táticas da segurança na empresa). Estas são algumas das medidas que devem ser estudadas para configurar um bom modelo de governança, considerando a proteção dos ativos de informação. Este processo não é simples e traz consigo uma mudança nos paradigmas administrativos, mas é tão importante, que deve ser tratado como ponto chave na estratégia de uma empresa que pretende continuar posicionada no mercado pelos próximos cinco anos.

Wednesday, July 7, 2004

Aplicações Seguras: Como saber se a segurança é suficiente?

André Palma, consultor da Axur Information Security.

A garantia de segurança das informações de sua empresa depende diretamente de sua habilidade em gerenciar os riscos existentes no ambiente tecnológico. A implementação de ambientes seguros tem sido uma das principais preocupações dos executivos da Área de Tecnologia. Entretanto, é fundamental que as aplicações desenvolvidas para sua empresa apresentem os controles necessários frente aos cenários: “ameaças” x “vulnerabilidades” x “impacto”.

É importante ter em mente que desenvolver aplicações com segurança representa um custo adicional no projeto. Tanto prazo quanto investimento podem ser diretamente afetados pela necessidade de construir aplicações que estejam preparadas para os riscos existentes no ambiente em que serão executadas.

Quando o assunto é segurança, é impossível desconsiderar o aspecto financeiro envolvido. É muito importante que os profissionais de segurança e tecnologia estejam preparados para justificar os investimentos em segurança da informação. É necessário que todo custo envolvido em um projeto possa ser adequadamente justificado frente a necessidades reais.

Aplicar mecanismos de segurança em excesso, simplesmente para seguir as melhores práticas do mercado, pode significar investimento desnecessário: identificar o nível ideal de segurança não é um processo simples. Requer uma avaliação das ameaças e vulnerabilidades do nosso ambiente.

Sabe-se, por exemplo, que a quantidade de caracteres de uma senha está diretamente relacionada à dificuldade de quebra ou adivinhação desta senha. Agora a pergunta importante seria: quantas vezes tentaram quebrar ou adivinhar a senha de minha aplicação? Se nunca foi tentado antes, por que exigir senhas complexas com dezesseis caracteres ou caracteres especiais?

E por mais incrível que possa parecer, descobrir as estatísticas das tentativas de acesso não autorizado não é uma tarefa impossível. Comece analisando a quantidade de tentativas de entrada no sistema invalidadas devido à senha incorreta. Se estes números lhe parecem estranhos, então talvez seu sistema precise de senhas complexas com vários caracteres, caso contrário, talvez o mecanismo que exige senhas muito complexas esteja representando um custo desnecessário.

O que fica claro com este exemplo é o desafio de não apenas garantir o desenvolvimento de aplicações seguras, mas também de garantir que a implementação de mecanismos de segurança não está sendo exagerada. Em outras palavras, garantir que a aplicação irá atender os requisitos necessários de segurança, sem superestimar os riscos existentes.

Porém o contrário também não é desejável. Um outro lado da moeda pode ser apresentado por aplicações cuja segurança é considerada secundária, o que representa um erro assim como exagerar nos mecanismos de segurança. É comum que o cronograma para o desenvolvimento de aplicações priorize as funcionalidades essenciais ao sistema. Muitas vezes o pensamento é: “Vamos fazer o sistema funcionar, depois iremos pensamos nos aspectos secundários, como segurança”.

Considere sempre a segurança como aspecto essencial, pois não existe sentido em ter uma aplicação pronta, mas insegura. Cedo ou tarde será necessário aplicar mecanismos de segurança nesta aplicação e isto pode ser desastroso quando considerado após a finalização do projeto.

Partindo do pressuposto que seu ambiente está seguro, pois atualmente a segurança da infra-estrutura de tecnologia tem sido uma das prioridades nas áreas de tecnologia, é fundamental possuir uma metodologia que permita inserir mecanismos de segurança nas aplicações de forma racional. E mais, é importante que a aplicação seja monitorada para que a real necessidade ou eficiência dos mecanismos de segurança possam ser medidos e acompanhados enquanto a aplicação está em produção. Dessa forma é possível identificar os pontos em que a segurança foi subestimada e também aqueles pontos em que foi superestimada.

O desenvolvimento de novas versões das aplicações deve considerar melhorias também nos mecanismos de seguraança, dessa forma a aplicação irá com o tempo atingir o nível ideal de segurança considerando os riscos realmente críticos e a relação custo x benefício dos controles mecanismos implementados.

Qualquer erro de projeto, verificado posteriormente durante o processo de monitoração da aplicação, pode servir de lição para novas aplicações. O importante é não confiar em excesso na definição inicial dos requisitos de segurança de uma aplicação e garantir que a área de tecnologia está habilitada a verificar se as ações tomadas e os controles inseridos estão realmente minimizando os risco de acordo com o impacto para a empresa.

Wednesday, May 26, 2004

BS 7799-2: Certificar ou não certificar? Eis a questão.

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
A euforia causada pela possibilidade da certificação em um padrão de segurança da informação internacionalmente reconhecido traz consigo um pouco de confusão. Já não se sabe realmente quais são os benefícios da certificação. Alguns defendem que a certificação na BS 7799-2 é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento do risco, outros consideram a certificação como uma conseqüência natural de um sistema bem implementado. Quais são os reais benefícios de uma certificação em BS 7799-2? E quais são seus potenciais riscos (se é que eles existem)?

Por ser um entusiasta da segurança da informação, em especial da BS 7799, sou um tanto quanto suspeito para falar. No último ano tivemos três empresas brasileiras certificadas na norma, e para este ano estamos sentindo uma movimentação intensa de organizações dos mais diversos setores em busca da tão desejada certificação. A utilização do framework da norma BS 7799 talvez seja a solução para muitos gestores de tecnologia e de segurança que buscavam uma fórmula para gerenciar seus riscos e a eficiência de seus controles de segurança.

A norma reflete a experiência dos maiores players internacionais do mercado, e significa uma redução de trabalho considerável, uma vez que não temos que sair por ai reinventando a roda. Sintetizei alguns pontos que considero fundamentais na hora da escolha pelo caminho da certificação.

I - Aumentar a efetividade da segurança da informação

Para quem tem uma visão purista da segurança da informação, talvez este seja o mais importante aspecto inerente à certificação. A implementação de um SGSI – Sistema de Gestão de Segurança da Informação, segue a visão de melhoria contínua apregoada pelos sistemas de qualidade, na configuração de um PDCA (Plan-Do-Check-Act). Esta sistemática da à organização a capacidade de manter-se monitorando constantemente oportunidades de melhoria.

II - Investimento racional em segurança da informação

Muitas empresas não possuem claramente definidas suas necessidades de segurança - realizam grandes investimentos em segurança de acordo com as práticas de mercado. O retorno sobre o investimento em recursos de segurança torna-se obscuro. Possuir um Sistema de Gestão de Segurança da Informação significa identificar com grande precisão as necessidades de melhoria. Isto é, investir onde é necessário, garantindo um nível adequado de segurança e investimentos alinhados às necessidades da empresa.

III - Diferencial de mercado frente à concorrência

Em ambientes de forte concorrência, onde a confiança é fator fundamental para agregar novos clientes ao seu negócio, a certificação é uma poderosíssima ferramenta de marketing. Estar certificado na norma BS 7799 significa para o cliente a tranqüilidade em saber que a empresa possui solidez e que as suas informações, enquanto custodiadas pela empresa certificada, serão tratadas com o maior zelo, garantindo a privacidade, confidencialidade, disponibilidade, integridade e legalidade da informação.

IV - Gerar valor aos acionistas e satisfazer requerimentos de consumidores

A gestão da segurança da informação já esta sendo considerada como elemento complementar aos modelos de governança corporativa. Em tempos onde a informação é apontada como um dos ativos intangíveis mais importantes em processos de valoração das empresas, garantir uma boa gestão do risco da informação deve ser considerada disciplina tão ou mais importante que a gestão do risco operacional, de crédito, de câmbio entre outros.

V - É o único padrão com aceitação global

A norma BS 7799 é a convergência entre os interesses dos mais diversos tipos de empresas, tanto da iniciativa pública quando da iniciativa privada, para a configuração de um padrão que corresponda aos interesses do mundo todo. A primeira parte da BS 7799 transformou-se em ISO 17799, padrão reconhecido internacionalmente, inclusive no Brasil, onde contamos com a NBR ISO/IEC 17799.

VI - Pode haveer redução em taxas de seguro

Estar de acordo com as práticas indicadas na norma BS 7799 significa redução de risco. Do ponto de vista financeiro, quanto menor o risco, tanto maior será a garantia de perpetuidade do negócio. Algumas empresas conseguiram expressivas reduções nas taxas de seguro em vista da certificação.

VII - A norma cobre a área de tecnologia, recursos humanos e estrutura física

Ao contrário de normas específicas para segurança de ativos tecnológicos, a BS 7799 cobre a organização com uma visão holística, considerando a proteção do patrimônio informação independente da sua forma de apresentação (física, digital, voz e etc), considerando controles tecnológicos, administrativos e físicos. Muitas vezes há uma preocupação excessiva com a tecnologia e esquecemos que a dependência da empresa pelo conhecimento de um técnico especialista em JAVA, pode ser uma vulnerabilidade tão grave quanto um firewall mal configurado.

VIII - Reduz a probabilidade de risco devido a não implementação de políticas ou procedimentos eficientes

A organização da gestão da segurança no modelo PDCA, garante a continuidade das ações de segurança e a constante medição da eficiência dos controles, no melhor modelo Security Scorecard. Evita que sejam despendidos esforços em vão em projetos perecíveis que são ações pontuais contra focos de risco. As auditorias internas e o sistema de reporte de incidentes garantem um tratamento continuado às políticas de segurança e a efetividade da utilização dos procedimentos necessários para a manutenção da taxa de risco.

IX - A Alta Administração direciona as ações de Segurança da Informação

Com a estruturação da segurança conforme o padrão BS 7799, quem comanda as ações estratégicas que vão nortear as atividades táticas e operacionais é a Alta Administração da empresa. A composição do Fórum de Segurança contempla o repasse de síntese de incidentes, dos resultados da auditoria interna de segurança e da eficiência dos controles para os executivos. Este sumário apresenta o status da empresa frente aos riscos existentes, considerando os riscos que estão sendo mitigados e riscos que fazem parte do negócio.

X - Revisão independente do seu sistema de Gestão da Segurança

A certificação na BS 7799 indica a revisão independente do seu sistema de gestão de segurança da informação. O documento da certificação atesta a imparcialidade com que seu sistema de gestão foi avaliado. A auditoria externa segue regras rígidas e por isso tranqüiliza os parceiros das empresas certificadas: com a certificação em BS 7799, a empresa realmente pratica a disciplina de segurança da informação.

XI - Certificação significa “due dilligence” e redução do risco

Estar certificado significa expressar publicamente que a Alta Administração desenvolveu uma análise de risco à informação, que possui uma política de segurança da informação e que esta é divulgada amplamente, e que existe uma sistemática para monitorar permanentemente os riscos aos ativos de informação. O termo “due dilligence” indica que a empresa toma as atividades necessárias frente as suas responsabilidades para salvaguarda da sua informação. Caso, futuramente, ocorram incidentes relacionados ao vazamento de dados ou qualquer outro tipo de evento, a empresa poderá apontar indícios de que tomou todos os cuidados para que esta situação não ocorresse.

XII - Maior conscientização por parte dos funcionários

A busca e a manutenção da certificação na BS 7799 é por si só um motivador para o engajamento dos funcionários junto aos objetivos de segurança da informação. A segurança da informação sempre foi vista com certa antipatia pelos colaboradores, de uma forma geral, por parecer um cerceamento desnecessário das facilidades de acesso à informação que gozam a grande maioria dos nossos colegas de trabalho. Utilizar a certificação como razão para a manutenção da segurança, em um primeiro momento, pode ser um forte aliado para conquistar a colaboração de funcionários e justificar ajustes um pouco mais profundos na estrutura da empresa (como por exemplo, cotas de e-mails, regras para acesso a internet entre outros).

XIII - Determinações governamentais de alguns paises

Quem tem acompanhado a evolução no número de certificações no mundo certamente reparou no avanço no número de empresas certificadas na Ásia. Liderados pelo Japão – conhecido pela implementação de sistemas de qualidade, - que avançou de 17 certificações no início de 2002 para mais de 260 no final do ano, fica fácil perceber a importância que a norma vem ganhando nos paises asiáticos. Espera-se que nos próximos 3 anos alguns paises exijam certificações de segurança para parceiros estrangeiros alegando questões de “segurança nacional”.

Motivações finais

Acredito que os pontos acima citados apresentem razões suficientes para que possamos sim considerar a possibilidade de buscar a certificação. Participei da primeira certificação da área financeira nas Américas e atualmente estou envolvido em diversos projetos que objetivam a certificação; nosso sentimento é que para aquelas empresas onde a tecnologia da informação representa mais do que uma área de “sustentação de processos”, significando agente no ganho de margem competitiva e diferencial estratégico, a BS 7799 será mais do que um simples modismo, será condição de sobrevivência no mercado.

Monday, April 26, 2004

Segurança da Informação: Novas Oportunidades Tecnológicas x Novas Ameaças ao Negócio

Victor Hugo Menegotto, consultor da Axur Information Security.

O rápido desenvolvimento das tecnologias de rede tem levado muitos gestores a imaginar onde estaremos daqui a alguns anos. Sistemas de intercomunicação cada vez mais complexos vêm sendo exigidos, esticando a ponta da corda, do outro lado vem o hardware, também puxando com força. Uma combinação de peso, caminhando junto e evoluindo de maneira espetacular. A principal meta é fazer que esta caminhada seja absorvida de forma natural e associada aos objetivos de negócio, principalmente no quesito segurança da informação.

A segurança da informação é uma preocupação que está passando de exclusividade dos gestores de TI para as pautas dos conselhos administrativos. É realmente preocupante imaginar o crescimento do parque de servidores, estações de trabalho, novos sistemas, novas ameaças e seu impacto para o negócio. A atitude deve sempre ser pró-ativa, não podemos nos deixar levar pelo maravilhoso mundo moderno do “just do it” e esquecermos da segurança necessária para mantê-lo. Muitos belos projetos podem cair por terra por não considerarem adequadamente a segurança. Levando em conta estas considerações, pensar em uma análise de risco como primeiro passo é um “must have”.

As ameaças de segurança crescem em paralelo ao desenvolvimento da tecnologia, e em muitos casos com mais voracidade. Observando os principais portais de segurança da informação, encontramos novas ameaças todos os dias, desde vírus até brechas em sistemas operacionais. Atualmente estamos cercados por centenas de tipos de ameaças, como websites falsos de Internet Banking, câmeras de filmagem em caixas eletrônicos, clonagem de celular e outras muitas.

Já a algum tempo existe um boato pregando a existência de um vírus para celular. Parece absurdo? Não. Com o desenvolvimento desenfreado das telecomunicações, com tecnologias como GSM e CDMA, aplicações cada vez mais poderosas podem ser executadas nos aparelhos. Um exemplo são os sistemas em Java que podem ser copiados para os aparelhos com um simples clique do mouse. Não é a toa que sistemas Java vem ganhando mercado com rapidez. Os jovens desenvolvedores - com o incentivo das universidades que adotaram a linguagem em diversas disciplinas dos cursos voltados à tecnologia - vem se aprimorando cada vez mais. Isso tudo contribui para uma nova geração de ameaças, vindo junto com tecnologias que para atender as necessidades do mercado tem um ciclo de desenvolvimento muito curto.

Em breve estaremos recebendo SPAM (mensagens indesejadas) via mensagens SMS. Imaginem então, sistemas anti-spam para celulares. O que parece absurdo agora, talvez seja comum daqui dois ou três anos. É o que dizem especialistas em segurança das maiores empresas de antivírus do mercado mundial.

O Brasil é um dos países que mais possui telefones móveis por habitante, tendo ultrapassado o número de telefones fixos. São aproximadamente 45 milhões de telefones móveis contra 39 milhões fixos. A tendência é a modernização destes celulares até que todos se transformem em handhelds, ou o contrário, os handhelds se transformando em celulares. De qualquer forma, já existem alguns modelos no mercado, e em pouco tempo todos serão equipamentos de terceira geração. Como os handhelds são cada vez mais poderosos e mais similares aos computadores, os criadores de vírus vão ter que unificar seus códigos, para que os mesmos sejam portáveis, tanto para os computadores como para handhelds/celulares.

A portabilidade talvez não seja a principal preocupação para os desenvolvedores de vírus, já que é comum a utilização de HTML para o acesso a internet através de handhelds, por exemplo.

Outra preocupação do crescimento tecnológico sem freios é o acesso wireless, que vem tomando proporções fantásticas. Em quase todos os aeroportos do Brasil podemos encontrar access points, o que possibilita o acesso de qualquer pessoa com um notebook e uma placa wireless. Talvez os aeroportos se tornem ponto de encontro para hackers do mundo todo. O acesso não autorizado a estas redes é realmente preocupante. A utilização de ccriptografia e autenticação são premissas básicas para o crescimento adequado desta tecnologia.

A adaptação para este “admirável mundo novo” deve partir de diversas frentes, mas principalmente do gestor de TI. Este, deve saber administrar as mudanças de maneira adequada, possibilitando um crescimento organizado e conciso. É também papel deste gestor controlar os riscos de segurança de tecnologia. Porém, este gestor não é responsável pela segurança da informação de toda empresa. A Segurança da Informação é responsabilidade da alta administração, juntamente com o Chief Security Officer. Estes, devem criar uma cultura de segurança para a empresa, como é bem visto, a Segurança da Informação é gerenciada com uma abordagem top-down. Este conceito esta se desenvolvendo cada vez mais, e quanto mais maturidade atingir, mais seguros estaremos, sejam quais forem as novas ameaças.

Tuesday, April 6, 2004

Classificação de Informações: Além da Confidencialidade

André Palma, consultor da Axur Information Security.

Nem todas as informações possuem o mesmo valor para uma organização. Informações estratégicas são nitidamente críticas enquanto que determinadas informações operacionais são menos significantes em termos de valor e importância. Todos concordamos que proteger as informações é prática de mercado. Entretando, proteção significa controle e controlar requer investimento. Porém este investimento deve ser focado, otimizado. Algumas empresas investem mais na proteção de ativos físicos do que na proteção de suas informações digitais: é desnecessário comentar que certas informações digitais podem ser inúmeras vezes mais valiosas que ativos físicos.

Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?

Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.

O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?

Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.

As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.

Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.

Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.

Wednesday, February 18, 2004

Desenvolvendo e Mantendo uma Rede Segura

Charles Schneider, consultor da Axur Information Security.
Não é novidade a crescente preocupação dos gestores de grandes organizações na busca pela segurança da informação. Alguns índices e pesquisas comprovam o porquê desta apreensão.

Em 2003, o índice geral de ataques a sites web subiu 19%. Cada empresa foi vítima de aproximadamente 38 ataques por semana no primeiro semestre de 2003, contra 32 ataques no mesmo período de 2002.

O Brasil ficou na liderança no ranking dos países alvos de ataques, sendo que 25% de todos os ataques mundiais originaram-se de sistemas localizados no Brasil - de cada 10 sites de hackers, sete são em português.

O número de usuários residenciais de Internet no Brasil beira 10 milhões de pessoas.

As perdas totais na economia mundial, causadas por ataques digitais e por vírus de computador, são estimadas entre US$ 45 bilhões em 2003 e US$ 63 bilhões em 2004. O total de ataques, considerando-se outros tipos de operações de hackers, soma uma média de 4,8 mil casos mensais.

Considerando este altíssimo índice de ataques, mais alarmante ainda é o número de tentativas onde o intruso consegue ou acessar, ou modificar, ou destruir informações sensíveis da organização visada.

Como estes criminosos conseguem alcançar o sucesso nas suas inúmeras ações na tentativa de “burlar” os sistemas corporativos?

Um dos pontos críticos é o alto grau de vulnerabilidades descobertas, pois até a metade do ano de 2003 foram registradas mais 1.400 novas vulnerabilidades, 12% a mais do que o número detectado no mesmo período do ano de 2002, sendo que 80% das vulnerabilidades descobertas poderiam ser exploradas remotamente, agravando ainda mais este cenário.

Para aproveitar estas brechas, os invasores precisam da ajuda muito especial de desatentos profissionais de TI: “a falta de um planejamento de segurança e de um desenvolvimento de rede adequado e seguro”, baseado no modelo de negócio requerido pela organização.

Para adequar a rede de sua organização a um nível mínimo aceitável, recomenda-se utilizar o framework NDSec (Network Security Design), utilizado pela Axur.

Análise dos Processos e do Modelo da Organização

A primeira etapa de início deste desafiante trabalho é uma análise geral da organização, e para auxiliar neste processo sugerimos a divisão do mesmo em três tarefas distintas: (1) Planejamento, (2) Implementação e (3) Gerenciamento.

Durante o planejamento e design, o foco será a geração de um overview de alto nível dos processos e dos objetivos da companhia. Esta fase inclui tarefas como entendimento do modelo de negócio, sua abrangência, bem como os processos da organização, que incluem o fluxo de informações, o fluxo de comunicações, os serviços, a estratégia e tomada de decisões, as necessidades do negócio, a avaliação dos serviços de rede, a avaliação da infraestrura de rede existente, o design da rede de computadores e o custo x benefício das soluções entre outros.

Na fase de implementação, devem ser realizados testes-piloto das soluções, instalações e configurações propostas na etapa de planejamento, lembrando que instalações e alterações críticas devem ser obrigatoriamente testadas e homologadas antes que sejam repassadas para o ambiente de produção.

Na etapa de Gerenciamento encontram-se as tarefas diárias e rotineiras, incluindo o monitoramento e a melhoria contínua dos processos, é o que usualmente se chama Housekeeping (Governança) para TI. Vale lembrar que a norma ISO/IEC 17799 dedica um capítulo exclusivamente à operação.

Durante o design de rede, tenha em mente que os processos de negócio direcionam os processos tecnológicos. Os critérios de design de rede são divididos em quatro aspectos: Funcionalidade, Segurança, Disponibilidade e Performance.

Ainda nesta fase, é necessário compreender o modelo de negócio da companhia. Fatores como condições econômicas, leis governamentais, fatores competitivos entre outros que podem impactar o desenvolvimento da rede da empresa.

Análise do Plano de Negócios

NNesta fase deverá ser analisada a estrutura organizacional existente, considerando o modelo de gerenciamento, relação com parceiros, terceiros, vendedores e com os clientes. Faz-se necessário avaliar também os fatores que podem influenciar as estratégias da organização como a identificação das prioridades da empresa, identificação do crescimento projetado e a estratégia de crescimento do TCO.

Você provavelmente deve estar se perguntado: - Estamos falando de projeto, gerenciamento, negócios, mas, o que tem a ver com a segurança de redes?

Todo este planejamento serve para minimizar as chances de falha no projeto. O PMI (Project Management Institute) indica que um projeto falha por inúmeras razões, dentre elas a separação entre negócio e tecnologia, falhas de comunicação, processos inflexíveis e dificuldade de mudança.

Análise do Modelo de Gerenciamento

Neste momento devemos analisar a estrutura de Gerenciamento de TI, incluindo o tipo da administração, como centralizada ou descentralizada, o modelo financeiro, o método de tomada de decisões e os requerimentos e critérios de segurança para o usuário final.

Os usuários podem ser agrupados em tipos pré-definidos como usuários externos, regulares, viajantes e de internet. Com base nestas categorias deve ser adequada a definição de estratégia de segurança da informação.

Projetos como o de desenvolvimento, implementação e manutenção de uma rede segura com certeza terá custos, que devem ser coerentes às reais necessidades de segurança. Devem ser avaliados também os recursos utilizados, se serão utilizados recursos internos ou externos.

Avaliação dos Riscos

Nesta fase devem ser identificados os riscos a que a organização está exposta, sendo que estes riscos podem ser internos ou externos. Recomenda-se a identificação do nível de tolerância aos riscos.

Segundo pesquisa do CSI/FBI – Computer Crime and Securiry Survey 2003, 90% dos crimes virtuais são relativos a “Insider Abuse of Net Access”, ou seja, usuários da rede interna acessando informação não autorizada.

Aqui também será revista e planejada a segurança física, mas não pense somente em controle de acesso, muros e cerca elétrica, mas também no mapeamento da rede, a criação de DMZ (Zona Desmilitarizada), tipos de firewall (Bastion Hosts, Screened Subnet e etc).

Existem quatro passos essenciais para o gerenciamento de riscos: (1) Identificação dos Riscos, (2) Quantificação dos Riscos, (3) Controle de Riscos e Monitoramento e (4) Gerenciamento de Riscos.

Existem inúmeras maneiras de identificar os riscos, e uma das formas mais aceitas e utilizáveis é através de entrevistas e brainstorms com os principais responsáveis e conhecedores do processo, conversa intermediada por especialistas em segurança.

Revisão Tecnológica

Na revisão tecnológica deverá ser documentado o ambiente atual da empresa, a conectividade entre as localidades geográficas, a avaliação da banda e performance de rede requerida, a metodologia de acesso aos sistemas e as responsabilidades administrativas dos colaboradores.

Convém que seja realizado um inventário de todo os ativos tecnológicos da organização, que incluam hardware e software, infra-estrutura de rede, servidores de arquivos e arquitetura de diretório.

A infra-estrutura de rede física deve ser documentada, considerando os links, as configurações de rede como resolução de nomes, endereçamento IP, número de usuários por site entre outros. O diagrama lógico deve conter os sistemas utilizados, relações de confiança e arquitetura de domínio.

Um ponto crítico que deve ser tratado e analisado faz menção a usuários móveis que conectam a rede interna de um local fora das dependências da organização.

Em relação a tráfego de rede e performance pode ser necessário criar uma baseline aceitável para o negócio da organização. Para isto podem ser utilizadas ferramentas especiais para medição e monitoramento do tráfego. É necessário também considerar a qualidade da rede da estrutura atual que incluem questões como tipo de rede utilizada, velocidade de switches, hubs, e roteadores, velocidade dos links de comunicação e o tráfego gerado internamente e externamente.

A metodologia de acesso a dados, sistemas e recursos é outro ponto que requer uma revisão delicada para avaliar os impactos, as vulnerabilidades e o custo x benefício relacionado ao tipo de acesso requerido.

Aqui deve ser também definidas as regras e as responsabilidades dos colaboradores, como será o gerenciamento, centralizado ou descentralizado? Alguém de uma filial será responsável pelo gerenciamento de usuário daquela localidade? O administrador de redes será o responsável por todo o gerenciamento da companhia? Devem ser documentados os tipos de ativos de tecnologia com seus respectivos responsáveis e sua classificação de segurança.

Baseline de Segurança

O NDSec (Network Security Design) identifica seis principais fatores para tornar uma rede segura:

- Identificação única e individual para cada um dos usuários;
- Aplicação controle de acesso adequado aos recursos;
- Proteção dos dados sensíveis;
- Definição de políticas de segurança;
- Desenvolvimento de aplicações seguras;
- Gerenciamento da Segurança;

Nestas etapas é necessário um conhecimento aprofundado sobre tecnologia, bem como ferramentas e produtos.

Convém um entendimento de protocolos como Kerberos, ferramentas de criptografia para dados sensíveis, IPSEC, utilização de softwares de mercado, segurança em correio eletrônico e servidores web e a delegação de controles e privilégios.

Trilhas de Auditoria

Como o título sugere, o ponto chave aqui é a auditoria dos sistemas. Convém que todos os sistemas possuam auditorias bem definidas, com foco nos eventos que realmente interessam à administração do sistema. Recomenda-se que esta auditoria inclua eventos de logon (sucesso e falha), auditoria do uso de privilégios, auditoria de acesso a objetos, auditoria de mudanças nas políticas entre outros.

Estratégias de Autenticação

Esta é mais uma etapa que exige conhecimento técnico e estudo por parte dos responsáveis pela rede das organizações.

Serão selecionados aqui os métodos de autenticação dos usuários, levando em consideração o tipo dos usuários e o modelo de negócio. Estes incluem Kerberos, clear-text, PKI, digest, smart card, Radius, SSL entre outros.

Destaca-se entre estes a utilização de PKI, também conhecida como criptografia assimétrica, uma autenticação baseada em certificados públicos e privados. Para evitar problemas futuros é importante salientar o método de integração quando da utilização de sistemas heterogêneos.

Acesso seguro na camada de rede

Devem ser verificados e implementados controles para o acesso entre redes, da rede interna para rede pública, como servidores de proxy, proxy reverso, firewalls, NAT ou entre redes privadas que incluem VPN, e que devem utilizar encapsulação, autenticação e criptografia adequada. As VPN podem ser utilizadas sobre a Intranet e Internet. Recomenda-se utilizar nas redes virtuais filtros de pacotes com PPTP ou L2TP com IPSEC para a garantia da confidencialidade das informações.

Mãos a Obra!

O crescimento exorbitante das redes de computadores e da Internet trouxe elevada demanda pela conectividade. As pessoas sentem cada vez mais a necessidade de se interconectar, impulsionadas pelo desejo de obter informações em tempo real.

Os altos índices de informações on-line, negócios pela internet e compartilhamento de dados, tornaram a informação um dos bens mais valiosos e simultaneamente mais vulneráveis nas organizações e instituições em geral.

A Segurança da Informação é um desafio quanto a sua aplicação e aprimoramento constante, ao mesmo tempo em que é uma necessidade das organizações como fator de qualidade na proteção de suas informações e conhecimentos.

Espero ter auxiliado na proteção e defesa das informações. A tarefa a realizar agora é despertar a consciência da sua organização para que seja reconhecida a importância do tema e o valor de um projeto de segurança como qualidade organizacional agregada aos serviços ou produtos disponibilizados aos clientes. E como diria Fellini, “E La Nave Vá...”, significa que devemos adequar nossas necessidades aos poucos, deixar que os novos conceitos sejam inseridos de maneira gradual e sem impactos. Espero que este artigo já seja o começo.

Monday, January 19, 2004

Segurança da Informação: Tendência e Cenários para 2004

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
Nunca foi tarefa fácil predizer o futuro. E olha que muita gente já tentou. Imagina então como deve ser difícil tentar predizer o futuro da Tecnologia da Informação, ou correlatos – como é o caso da Segurança da Informação. Na edição de dezembro de 2003, a revista CIO, publicação internacional direcionada aos CIOs, tratava de como será a TI em 10 anos. Será surpresa que a Segurança da Informação tem papel preponderante no cenário tecnológico, servindo como base aos maiores desafios do executivo de tecnologia ao longo deste decênio?

Nem vamos tão longe. Miremos nossas lunetas para 2004. O que vem pela frente, quando o assunto é Segurança da Informação, são mais que meros modismos passageiros. Para este ano surgirão diversos novos desafios, diversas novas ameaças e inúmeras oportunidades através da tecnologia. Oportunidades sugerem novos riscos, que deverão ser estudados com cuidado pelo Security Officer em sua análise de risco. Colaborando com o exercício de antever o que pode acontecer no decorrer deste ano, sintetizei alguns cenários que considero relevantes ao planejamento de qualquer profissional de Segurança da Informação ou tecnologia. São estes:

1. Surgimento de pelo menos um superworm

Acompanhando as estatísticas da indústria do antivírus, podemos verificar a diminuição gradativa no número de novos vírus. Não significa que esta ameaça esteja ultrapassada. Os desenvolvedores de vírus de computador estão sofisticando cada vez mais suas criações, no que chamamos next-generation worms. Poucos, mas com altíssima complexidade, o que diferenciará os novos worms é: (1) sua capacidade de proliferação em velocidade recorde; (2) mecanismos automáticos de propagação utilizando vulnerabilidades em serviços de Internet; (3) complexidade na sua remoção e diagnóstico. A boa interação entre um IDS atualizado em tempo real e o firewall da Internet, poderá definir o sucesso de quem busca uma defesa efetiva contra este tipo de ameaça.

2. Aumento drástico no número de crimes virtuais

O ano de 2003 ficou registrado pelo crescente número de fraudes bancárias, envolvendo recursos não tão sofisticados para interceptação de senhas aliada a inocência de usuários desavisados. Com a Internet tornando-se cada vez mais presente em nosso dia-a-dia, esperamos que um, cada vez maior, contingente de hackers, desenvolva ferramentas que possam prejudicar atividades de negócio e apropriar-se ilegalmente da identidade virtual de correntistas bancários. A lacuna existente na legislação brasileira, quando se trata de concorrência desleal, ameaça virtual e outros crimes da mesma linha, deverá garantir grande vantagem a quem ataca. A nós que estamos em posição de desvantagem legal, cabe apenas preparar uma boa defesa, tentando aliar nossa estratégica de segurança junto às possibilidades jurídicas.

3. Chief Security Officer em posição de Staff

Segurança da informação é responsabilidade estratégica, e deve ser considerada como ponto-chave em se tratando de alcançar os objetivos do negócio. Mais e mais CSOs serão convidados a reportar seus resultados diretamente ao Board. Atender requisitos legais relacionados à manutenção do sigilo e da privacidade da informação deve aproximar os responsáveis pela segurança da informação das decisões estratégicas da organização. A chancela de uma análise de risco deve se tornar condição sine qua non para qualquer tomada de decisão envolvendo informações ou sistemas de informação.

4. Consolidação da norma BS 7799 e ISO 17799 como padrão de mercado

A iminente necessidade da acreditação por uma terceira parte, garantindo a eficiência das empresas em gerir os seus riscos relacionados à informação, fez com que o mercado unisse forças em torno de um objetivo comum, a definição de um padrão internacional de segurança. Apesar do ranço de alguns paises que insistem em adotar padrões nacionais, não restam muitas dúvidas sobre qual será a norma. A norma BS 7799 tem recebido ampla aceitação em paises asiáticos; mais que dobraram o número de certificaçõess no segundo semestre de 2003 na China e no Japão. O guia que referencia às melhores práticas de segurança da informação aqui no Brasil - a ISO 17799 -, já é a segunda norma mais vendida no país, ficando atrás apenas da ISO 9000. Especialistas indicam que futuramente empresas de grande porte exigirão esta certificação de seus parceiros de negócio.

5. Aumento da preocupação em torno da rastreabilidade (trilhas de auditoria)

A maior preocupação relacionada à segurança girava em torno de não permitir que usuários sem autorização obtivessem acesso determinado conteúdo, pasta ou informação. A evolução natural desta preocupação dá-se também a capacitar sistemas a identificar, dentre os usuários autorizados, quem fez isso ou aquilo, configurando o conceito de accountability (conseguir relacionar determinada ação a determinado usuário). Neste contexto deve ocorrer uma busca por ferramentas de IAM – Identity and Access Management, sofisticados leitores de logs (registros) e a corrida pela implementação de trilhas de auditorias em sistemas proprietários que até então foram focados apenas na premissa da produtividade.

6. Surgimento de Novos Entrantes no mercado de Segurança da Informação

O que também pode ser uma ameaça, se considerarmos que durante 2003 surgiram dezenas de empresas atuando na área de segurança da informação, mas muito poucas conseguiram sobreviver. Seguindo uma corrente natural, empresas de tecnologia estão oferecendo produtos e serviços para suprir o mercado de segurança da informação, principalmente no que diz respeito a hardware e software. O Security Officer deve ficar alerta aos pequenos entrantes que visualizam o mercado de segurança apenas como uma oportunidade momentanea.

Na hora de escolher o seu parceiro de segurança, seja para implementação de tecnologia ou para consultoria em segurança, sugere-se tomar todas as referências possíveis, é muito comum pequenas empresas não suportarem a demanda de grandes projetos, e por não possuírem ativos reais como garantia, acabarem engordando a estatística das empresas que fecham em seu primeiro ano.

Estas são apenas algumas das previsões para o ano que recem está começando. Não são predições de difícil assimilação, até porque seguem o movimento da tendência observada no mercado internacional, e por tabela, nacional. Por mais desafiador que seja o cenário – e é muito difícil contar histórias bonitas quando o assunto é segurança -, o vencedor da batalha será o CIO ou CSO que estiver alinhado às oportunidades de negócio, e conseguir armar um exército talentoso capaz de antecipar riscos e utilizar controles de segurança como diferencial estratégico.