Monday, April 26, 2004

Segurança da Informação: Novas Oportunidades Tecnológicas x Novas Ameaças ao Negócio

Victor Hugo Menegotto, consultor da Axur Information Security.

O rápido desenvolvimento das tecnologias de rede tem levado muitos gestores a imaginar onde estaremos daqui a alguns anos. Sistemas de intercomunicação cada vez mais complexos vêm sendo exigidos, esticando a ponta da corda, do outro lado vem o hardware, também puxando com força. Uma combinação de peso, caminhando junto e evoluindo de maneira espetacular. A principal meta é fazer que esta caminhada seja absorvida de forma natural e associada aos objetivos de negócio, principalmente no quesito segurança da informação.

A segurança da informação é uma preocupação que está passando de exclusividade dos gestores de TI para as pautas dos conselhos administrativos. É realmente preocupante imaginar o crescimento do parque de servidores, estações de trabalho, novos sistemas, novas ameaças e seu impacto para o negócio. A atitude deve sempre ser pró-ativa, não podemos nos deixar levar pelo maravilhoso mundo moderno do “just do it” e esquecermos da segurança necessária para mantê-lo. Muitos belos projetos podem cair por terra por não considerarem adequadamente a segurança. Levando em conta estas considerações, pensar em uma análise de risco como primeiro passo é um “must have”.

As ameaças de segurança crescem em paralelo ao desenvolvimento da tecnologia, e em muitos casos com mais voracidade. Observando os principais portais de segurança da informação, encontramos novas ameaças todos os dias, desde vírus até brechas em sistemas operacionais. Atualmente estamos cercados por centenas de tipos de ameaças, como websites falsos de Internet Banking, câmeras de filmagem em caixas eletrônicos, clonagem de celular e outras muitas.

Já a algum tempo existe um boato pregando a existência de um vírus para celular. Parece absurdo? Não. Com o desenvolvimento desenfreado das telecomunicações, com tecnologias como GSM e CDMA, aplicações cada vez mais poderosas podem ser executadas nos aparelhos. Um exemplo são os sistemas em Java que podem ser copiados para os aparelhos com um simples clique do mouse. Não é a toa que sistemas Java vem ganhando mercado com rapidez. Os jovens desenvolvedores - com o incentivo das universidades que adotaram a linguagem em diversas disciplinas dos cursos voltados à tecnologia - vem se aprimorando cada vez mais. Isso tudo contribui para uma nova geração de ameaças, vindo junto com tecnologias que para atender as necessidades do mercado tem um ciclo de desenvolvimento muito curto.

Em breve estaremos recebendo SPAM (mensagens indesejadas) via mensagens SMS. Imaginem então, sistemas anti-spam para celulares. O que parece absurdo agora, talvez seja comum daqui dois ou três anos. É o que dizem especialistas em segurança das maiores empresas de antivírus do mercado mundial.

O Brasil é um dos países que mais possui telefones móveis por habitante, tendo ultrapassado o número de telefones fixos. São aproximadamente 45 milhões de telefones móveis contra 39 milhões fixos. A tendência é a modernização destes celulares até que todos se transformem em handhelds, ou o contrário, os handhelds se transformando em celulares. De qualquer forma, já existem alguns modelos no mercado, e em pouco tempo todos serão equipamentos de terceira geração. Como os handhelds são cada vez mais poderosos e mais similares aos computadores, os criadores de vírus vão ter que unificar seus códigos, para que os mesmos sejam portáveis, tanto para os computadores como para handhelds/celulares.

A portabilidade talvez não seja a principal preocupação para os desenvolvedores de vírus, já que é comum a utilização de HTML para o acesso a internet através de handhelds, por exemplo.

Outra preocupação do crescimento tecnológico sem freios é o acesso wireless, que vem tomando proporções fantásticas. Em quase todos os aeroportos do Brasil podemos encontrar access points, o que possibilita o acesso de qualquer pessoa com um notebook e uma placa wireless. Talvez os aeroportos se tornem ponto de encontro para hackers do mundo todo. O acesso não autorizado a estas redes é realmente preocupante. A utilização de ccriptografia e autenticação são premissas básicas para o crescimento adequado desta tecnologia.

A adaptação para este “admirável mundo novo” deve partir de diversas frentes, mas principalmente do gestor de TI. Este, deve saber administrar as mudanças de maneira adequada, possibilitando um crescimento organizado e conciso. É também papel deste gestor controlar os riscos de segurança de tecnologia. Porém, este gestor não é responsável pela segurança da informação de toda empresa. A Segurança da Informação é responsabilidade da alta administração, juntamente com o Chief Security Officer. Estes, devem criar uma cultura de segurança para a empresa, como é bem visto, a Segurança da Informação é gerenciada com uma abordagem top-down. Este conceito esta se desenvolvendo cada vez mais, e quanto mais maturidade atingir, mais seguros estaremos, sejam quais forem as novas ameaças.

Tuesday, April 6, 2004

Classificação de Informações: Além da Confidencialidade

André Palma, consultor da Axur Information Security.

Nem todas as informações possuem o mesmo valor para uma organização. Informações estratégicas são nitidamente críticas enquanto que determinadas informações operacionais são menos significantes em termos de valor e importância. Todos concordamos que proteger as informações é prática de mercado. Entretando, proteção significa controle e controlar requer investimento. Porém este investimento deve ser focado, otimizado. Algumas empresas investem mais na proteção de ativos físicos do que na proteção de suas informações digitais: é desnecessário comentar que certas informações digitais podem ser inúmeras vezes mais valiosas que ativos físicos.

Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?

Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.

O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?

Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.

As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.

Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.

Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.