Segurança da Informação: Novas Oportunidades Tecnológicas x Novas Ameaças ao Negócio

Victor Hugo Menegotto, consultor da Axur Information Security.

O rápido desenvolvimento das tecnologias de rede tem levado muitos gestores a imaginar onde estaremos daqui a alguns anos. Sistemas de intercomunicação cada vez mais complexos vêm sendo exigidos, esticando a ponta da corda, do outro lado vem o hardware, também puxando com força. Uma combinação de peso, caminhando junto e evoluindo de maneira espetacular. A principal meta é fazer que esta caminhada seja absorvida de forma natural e associada aos objetivos de negócio, principalmente no quesito segurança da informação.

A segurança da informação é uma preocupação que está passando de exclusividade dos gestores de TI para as pautas dos conselhos administrativos. É realmente preocupante imaginar o crescimento do parque de servidores, estações de trabalho, novos sistemas, novas ameaças e seu impacto para o negócio. A atitude deve sempre ser pró-ativa, não podemos nos deixar levar pelo maravilhoso mundo moderno do “just do it” e esquecermos da segurança necessária para mantê-lo. Muitos belos projetos podem cair por terra por não considerarem adequadamente a segurança. Levando em conta estas considerações, pensar em uma análise de risco como primeiro passo é um “must have”.

As ameaças de segurança crescem em paralelo ao desenvolvimento da tecnologia, e em muitos casos com mais voracidade. Observando os principais portais de segurança da informação, encontramos novas ameaças todos os dias, desde vírus até brechas em sistemas operacionais. Atualmente estamos cercados por centenas de tipos de ameaças, como websites falsos de Internet Banking, câmeras de filmagem em caixas eletrônicos, clonagem de celular e outras muitas.

Já a algum tempo existe um boato pregando a existência de um vírus para celular. Parece absurdo? Não. Com o desenvolvimento desenfreado das telecomunicações, com tecnologias como GSM e CDMA, aplicações cada vez mais poderosas podem ser executadas nos aparelhos. Um exemplo são os sistemas em Java que podem ser copiados para os aparelhos com um simples clique do mouse. Não é a toa que sistemas Java vem ganhando mercado com rapidez. Os jovens desenvolvedores - com o incentivo das universidades que adotaram a linguagem em diversas disciplinas dos cursos voltados à tecnologia - vem se aprimorando cada vez mais. Isso tudo contribui para uma nova geração de ameaças, vindo junto com tecnologias que para atender as necessidades do mercado tem um ciclo de desenvolvimento muito curto.

Em breve estaremos recebendo SPAM (mensagens indesejadas) via mensagens SMS. Imaginem então, sistemas anti-spam para celulares. O que parece absurdo agora, talvez seja comum daqui dois ou três anos. É o que dizem especialistas em segurança das maiores empresas de antivírus do mercado mundial.

O Brasil é um dos países que mais possui telefones móveis por habitante, tendo ultrapassado o número de telefones fixos. São aproximadamente 45 milhões de telefones móveis contra 39 milhões fixos. A tendência é a modernização destes celulares até que todos se transformem em handhelds, ou o contrário, os handhelds se transformando em celulares. De qualquer forma, já existem alguns modelos no mercado, e em pouco tempo todos serão equipamentos de terceira geração. Como os handhelds são cada vez mais poderosos e mais similares aos computadores, os criadores de vírus vão ter que unificar seus códigos, para que os mesmos sejam portáveis, tanto para os computadores como para handhelds/celulares.

A portabilidade talvez não seja a principal preocupação para os desenvolvedores de vírus, já que é comum a utilização de HTML para o acesso a internet através de handhelds, por exemplo.

Outra preocupação do crescimento tecnológico sem freios é o acesso wireless, que vem tomando proporções fantásticas. Em quase todos os aeroportos do Brasil podemos encontrar access points, o que possibilita o acesso de qualquer pessoa com um notebook e uma placa wireless. Talvez os aeroportos se tornem ponto de encontro para hackers do mundo todo. O acesso não autorizado a estas redes é realmente preocupante. A utilização de ccriptografia e autenticação são premissas básicas para o crescimento adequado desta tecnologia.

A adaptação para este “admirável mundo novo” deve partir de diversas frentes, mas principalmente do gestor de TI. Este, deve saber administrar as mudanças de maneira adequada, possibilitando um crescimento organizado e conciso. É também papel deste gestor controlar os riscos de segurança de tecnologia. Porém, este gestor não é responsável pela segurança da informação de toda empresa. A Segurança da Informação é responsabilidade da alta administração, juntamente com o Chief Security Officer. Estes, devem criar uma cultura de segurança para a empresa, como é bem visto, a Segurança da Informação é gerenciada com uma abordagem top-down. Este conceito esta se desenvolvendo cada vez mais, e quanto mais maturidade atingir, mais seguros estaremos, sejam quais forem as novas ameaças.

Classificação de Informações: Além da Confidencialidade

André Palma, consultor da Axur Information Security.

Nem todas as informações possuem o mesmo valor para uma organização. Informações estratégicas são nitidamente críticas enquanto que determinadas informações operacionais são menos significantes em termos de valor e importância. Todos concordamos que proteger as informações é prática de mercado. Entretando, proteção significa controle e controlar requer investimento. Porém este investimento deve ser focado, otimizado. Algumas empresas investem mais na proteção de ativos físicos do que na proteção de suas informações digitais: é desnecessário comentar que certas informações digitais podem ser inúmeras vezes mais valiosas que ativos físicos.

Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?

Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.

O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?

Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.

As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.

Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.

Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.

Desenvolvendo e Mantendo uma Rede Segura

Charles Schneider, consultor da Axur Information Security.

Não é novidade a crescente preocupação dos gestores de grandes organizações na busca pela segurança da informação. Alguns índices e pesquisas comprovam o porquê desta apreensão.

Em 2003, o índice geral de ataques a sites web subiu 19%. Cada empresa foi vítima de aproximadamente 38 ataques por semana no primeiro semestre de 2003, contra 32 ataques no mesmo período de 2002.

O Brasil ficou na liderança no ranking dos países alvos de ataques, sendo que 25% de todos os ataques mundiais originaram-se de sistemas localizados no Brasil - de cada 10 sites de hackers, sete são em português.

O número de usuários residenciais de Internet no Brasil beira 10 milhões de pessoas.

As perdas totais na economia mundial, causadas por ataques digitais e por vírus de computador, são estimadas entre US$ 45 bilhões em 2003 e US$ 63 bilhões em 2004. O total de ataques, considerando-se outros tipos de operações de hackers, soma uma média de 4,8 mil casos mensais.

Considerando este altíssimo índice de ataques, mais alarmante ainda é o número de tentativas onde o intruso consegue ou acessar, ou modificar, ou destruir informações sensíveis da organização visada.

Como estes criminosos conseguem alcançar o sucesso nas suas inúmeras ações na tentativa de “burlar” os sistemas corporativos?

Um dos pontos críticos é o alto grau de vulnerabilidades descobertas, pois até a metade do ano de 2003 foram registradas mais 1.400 novas vulnerabilidades, 12% a mais do que o número detectado no mesmo período do ano de 2002, sendo que 80% das vulnerabilidades descobertas poderiam ser exploradas remotamente, agravando ainda mais este cenário.

Para aproveitar estas brechas, os invasores precisam da ajuda muito especial de desatentos profissionais de TI: “a falta de um planejamento de segurança e de um desenvolvimento de rede adequado e seguro”, baseado no modelo de negócio requerido pela organização.

Para adequar a rede de sua organização a um nível mínimo aceitável, recomenda-se utilizar o framework NDSec (Network Security Design), utilizado pela Axur.

Análise dos Processos e do Modelo da Organização

A primeira etapa de início deste desafiante trabalho é uma análise geral da organização, e para auxiliar neste processo sugerimos a divisão do mesmo em três tarefas distintas: (1) Planejamento, (2) Implementação e (3) Gerenciamento.

Durante o planejamento e design, o foco será a geração de um overview de alto nível dos processos e dos objetivos da companhia. Esta fase inclui tarefas como entendimento do modelo de negócio, sua abrangência, bem como os processos da organização, que incluem o fluxo de informações, o fluxo de comunicações, os serviços, a estratégia e tomada de decisões, as necessidades do negócio, a avaliação dos serviços de rede, a avaliação da infraestrura de rede existente, o design da rede de computadores e o custo x benefício das soluções entre outros.

Na fase de implementação, devem ser realizados testes-piloto das soluções, instalações e configurações propostas na etapa de planejamento, lembrando que instalações e alterações críticas devem ser obrigatoriamente testadas e homologadas antes que sejam repassadas para o ambiente de produção.

Na etapa de Gerenciamento encontram-se as tarefas diárias e rotineiras, incluindo o monitoramento e a melhoria contínua dos processos, é o que usualmente se chama Housekeeping (Governança) para TI. Vale lembrar que a norma ISO/IEC 17799 dedica um capítulo exclusivamente à operação.

Durante o design de rede, tenha em mente que os processos de negócio direcionam os processos tecnológicos. Os critérios de design de rede são divididos em quatro aspectos: Funcionalidade, Segurança, Disponibilidade e Performance.

Ainda nesta fase, é necessário compreender o modelo de negócio da companhia. Fatores como condições econômicas, leis governamentais, fatores competitivos entre outros que podem impactar o desenvolvimento da rede da empresa.

Análise do Plano de Negócios

NNesta fase deverá ser analisada a estrutura organizacional existente, considerando o modelo de gerenciamento, relação com parceiros, terceiros, vendedores e com os clientes. Faz-se necessário avaliar também os fatores que podem influenciar as estratégias da organização como a identificação das prioridades da empresa, identificação do crescimento projetado e a estratégia de crescimento do TCO.

Você provavelmente deve estar se perguntado: - Estamos falando de projeto, gerenciamento, negócios, mas, o que tem a ver com a segurança de redes?

Todo este planejamento serve para minimizar as chances de falha no projeto. O PMI (Project Management Institute) indica que um projeto falha por inúmeras razões, dentre elas a separação entre negócio e tecnologia, falhas de comunicação, processos inflexíveis e dificuldade de mudança.

Análise do Modelo de Gerenciamento

Neste momento devemos analisar a estrutura de Gerenciamento de TI, incluindo o tipo da administração, como centralizada ou descentralizada, o modelo financeiro, o método de tomada de decisões e os requerimentos e critérios de segurança para o usuário final.

Os usuários podem ser agrupados em tipos pré-definidos como usuários externos, regulares, viajantes e de internet. Com base nestas categorias deve ser adequada a definição de estratégia de segurança da informação.

Projetos como o de desenvolvimento, implementação e manutenção de uma rede segura com certeza terá custos, que devem ser coerentes às reais necessidades de segurança. Devem ser avaliados também os recursos utilizados, se serão utilizados recursos internos ou externos.

Avaliação dos Riscos

Nesta fase devem ser identificados os riscos a que a organização está exposta, sendo que estes riscos podem ser internos ou externos. Recomenda-se a identificação do nível de tolerância aos riscos.

Segundo pesquisa do CSI/FBI – Computer Crime and Securiry Survey 2003, 90% dos crimes virtuais são relativos a “Insider Abuse of Net Access”, ou seja, usuários da rede interna acessando informação não autorizada.

Aqui também será revista e planejada a segurança física, mas não pense somente em controle de acesso, muros e cerca elétrica, mas também no mapeamento da rede, a criação de DMZ (Zona Desmilitarizada), tipos de firewall (Bastion Hosts, Screened Subnet e etc).

Existem quatro passos essenciais para o gerenciamento de riscos: (1) Identificação dos Riscos, (2) Quantificação dos Riscos, (3) Controle de Riscos e Monitoramento e (4) Gerenciamento de Riscos.

Existem inúmeras maneiras de identificar os riscos, e uma das formas mais aceitas e utilizáveis é através de entrevistas e brainstorms com os principais responsáveis e conhecedores do processo, conversa intermediada por especialistas em segurança.

Revisão Tecnológica

Na revisão tecnológica deverá ser documentado o ambiente atual da empresa, a conectividade entre as localidades geográficas, a avaliação da banda e performance de rede requerida, a metodologia de acesso aos sistemas e as responsabilidades administrativas dos colaboradores.

Convém que seja realizado um inventário de todo os ativos tecnológicos da organização, que incluam hardware e software, infra-estrutura de rede, servidores de arquivos e arquitetura de diretório.

A infra-estrutura de rede física deve ser documentada, considerando os links, as configurações de rede como resolução de nomes, endereçamento IP, número de usuários por site entre outros. O diagrama lógico deve conter os sistemas utilizados, relações de confiança e arquitetura de domínio.

Um ponto crítico que deve ser tratado e analisado faz menção a usuários móveis que conectam a rede interna de um local fora das dependências da organização.

Em relação a tráfego de rede e performance pode ser necessário criar uma baseline aceitável para o negócio da organização. Para isto podem ser utilizadas ferramentas especiais para medição e monitoramento do tráfego. É necessário também considerar a qualidade da rede da estrutura atual que incluem questões como tipo de rede utilizada, velocidade de switches, hubs, e roteadores, velocidade dos links de comunicação e o tráfego gerado internamente e externamente.

A metodologia de acesso a dados, sistemas e recursos é outro ponto que requer uma revisão delicada para avaliar os impactos, as vulnerabilidades e o custo x benefício relacionado ao tipo de acesso requerido.

Aqui deve ser também definidas as regras e as responsabilidades dos colaboradores, como será o gerenciamento, centralizado ou descentralizado? Alguém de uma filial será responsável pelo gerenciamento de usuário daquela localidade? O administrador de redes será o responsável por todo o gerenciamento da companhia? Devem ser documentados os tipos de ativos de tecnologia com seus respectivos responsáveis e sua classificação de segurança.

Baseline de Segurança

O NDSec (Network Security Design) identifica seis principais fatores para tornar uma rede segura:

- Identificação única e individual para cada um dos usuários;
- Aplicação controle de acesso adequado aos recursos;
- Proteção dos dados sensíveis;
- Definição de políticas de segurança;
- Desenvolvimento de aplicações seguras;
- Gerenciamento da Segurança;

Nestas etapas é necessário um conhecimento aprofundado sobre tecnologia, bem como ferramentas e produtos.

Convém um entendimento de protocolos como Kerberos, ferramentas de criptografia para dados sensíveis, IPSEC, utilização de softwares de mercado, segurança em correio eletrônico e servidores web e a delegação de controles e privilégios.

Trilhas de Auditoria

Como o título sugere, o ponto chave aqui é a auditoria dos sistemas. Convém que todos os sistemas possuam auditorias bem definidas, com foco nos eventos que realmente interessam à administração do sistema. Recomenda-se que esta auditoria inclua eventos de logon (sucesso e falha), auditoria do uso de privilégios, auditoria de acesso a objetos, auditoria de mudanças nas políticas entre outros.

Estratégias de Autenticação

Esta é mais uma etapa que exige conhecimento técnico e estudo por parte dos responsáveis pela rede das organizações.

Serão selecionados aqui os métodos de autenticação dos usuários, levando em consideração o tipo dos usuários e o modelo de negócio. Estes incluem Kerberos, clear-text, PKI, digest, smart card, Radius, SSL entre outros.

Destaca-se entre estes a utilização de PKI, também conhecida como criptografia assimétrica, uma autenticação baseada em certificados públicos e privados. Para evitar problemas futuros é importante salientar o método de integração quando da utilização de sistemas heterogêneos.

Acesso seguro na camada de rede

Devem ser verificados e implementados controles para o acesso entre redes, da rede interna para rede pública, como servidores de proxy, proxy reverso, firewalls, NAT ou entre redes privadas que incluem VPN, e que devem utilizar encapsulação, autenticação e criptografia adequada. As VPN podem ser utilizadas sobre a Intranet e Internet. Recomenda-se utilizar nas redes virtuais filtros de pacotes com PPTP ou L2TP com IPSEC para a garantia da confidencialidade das informações.

Mãos a Obra!

O crescimento exorbitante das redes de computadores e da Internet trouxe elevada demanda pela conectividade. As pessoas sentem cada vez mais a necessidade de se interconectar, impulsionadas pelo desejo de obter informações em tempo real.

Os altos índices de informações on-line, negócios pela internet e compartilhamento de dados, tornaram a informação um dos bens mais valiosos e simultaneamente mais vulneráveis nas organizações e instituições em geral.

A Segurança da Informação é um desafio quanto a sua aplicação e aprimoramento constante, ao mesmo tempo em que é uma necessidade das organizações como fator de qualidade na proteção de suas informações e conhecimentos.

Espero ter auxiliado na proteção e defesa das informações. A tarefa a realizar agora é despertar a consciência da sua organização para que seja reconhecida a importância do tema e o valor de um projeto de segurança como qualidade organizacional agregada aos serviços ou produtos disponibilizados aos clientes. E como diria Fellini, “E La Nave Vá...”, significa que devemos adequar nossas necessidades aos poucos, deixar que os novos conceitos sejam inseridos de maneira gradual e sem impactos. Espero que este artigo já seja o começo.

Segurança da Informação: Tendência e Cenários para 2004

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Nunca foi tarefa fácil predizer o futuro. E olha que muita gente já tentou. Imagina então como deve ser difícil tentar predizer o futuro da Tecnologia da Informação, ou correlatos – como é o caso da Segurança da Informação. Na edição de dezembro de 2003, a revista CIO, publicação internacional direcionada aos CIOs, tratava de como será a TI em 10 anos. Será surpresa que a Segurança da Informação tem papel preponderante no cenário tecnológico, servindo como base aos maiores desafios do executivo de tecnologia ao longo deste decênio?

Nem vamos tão longe. Miremos nossas lunetas para 2004. O que vem pela frente, quando o assunto é Segurança da Informação, são mais que meros modismos passageiros. Para este ano surgirão diversos novos desafios, diversas novas ameaças e inúmeras oportunidades através da tecnologia. Oportunidades sugerem novos riscos, que deverão ser estudados com cuidado pelo Security Officer em sua análise de risco. Colaborando com o exercício de antever o que pode acontecer no decorrer deste ano, sintetizei alguns cenários que considero relevantes ao planejamento de qualquer profissional de Segurança da Informação ou tecnologia. São estes:

1. Surgimento de pelo menos um superworm

Acompanhando as estatísticas da indústria do antivírus, podemos verificar a diminuição gradativa no número de novos vírus. Não significa que esta ameaça esteja ultrapassada. Os desenvolvedores de vírus de computador estão sofisticando cada vez mais suas criações, no que chamamos next-generation worms. Poucos, mas com altíssima complexidade, o que diferenciará os novos worms é: (1) sua capacidade de proliferação em velocidade recorde; (2) mecanismos automáticos de propagação utilizando vulnerabilidades em serviços de Internet; (3) complexidade na sua remoção e diagnóstico. A boa interação entre um IDS atualizado em tempo real e o firewall da Internet, poderá definir o sucesso de quem busca uma defesa efetiva contra este tipo de ameaça.

2. Aumento drástico no número de crimes virtuais

O ano de 2003 ficou registrado pelo crescente número de fraudes bancárias, envolvendo recursos não tão sofisticados para interceptação de senhas aliada a inocência de usuários desavisados. Com a Internet tornando-se cada vez mais presente em nosso dia-a-dia, esperamos que um, cada vez maior, contingente de hackers, desenvolva ferramentas que possam prejudicar atividades de negócio e apropriar-se ilegalmente da identidade virtual de correntistas bancários. A lacuna existente na legislação brasileira, quando se trata de concorrência desleal, ameaça virtual e outros crimes da mesma linha, deverá garantir grande vantagem a quem ataca. A nós que estamos em posição de desvantagem legal, cabe apenas preparar uma boa defesa, tentando aliar nossa estratégica de segurança junto às possibilidades jurídicas.

3. Chief Security Officer em posição de Staff

Segurança da informação é responsabilidade estratégica, e deve ser considerada como ponto-chave em se tratando de alcançar os objetivos do negócio. Mais e mais CSOs serão convidados a reportar seus resultados diretamente ao Board. Atender requisitos legais relacionados à manutenção do sigilo e da privacidade da informação deve aproximar os responsáveis pela segurança da informação das decisões estratégicas da organização. A chancela de uma análise de risco deve se tornar condição sine qua non para qualquer tomada de decisão envolvendo informações ou sistemas de informação.

4. Consolidação da norma BS 7799 e ISO 17799 como padrão de mercado

A iminente necessidade da acreditação por uma terceira parte, garantindo a eficiência das empresas em gerir os seus riscos relacionados à informação, fez com que o mercado unisse forças em torno de um objetivo comum, a definição de um padrão internacional de segurança. Apesar do ranço de alguns paises que insistem em adotar padrões nacionais, não restam muitas dúvidas sobre qual será a norma. A norma BS 7799 tem recebido ampla aceitação em paises asiáticos; mais que dobraram o número de certificaçõess no segundo semestre de 2003 na China e no Japão. O guia que referencia às melhores práticas de segurança da informação aqui no Brasil - a ISO 17799 -, já é a segunda norma mais vendida no país, ficando atrás apenas da ISO 9000. Especialistas indicam que futuramente empresas de grande porte exigirão esta certificação de seus parceiros de negócio.

5. Aumento da preocupação em torno da rastreabilidade (trilhas de auditoria)

A maior preocupação relacionada à segurança girava em torno de não permitir que usuários sem autorização obtivessem acesso determinado conteúdo, pasta ou informação. A evolução natural desta preocupação dá-se também a capacitar sistemas a identificar, dentre os usuários autorizados, quem fez isso ou aquilo, configurando o conceito de accountability (conseguir relacionar determinada ação a determinado usuário). Neste contexto deve ocorrer uma busca por ferramentas de IAM – Identity and Access Management, sofisticados leitores de logs (registros) e a corrida pela implementação de trilhas de auditorias em sistemas proprietários que até então foram focados apenas na premissa da produtividade.

6. Surgimento de Novos Entrantes no mercado de Segurança da Informação

O que também pode ser uma ameaça, se considerarmos que durante 2003 surgiram dezenas de empresas atuando na área de segurança da informação, mas muito poucas conseguiram sobreviver. Seguindo uma corrente natural, empresas de tecnologia estão oferecendo produtos e serviços para suprir o mercado de segurança da informação, principalmente no que diz respeito a hardware e software. O Security Officer deve ficar alerta aos pequenos entrantes que visualizam o mercado de segurança apenas como uma oportunidade momentanea.

Na hora de escolher o seu parceiro de segurança, seja para implementação de tecnologia ou para consultoria em segurança, sugere-se tomar todas as referências possíveis, é muito comum pequenas empresas não suportarem a demanda de grandes projetos, e por não possuírem ativos reais como garantia, acabarem engordando a estatística das empresas que fecham em seu primeiro ano.

Estas são apenas algumas das previsões para o ano que recem está começando. Não são predições de difícil assimilação, até porque seguem o movimento da tendência observada no mercado internacional, e por tabela, nacional. Por mais desafiador que seja o cenário – e é muito difícil contar histórias bonitas quando o assunto é segurança -, o vencedor da batalha será o CIO ou CSO que estiver alinhado às oportunidades de negócio, e conseguir armar um exército talentoso capaz de antecipar riscos e utilizar controles de segurança como diferencial estratégico.

Análise Forense: Processo de Investigação Digital

Victor Hugo Menegotto, consultor da Axur Information Security.

Incidentes de segurança fazem parte da rotina de diversas organizações, abrangendo desde roubo de informações até brincadeiras de mau gosto de funcionários. Na maioria dos casos, os incidentes ocorrem através de meios internos, de conhecimento dos colaboradores, sejam estes funcionários, prestadores de serviço ou terceiros. Os incidentes que ocorrem por intrusão externa, executada por hacker ou similar, não são menos comuns, porém curiosamente nem sempre há o interesse da organização para que seja executada uma perícia técnica do caso. Os casos nos quais uma perícia técnica é requisitada, tem quase sempre, a participação de interfaces internas da organização.

Um processo de investigação forense – conhecido “forensics” -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.

Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente, de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.

Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado. Para isso é necessário que seja formada a corrente de custódia. Este é o termo utilizado para caracterizar o processo de coleta, análise, armazenamento, apresentação do ativo ao tribunal e retorno do ativo periciado ao seu dono (pode ser um computador, disquete e etc). São tantos os fatores que podem intervir na manutenção de uma boa corrente de custódia que recomenda-se a utilização de algumas normas internacionais, como por exemplo a HB 171:2003 (Norma Australiana com Procedimentos de Gestão de Evidências de Tecnologia da Informação).

Lembre-se, muito da credibilidade da sua evidência vem da capacidade que você tem em provar para o tribunal que sua análise foi isenta e que não houve qualquer alteração no ativo periciado. Uma boa evidência deve ser confiável, suficiente e relevante.

Em muitos casos, durante um processo de análise forense, o departamento de tecnologia desempenha forte papel operacional no auxílio à perícia, fornecendo a base fundamental do processo, como registros de sistemas, fornecimento de equipamento e estrutura tecnológica. Não só a área de TI, mas todos os setores envolvidos no incidente são fundamentais. Como também, a participação da Alta Administração, que ajuda a garantir a colaboração da organização como um todo.

Apesar de uma perícia técnica sempre buscar evidências que sejam conclusivas ao processo, nem sempre isso é possível, a maior parte das evidências encontradas em processos de Forensics são registros de sistemas, os quais são juridicamente considerados do tipo hearsay evidence, ou seja, registros gerados por terceiros, que podem ser modificados. Estas evidências são comumente utilizadas em conjunto com outras evidências, criando a possibilidade de uma validação jurídica. De qualquer forma, existe a necessidade da geração de registros, que mesmo não representando prova cabal da ação de determinado agente, pode ser considerado como evidência corroborativa ou circunstancial. Para que os registros possuam a integridade necessária, é extremamente importante que sejam feitas cópias de segurança dos mesmos, e em alguns casos que estes registros sejam assinados matematicamente, com HASH MD5 por exemplo.

A falta de conhecimento de como agir no momento de um incidente pode comprometer todo o processo investigatório. Nas normas de segurança da organização, deve estar definido, para todos os usuários, a quem recorrer no momento de um incidente: geralmente o Security Officer, que deve possuir um script de como agir para cada caso, insstruindo também o agente que identificou o evento suspeito. Este, por sua vez, tem a responsabilidade de manter a corrente de custódia do ativo onde ocorreu o incidente, armazenando-o de forma adequada e lacrando-o quando necessário.

A implantação de um SGSI - Sistema de Gerencia de Segurança da Informação com base no padrão BS 7799-2 é fundamental para que as organizações tenham a possibilidade de administrar seus ativos de uma forma coerente e organizada, criando registros que facilitam enormemente eventuais processos de análise forense.

Observamos que na grande maioria das empresas, após a verificação de um incidente, ocorre quase que imediatamente a percepção da importância em se proteger os ativos de informação. O primeiro e mais prudente passo seria a realização de uma análise de risco considerando a organização como um todo, esse é sem dúvida o primeiro passo de quem leva segurança à sério. Não espere o azar, mantenha-se seguro.

Plano Diretor para 2004: Agenda de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Estamos nos aproximando do final do ano, época em que fechamos nosso planejamento para o próximo ano. É um momento de reflexão, momento em que devemos sopesar ações passadas considerando a sua eficiência, e as ações futuras levando em conta seu relacionamento com os aspectos estratégicos para o negócio. Não considero que a responsabilidade pela definição do Plano Diretor de Segurança da Informação – PDSI, seja exclusiva da área de tecnologia, deveria ser uma ação conjunta à Alta Administração, mas no Brasil na maioria dos casos é assim que funciona. Como estou preocupado mais com a prática que com a teoria, este artigo versará nestes moldes. Para garantir um artigo sintonizado com as últimas tendências utilizei como referência o guia do SGSI da BS 7799-2 e também a experiência de alguns dos maiores gestores de TI do país, com quem tenho algum tipo de relacionamento.

Nosso primeiro passo será listar todos os projetos relacionados à segurança que foram realizados no ano corrente. Não se pode planejar o futuro sem entender o passado, pois seria incoerente tratar de novos desafios sem antes dar o fechamento aquilo que foi realizado ou está em fase de finalização. Com base a nosso planejamento passado devemos aferir nossa capacidade de predição orçamentária considerando também a previsão de tempo, recursos e expectativas. Vou lhes contar uma regra de ouro da segurança, que parece óbvia mas nem sempre é seguida: só o que é monitorado pode ser medido, só o que é medido pode ser gerenciado. Se não houve histórico para determinarmos a performance de determinada ação, dificilmente saberemos se estamos indo para o lado certo.

Todo o investimento em um controle de segurança deve ser justificado com a minimização de um risco. Conceitualmente “controle de segurança” é tudo aquilo que se aplica na redução de determinado risco, controles são firewall, IDS, biometria, redundância de link e etc. Quanto gastar no controle? A análise de risco é quem vai dizer. Se comprei um firewall e não consigo mensurar através de informações gerenciais qual o impacto da sua ausência no negócio da minha organização, entã, não posso afirmar que eu preciso de um firewall. Lembro que esta análise deve ser preferencialmente financeira, em alguns casos – pela dificuldade que ainda temos em tangebilizar o valor do ativo informação – está a contento uma análise qualitativa apresentando o impacto da quebra da confidencialidade, integridade e disponibilidade.

Agora vamos ao que realmente nos interessa: quais são as melhores práticas para a confecção de um plano diretor anual para uma empresa de médio e grande porte. Preparei uma lista de projetos que não consideram contratação de hardware ou software, porque assim eu entraria em particulares que variam dentro de um grande espectro. Refiro-me aquilo que é imprescindível e que independente da natureza do negócio, deve ser realizado, variando apenas o escopo abrangido por cada um dos tópicos.

Janeiro – Primeira Reunião com Fórum de Segurança: esta reunião, que deve contar com a parcitipação da Alta Administração da organização, proverá direcionamento ao processo de segurança da informação, garantindo apoio a política de segurança existente e apontando quais são os níveis de risco aceitáveis para a organização.

Janeiro/Fevereiro - Análise de Riscos e Vulnerabilidades: é imprescindível que seja realizada uma análise de riscos e vulnerabilidades. Se já foi realizada uma análise no ano anterior, então é o momento de revisá-la. Esta análise deve retornar como produto um relatório que será utilizado pelo gestor durante todo o ano. O relatório de análise de risco é dinâmico e deve receber como anexo as demais análises realizadas pontualmente sobre processos que foram agregados ao negócio da organização durante o ano.

Fevereiro/Março – Plano de Continuidade do Negócio: antes do fechamento do primeiro semestre é importante que seja realizada uma Análise de Impacto - BIA, preferencialmente associada aos indicadores de criticidade dos processos listados na Análise de Riscco. Geralmente a reavaliação dos planos de continuidade geram diversas ações que fogem ao comando da área de tecnologia, responsável pela continuidade dos sistemas e muitas vezes de toda a área de telecomunicações. Ações administrativas, geralmente envolvem modificações estruturais em sites e também a contratação de terceiros. Modularize seu plano de maneira a conseguir sustentar a continuidade operacional, recuperação em caso de desastres e procedimentos para retorno a normalidade.

Março/Abril – Revisão e Confecção dos Procedimentos Operacionais e Normas de Segurança: para que haja aderência do processo de segurança à norma BS 7799- 2, faz-se necessária a documentação de todos os procedimentos operacionais e normas de segurança que garantirão a efetividade dos controles implementados. Este trabalho deve ser realizado por uma equipe especializada, uma vez que nem sempre a maneira como está sendo realizado o rodízio das fitas de backup ou o rótulo das informações, por exemplo, é o mais correto. A participação de uma equipe especializada facilita a padronização das regras seguindo os critérios das melhores práticas em segurança.

Abril – Primeiro Teste de Intrusão Externo: é indicado que sejam realizados pelo menos dois testes de intrusão em empresas que possuem endereço IP válido na internet. Após a implementação dos primeiros controles sugeridos na Análise de Risco que deve ter sido realizada no início do ano, já é momento de auditar através de tentativas simuladas de ataque a partir da Internet. Se a empresa já possui um plano de continuidade, é interessante considerar ataques de denial-of-service (esgotamento de recursos) e ensaiar a equipe de resposta a incidentes. Não se assuste quando eu escrevo “equipe de resposta a incidente”, independente do tamanho da organização deve haver alguém responsável por responder de maneira efetiva quando identificado um ataque: não importa que seja uma “equipe” de um só homem, de dez pessoas ou que seja um serviço terceirizado – como um CIRT, por exemplo.

Maio/Junho - Auditoria Tecnológica: para que haja um endosso mensal, garantindo que a empresa mantem o nível de segurança alcançado através da implementação dos controles sugeridos na Análise de Risco e delineados na Estratégia de Continuidade. Todos os controles tecnológicos devem gerar registros e estes registros devem ser verificados. A auditoria tem o caráter de envidenciar oportunidades de melhoria dentro da organização. A norma BS 7799-2 sugere que esta auditoria seja realizada por uma equipe independente e especializada, participando também o auditor interno.

Julho/Agosto - Treinamento de Funcionários: imprescindível é o treinamento dos funcionários da organização. É interessante que sejam realizados seminários tratando de temas como: Engenharia Social, Importância do Backup, Cuidados com a Senha, Classificação da Informação e etc. Em casos peculiares, considerando a participação da Alta Administração, devem ser agendados treinamentos tratando da proteção de notebook, utilização de criptografia e assinatura digital ou qualquer outro assunto que possa auxiliar à redução de risco, conforme índice indicado pela própria Alta Administração como aceitável na matriz dos riscos.

Agosto - Atualização / Treinamento do Security Officer: é tempo de atualização frente ao vasto contingente de conhecimentos que se renovam. O Security Officer ou quem for que ocupe a função de gerenciar a segurança da informação – seja este um analista, gerente, diretor ou até mesmo alguém que acumule esta função -, deve realizar pelo menos um treinamento anual para reciclagem. Este treinamento tem por objetivo o intercâmbio de boas idéias com os colegas de outras organizações e também a reflexão das melhores práticas de segurança, considerando o conhecimento e a experiência dos instrutores. Deve ser analisada também a possibilidade de um treinamento de Security Officer para uma equipe inteira, em treinamento in company. Esta prática vem sendo cada vez mais frequênte e tem trazido ótimos resultados.

Setembro – Evento Interno de Segurança da informação: para que haja o comprometimento da organização como um todo, em diversos momentos é necessário realizar trabalhos de reforço à Política de Segurança. Muitas empresas optam adotar um dia do ano como Security Day – Dia da Segurança da Informação, e aproveitam esta data para o lançamento da sua campanha de segurança, com camisetas, mousepads, pronunciamento do presidente e etc. O assunto segurança não é dos mais amigáveis. Apresentar novos controles ou conceitos que parecem tão cerceadores em um coquetel ou utilizando o recurso de um mascote, pode ser uma boa idéia.

Outubro – Segunda Reunião com Fórum de Segurança / Análise Crítica da Política de Segurança: para esta reunião é interessante que seja organizado uma espécie de Security Scorecard com indicadores de controle para cada risco tratado. Para que haja o giro do PDCA do sistema de gestão de segurança da informação, faz-se necessária uma revisão crítica da Alta Administração para endossar a continuidade da Política de Segurança da Informação.

Novembro/Dezembro - Entrevista de Aderência à Política de Segurança: a entrevista de aderência à política tem como objetivo medir a cultura de segurança da informação dos funcionários. É uma espécie de termômetro que fornece indicadores para que seja providenciado um acerto de rota. Caso seja evidenciado, por exemplo, que o departamento de engenharia está conhecendo pouco da política de backup, então entra em ação a equipe de endomarketing, sugerindo cartazes ou treinamentos específicos para elevar o conhecimento destes funcionários a um nível considerado adequado. Existem diversos softwares que realizam avaliação dos funcionários, deve-se considerar a compra ou contratação deste tipo de serviço.

Dezembro – Segundo Teste de Intrusão: é recomendado que sejam realizados no mínimo dois testes de intrusão por ano. Em algumas organizações recomenda-se testes trimestrais. Quem decide? Os interesses da organização em vista da Análise de Risco.

Além dos pontos listados acima é necessário que sejam realizadas atividades mensais, que garantam a manutenção da segurança. Uma boa prática é a realização de chekups mensais na forma de auditoria para garantir que o nível de segurança está sendo mantido. Deixe reservado um fundo que possa cobrir eventuais consultorias em uma média de 30 a 50 horas mensais, considerando a possibilidade de ocorrerem eventos pontuais que necessitem a ajuda de consultores experientes, como uma análise forense ou uma análise de vulnerabilidades em uma nova tecnologia.

A tecnologia da informação nos faz subir cada vez mais na escalada onde cada centímetro de vantagem nos dá maior participação em mercado, satistação do cliente e diferenciação. Nesta escalada não podemos subir, subir, subir sem pensar em segurança. Entenda os 127 controles apresentados na ISO 17799 como aquele pino que os alpinistas prendem à parede a cada metro de subida, garantindo que se houve algum tipo de queda, esta será controlada e estará dentro do limite de risco aceito. Espero que este perfil de direcionamento para as atividades de segurança possa ajudá-lo a organizar as prioridades para o próximo ano. Este artigo não tem a intenção de ser um modelo a ser seguido, mas de ser utilizado como benchmark na hora em que você for confeccionar seu plano para 2004.

Desmistificando a Continuidade do Negócio: Uma análise do cenário brasileiro

Charles Schneider, consultor da Axur Information Security.

Muito se comenta sobre continuidade do negócio e para o entendimento concreto deste conceito faz-se importante à compreensão dos principais pontos que o fundamentam, tais como: grau de exposição, análise de impacto e análise de risco.

No Brasil, o PCN (Plano de Continuidade do Negócio) ainda é um conceito novo, ao contrário do que é praticado em países com maior poder econômico e tecnológico onde ele já é utilizado por inúmeras organizações. De acordo com a OMC (Organização Mundial do Comércio), uma organização permanecendo indisponível aos seus clientes ou usuários por 4 dias está designada a encerrar suas atividades.

O que acontece, principalmente a nível nacional, é que a continuidade de uma empresa ainda é vista de maneira distorcida. À vista da alta gerência, os profissionais de continuidade estão preocupados com catástrofes e desastres ao invés de estarem procurando alternativas para aumentar a produtividade e rentabilidade. Ainda permeia nas organizações nacionais a visão conservadora das gerências, onde as palavras mágicas e atrativas são: ROI (Return on Investiment) e redução do TCO (Total Cust on Ownership).

Nosso país está começando a despertar interesse neste assunto, tanto que em pesquisas de segurança recentemente publicadas, foi revelado que menos da metade das empresas entrevistadas possuem estratégias de continuidade. É muito importante a conscientização das empresas quanto à adoção de Planos de Continuidade, pois estas devem estar cientes que acontecimentos inesperados podem causar danos irreversíveis.

Pense que, problemas como uma falha num disco rígido, uma parada inesperada em um aplicativo ou um problema em sua rede pode arruinar seus negócios em questão de minutos. Mas, qual o conceito de Planos de Continuidade?

O Plano de Continuidade visa prevenir a ocorrência de desastres, minimizar o impacto de um desastre e viabilizar a ativação de processos alternativos quando da indisponibilidade dos processos vitais.

Como passo inicial no desenvolvimento do processo de continuidade deve ser elaborado a famosa BIA, cuja definição e objetivo é desconhecida por muitos. No BIA (Business Impact Analisys), como também é conhecida a análise de impacto) serão identificados os impactos de um possível desastre sobre as operações de uma organização. Além da identificação da criticidade dos processos, esta avaliação fornecerá informações que permitirão definir o escopo do plano e a tolerância quanto à paralisação dos processos vitais.

Uma vez identificada a criticidade dos processos, será necessário avaliar o grau de exposição destes ativos críticos. A avaliação do grau de exposição é uma função que envolve algumas variáveis como perdas possíveis, ameaças, vulnerabilidades e controles. Os ativos que ao serem impactados implicarem numa perda significativa deverão ser alvo de estudo pormenorizado na avaliação do Grau de Exposição.

Sabendo o quão exposta sua organização está, inicia-se a elaboração das estratégias de continuidade visando os objetivos dos planos. Devemos considerar: o custo da implantação, a manutenção dos procedimentos, a eficácia dos procedimentos, a cultura organizacional e a estratégia de resposta organizacional. Exemplos definidos na estratégia como tipos de site (Hot-site, Warm-site, Cold-site), acordo de reciprocidade, bureau de serviços externos, auto-suficiência e realocação da operação são aspectos fundamentais que devem ser considerados.

Após esse árduo processo de levantamento de dados, requisitos, cálculos, análise de dados, chegamos à fase de definição dos Planos de Continuidade, onde os objetivos vão desde a prevenção de ocorrências de desastres à manutenção dos processos vitais em operação.

Como definido anteriormente, recomenda-se que sejam criados os planos para serem executados antes (prevenção), durante (emergencial) e após (manutenção) o desastre.

Finalmente, chegamos a implementação dos Planos de Continuidade. A implementação compreende das ações que visam tornar um plano efetivamentee testado e atualizado. Essa definição visa o treinamento do pessoal, a implantação dos procedimentos, treinamentos e simulações. Também a manutenção e aperfeiçoamento permanente do plano como um todo, sua documentação e infraestrutura.

Bem, após estas definições, podemos visualizar facilmente alguns dos benefícios da continuidade do negócio, como a identificação dos processos de negócio e a recuperação dos processos de maneira ordenada e dentro de um espaço de tempo, reduzindo os prejuízos, em caso da ocorrência de um desastre.