.
(*) Marcos Sêmola
Considerando que
os aspectos relacionados à Segurança da Informação transcendem a esfera tecnológica,
atribuindo igual relevância aos aspectos físicos e humanos; considerando que há muito
venho escrevendo sobre gestão corporativa e os momentos vividos pela informação em seu
ciclo de vida: manuseio, armazenamento, transporte e descarte; considerando que a invasão
ocorre onde o controle falha, e ainda que pequenos descuidos podem comprometer todo o
trabalho e investimento realizado em busca da redução dos riscos, resolvi quebrar a
rotina da coluna e escrever algo ainda mais didático e prático, visando eliminar
dúvidas, ratificar verdades e derrubar lendas associadas ao assunto.
 O Firewall tem papel importante na proteção da rede
O Firewall é um importante elemento no esquema de proteção da rede de computador, mas
deve estar adequadamente configurado, a fim de bloquear eficientemente as informações
que entram e saem da rede.
 Basta ter um Firewall para estar protegido
O Firewall não pode ser encarado como "o salvador da pátria", pois cumpre
– se bem configurado - apenas um papel pontual de bloqueio de acessos lógicos
seguindo regras de filtragem previamente determinadas. Deve ser constantemente auditado e
monitorado, servindo de sinalizador de novas situações de risco e novas necessidades de
configuração e bloqueio. DICA: Firewall Products Search Center - http://www.spirit.com/cgi-bin/report.pl
O Personal Firewall complementa os demais mecanismos de
segurança de rede
Mesmo contando com outros dispositivos de segurança de rede - roteador com filtro,
Intrusion Detection System -, é cada vez mais comum e conveniente se proteger com a
instalação de programas chamados Firewall Pessoal. Eles oferecem mais uma camada de
filtro à estação, permitindo personalização e controle sobre o compartilhamento de
arquivos e serviços.
O Personal Firewall atrapalha o uso do computador
Assim como no Firewall de Rede, precisa de uma configuração contextualizada de acordo
com as necessidades de acesso do usuário, evitando bloqueios indesejados e a
indisponibilidade de informações e acessos. DICA: existem programas bons e gratuitos que
podem ser encontrados em www.zonealarm.com
e www.blackice.com
Vírus não contaminam apenas tradicionais arquivos
auto-executáveis
Vírus são também transmitidos por arquivos que contenham texto, como os em formato
Word. Isso porque o Word dispõe de uma linguagem de programação chamada de MACRO, que
pode ser usada para se desenvolver e escrever um vírus de computador. Além disso,
arquivos que contenham texto que representem comandos HTML anexados ao e-mail, usados na
Internet, podem conter pequenos programas em linguagem Java Script com intenções
maléficas, que acabam automaticamente executados pelos principais programas de e-mail do
mercado.
Certificados Digitais são uma tendência global para
autenticação
Os Certificados Digitais, construídos por um par de chaves pública e privada,
possibilitam a autenticação de informações, acessos e serviços a partir de uma
assinatura digital resultante de seu uso. Aplicáveis nas mais diversas iniciativas,
viabilizará a identificação das partes e ainda servirá de mecanismo de
responsabilização civil – havendo respaldo legal – para que tenhamos os
relacionamentos eletrônicos máquina-homem, máquina-máquina e homem-homem autenticados
e possivelmente reconhecidos globalmente.
Acessar um site com certificado digital é sinal de
proteção
O uso de certificado digital por si só não garante a proteção do usuário, pois é
preciso ainda verificar a validade do certificado do site, a credibilidade da empresa que
o emitiu e ainda se foi emitido para o site verdadeiro.
Pode ser seguro usar o Correio Eletrônico
A criptografia é um dos elementos que viabilizam o uso do correio eletrônico com altos
índices de confidencialidade e segurança. Esta pode ser facilmente usada a partir da
adoção do certificado digital, que depois de instalado em seu computador – seguindo
alguns poucos passos indicados pela autoridade certificadora que o emitiu – é
explorado pelos principais programas de e-mail, disponibilizando dois botões: um para
assinar digitalmente o e-mail e outro para criptografá-lo.
O e-mail corporativo não oferece riscos às informações
veiculadas
Perigoso engano. Apesar de aparentemente mais seguro por estar em ambiente controlado e
privado, um e-mail sem criptografia é tão "seguro" quanto um cartão postal
escrito a lápis encaminhado pelo correio tradicional, ou seja, não há garantia de
confidencialidade de seu conteúdo, bem como de sua integridade. Além disso, um ponto
comumente esquecido é a forma com que os programas de e-mail estão configurados para
checar a caixa postal. Este processo costumeiramente ocorre por meio do protocolo POP
– Post Office Protocol que, usado toda vez que a checagem é acionada, encaminha um
pacote de dados com sua senha da caixa postal em claro, ou seja, sem criptografia. DICA: o
problema pode ser sanado configurando e habilitando o serviço padrão SSL – Security
Socket Layer, tanto no server quanto no client, que irá proteger com criptografia sua
senha sempre que a mesma estiver trafegando na rede em função de mais uma das centenas
de checagens que fazemos diariamente.
Senhas precisam ser definidas com base no contexto
As senhas devem ser construídas considerando o valor da informação e ativo protegidos,
o tempo em que a mesma estará cumprindo esta tarefa e o interesse e poderio dos
interessados em burlá-la. É conveniente misturar letras em maiúsculo, minúsculo,
números e caracteres especiais para se obter uma senha complexa mais forte. DICA:
Construa uma frase como: "Minhas férias de 98, inverno, foram na Itália." e
construa a senha a partir dela: Mfd9,i,fnI. Procure memorizar...ao menos a frase.
É mais prático e seguro possuir uma única senha forte
Este comportamento, apesar de comum, é estritamente condenável. Funciona como se
contássemos um segredo para dezenas de pessoas, tendo de contar com a confiança de todas
elas para que o segredo não vaze. É conveniente construir senhas com grau de
complexidade (tamanho e formação) em função do que está sendo protegido, e ao menos
(se não quiser adotar uma senha para cada tipo de acesso) segmentar os tipos de acesso de
acordo com sua importância.
Antivírus automatizado agrega mais segurança
Em virtude da velocidade impressa pela Internet e conseqüentemente da evolução dos
vírus de computador, torna-se coerente adotar programas antivírus que se atualizem
automaticamente e ainda façam o rastreamento automático de arquivos, quando estes foram
manipulados e até mesmo quando chegarem anexados ao correio eletrônico.
Atualizando meu antivírus todo mês estou seguro
Existem aproximadamente 51 mil vírus de computador diferentes - conforme pesquisa
norte-americana feita no ano 2000 - espalhados pela grande rede Internet. Assim, atualizar
o antivírus numa periodicidade mensal já não é suficiente para protegê-lo das
versões mais novas e potencialmente cada vez mais perigosas.
Um projeto Análise de Segurança deve ir muito além da
análise tecnológica
Outrora o mesmo era visto apenas por uma análise superficial – muitas vezes
realizada por software scanner - dos ativos tecnológicos como servidores, sistemas
operacionais, roteadores e links. Felizmente, agora a percepção mais ampla e completa
está virando comodities, onde se realiza uma análise muito mais profunda também dos
aspectos físicos como: infra-estrutura predial, cabeamento estruturado, combate a
incêndio etc.; e dos aspectos humanos que através de entrevistas e análises de
documentos, consideram a cultura dos funcionários a fim de auxiliar a identificação das
vulnerabilidades, ameaças, riscos e impactos.
Política de Segurança é tudo igual e pode ser copiada de
empresa bem sucedida
Se considerarmos verdadeira a premissa de que cada empresa tem particularidades
relacionadas a ameaças, riscos, impactos, recursos tecnológicos, físicos e até mesmo
características culturais, concluímos que a solução corporativa de segurança deve ser
igualmente personalizada. Com a Política de Segurança, um dos importantes componentes da
solução não poderia ser diferente. Este deve refletir critérios contextualizados
alinhados com os desafios e as estratégias da empresa. Para tal, deve-se escrever
diretrizes, normas, procedimentos e instruções próprias, de forma a adequar as
necessidades específicas da empresa aos desafios de segurança da informação.
Seguir uma Norma de Segurança é garantia de sucesso em
projetos de segurança
As Normas de Segurança, especificamente a BS7799 e a sua versão internacional ISO
17799-1 têm papel importante nas ações corporativas de segurança em busca de
conformidade, mas não podem ser encaradas como "a fórmula" de sucesso, pois
além de superficiais, limitam-se a apontar O QUÊ fazer e não COMO fazer. Deve haver
sempre uma metodologia compliant capaz de materializar as ações garantindo o sucesso de
cada projeto e atividade da Solução Corporativa de Segurança da Informação.
Engenharia Social é tão perigosa quanto uma invasão via
Internet por um hacker
Muitas são as técnicas e ferramentas para se obter acesso indevido à informação,
esteja ela em formato eletrônico, em papel etc. A técnica da engenharia social é muito
utilizada para o levantamento de informações preliminares que possam tornar a tentativa
de invasão mais eficiente. É preciso saber que de nada adiantará um alto nível de
segurança no correio eletrônico, por exemplo, se o mesmo for posteriormente impresso,
transportado, armazenado e até mesmo descartado sem o mesmo nível de segurança.
IDC – Internet Data Center considera todos os aspectos
da Segurança da Informação
Nem todos os IDCs consideram completamente os aspectos de segurança visando garantir os
índices de confidencialidade, integridade e disponibilidade. Têm de oferecer mais do que
redundância de equipamento e infra-estrutura. Precisam complementar os tradicionais
serviços com uma equipe especializada em segurança, que de forma presencial ou remota,
mantenha continuamente um processo de gestão e monitoramento dos ativos, transformando o
IDS em SIDC – Secure Internet Data Center.
Segurança da Informação é controle
Se pudéssemos eleger uma palavra para resumir a amplitude do desafio associado à
Segurança da Informação, esta seria: CONTROLE. A partir da especificação,
configuração e implantação de controles físicos, tecnológicos e humanos preocupados
com o manuseio, armazenamento, transporte e descarte das informações, consegue-se
reduzir e administrar os riscos. DICA: segurança é adotar controles que visem
administrar os riscos, fazendo-os tender a zero.
Minha empresa está segura
Por mais que tenha especificado os melhores controles para reduzir e administrar os riscos
de quebra da confidencialidade, integridade e disponibilidade das informações, nunca
estará totalmente seguro. A propósito, nem sempre todos precisam do mesmo nível de
segurança, haja vista que as empresas – por mais parecidas, física, humana e
tecnicamente – sempre possuem particularidades associadas aos riscos e impactos que
são determinantes no momento de se especificar a melhor solução de segurança.
Segurança da Informação precisa ser tratada
corporativamente
É fator crítico de sucesso tratar os
problemas de segurança de forma ampla e completa, pois diferente disso, as empresas
terão apenas soluções isoladas e pontuais que pouco contribuirão para elevar o seu
nível de controle e segurança das informações. A coordenação corporativa e a
sinergia entre as ações de diversas áreas garantirão maior retorno sobre o
investimento e a manutenção do nível de segurança atingido.
PDI – Plano Diretor de Informática deve tratar da
Segurança da Informação
Erro comum e persistente é julgar atributo da área de TI o tratamento da segurança da
informação. Como vimos, os problemas transcendem os aspectos tecnológicos e precisam de
uma nova estrutura orçamentária e de gestão. Contar com um Comitê Corporativo
Multidisciplinar de Segurança da Informação, a figura do Security Officer e um PDS
– Plano Diretor de Segurança, torna-se primordial para que a empresa construa um
verdadeiro processo de gestão de riscos.
É coerente destinar um percentual do investimento em TI
para segurança
Esta tem sido uma das formas mais indicadas para dimensionar o orçamento destinado aos
investimentos em Segurança da Informação, pois há um crescimento vertiginoso do
índice de informatização e principalmente conectividade das empresas, e esta evolução
acaba diretamente relacionada ao aumento do grau de exposição e risco. DICA: o
percentual tende a variar de acordo com o perfil do negócio, mas invariavelmente fica na
faixa entre 5% e 25%, podendo ainda quebrar esta barreira em negócios críticos
exclusivamente eletrônicos, e atingir o volumoso montante de 50%.
Plano Diretor de Segurança é um investimento de alto
valor agregado
Em virtude da complexidade das empresas, heterogeneidade de tecnologias, desafios
mercadológico-comerciais, e ainda pelo veloz crescimento da dependência da informação
para gestão do negócio, torna-se fundamental planejar as ações de segurança e
diagnosticar de forma corporativa as vulnerabilidades físicas, tecnológicas e humanas,
sem desconsiderar a relevância e a sensibilidade de cada processo de negócio diante de
uma possível quebra de segurança. Só através de um PDS – Plano Diretor de
Segurança pode-se traçar uma estratégia coerente e alinhada com os interesses da
empresa, de forma a viabilizar a construção de um Modelo de Gestão Corporativa de
Segurança da Informação. DICA: possuir um PDS é ter uma bússola que auxiliará o
Security Officer e o Comitê Corporativo de Segurança da Informação a encontrar o
caminho, apontando as prioridades e atividades mais pertinentes à empresa que busca seu
nível de segurança adequado.
* Marcos Sêmola
é MBA em Tecnologia
Aplicada, Bacharel em Ciência da Computação,
Professor da cadeira de Segurança da Informação
da FGV – Fundação Getúlio Vargas, Gerente de
Produto e Consultor de Segurança da Módulo
Security Solutions S.A.
msemola@modulo.com.br |
