As cinco principais medidas de segurança para não dar vantagens

As notícias muitas vezes podem parecer assustadoras: ataques em escala global, novas técnicas (Advanced Persistent Threats), aumento de fraudes, engenharia social, roubos de identidade, redes botnets e ataques distribuídos, ameaças para smartphones… enfim, existem tantas coisas lá fora que é difícil decidir por onde começar.

O fato de existirem tantas coisas de que se proteger, gera uma sensação de inquietude antecipada, diante da qual, muitos diretores de tecnologia e segurança sentem que é impossível estar protegido de tudo, e então, decidem que a melhor opção é simplesmente não fazer nada e não desperdiçar recursos de forma inútil.

Se somarmos a isto o fato de que qualquer medida de proteção que queiramos implementar, fará com que invistamos tempo e dinheiro (casualmente os dois tipos de recursos que nunca sobram), o terreno estará preparado para que os incidentes sigam crescendo sem controle.

No entanto, além de abordar uma posição existencial de acordo ou desacordo com esta situação, e longe de pretender dramatizar ainda mais uma situação que por si mesma, é bastante preocupante, é importante mencionar que existem medidas mínimas que qualquer organização deveria ter colocado em funcionamento para aspirar conseguir pelo menos um grau básico de segurança.

Sejamos claros: a perfeição é inalcançável, e muitas vezes a realidade das empresas faz com que seja impossível estar mais ou menos perto dessa situação de ter total confiança ou de pelo menos, sentir-se tranquilo.

Uma coisa muito diferente é não ter, pelo menos, uma base mínima de gestão da segurança da informação. E isso é o que coloquialmente se conhece como “dar papaia”: uma expressão tão colombiana quanto correta, e significa que sempre é possível fazer algo que está em nosso alcance para evitar que sejamos o alvo do próximo ataque.

 

Qual é o mínimo e como conseguir?

Seria muito fácil dizer, por exemplo, que o mínimo que deve ser aspirado por uma empresa para administrar a segurança de sua informação é implementar 100%  a norma ISO 27001. Conseguir isso é algo muito difícil e pode levar de vários meses a alguns anos. A realidade é que muitas empresas estão longe de poder assumir semelhante desafio, inclusive se for verdade que a norma deve ser um padrão para construir um modelo de gestão adaptado às necessidades particulares de cada organização, com o complemento de outras normas e regulamentações.

É muito subjetivo abordar quais seriam as medidas de segurança mínimas que uma organização deveria implementar. E exceto que busquemos aderir-nos a uma regulamentação internacional, qualquer seleção de pontos a tratar que fizermos, sempre será parcial e insuficiente.

Mas como a vida não se trata de escapar dos desafios, neste artigo apresentarei cinco pontos que considero indispensáveis para qualquer organização.

Ainda que a implementação destes cinco pontos não seja simples, estou convencido de que forma uma excelente base para alcançar tanto modelos de gestão da segurança da informação, quanto modelos de continuidade do negócio muito mais completos.

1.     Gestão do risco

A gestão do risco é a chave da proatividade: exceto que se queira passar a vida correndo atrás dos problemas, é necessário implementar mecanismos que permitam antecipar-se a eles.

Nenhum sistema de gestão do risco será infalível nem preverá absolutamente tudo o que possa ocorrer. No entanto, a preparação necessária para reconhecer os riscos e resolver o problema gera uma cultura organizacional que aumenta a resiliência das personas e dos processos, mesmo diante de acontecimentos imprevistos.

Operativamente falando, a análise de riscos é o mínimo que uma organização deveria realizar e mantê-la atualizada de forma cíclica e permanente, já que é a base para depois tomar decisões e chegar a agir de forma preventiva e proativa.

E caso essa análise de risco seja quantitativa e não apenas qualitativa (ou seja, se expressa os riscos em função de seu potencial impacto econômico), estamos falando de uma ferramenta muito valiosa para toda a organização, muito além das fronteiras dos departamentos de TI e segurança.

 

2.     Formação

O conceito de formação (bem conhecido para todos os que alguma vez trabalharam com normas ISO e, claro, para todos os que se dedicam à formação profissional) inclui os aspectos de capacitação e conscientização necessários para o correto desenvolvimento das funções de cada funcionário.

Entretanto, distanciando-nos da definição acadêmica e aproximando-nos de recomendações de ordem prática, a ideia neste ponto é garantir que os funcionários realmente contem com as habilidades mínimas, e que além de cumprir com sua tarefa do dia a dia, possam garantir para a empresa que essas tarefas não significarão riscos significativos.

É importante esclarecer que não me estou referindo a uma capacitação anual obrigatória, criada por um sistema web que possui os mesmos conteúdos ano após ano.  Um programa de formação requer participação ativa do departamento de Recursos Humanos em conjunto com as gerências de Tecnologia e Segurança da Informação, para definir o plano específico que deve ser implementado em cada área da organização.

A partir do meu ponto de vista, as duas maiores exigências destes programas são, em primeiro lugar, conseguir os recursos econômicos necessários e assegurar sua atribuição no momento adequado, e em segundo lugar, desenvolver criativamente as metodologias que permitam garantir a efetividade do programa através do compromisso dos funcionários.

 

3.     Segurança interna

Provavelmente, o assunto menos abordado no mercado seja a questão de integrar mecanismos de segurança no interior das organizações. Espero que ninguém se desiluda se eu disser que instalar um antivírus nos computadores é uma boa opção, porém está longe de ser suficiente.

São muito poucos os casos em que existem sistemas de detecção de intrusos protegendo o acesso a seus servidores críticos (bases de dados, sistemas ERP e CRM, etc.) de dentro da organização (“a rede interna”), e isto é somente um exemplo.

Está Claro que isto deveria surgir em qualquer análise de riscos como prioridade. Dessa forma, começamos a ver como estas recomendações ficam entrelaçadas e complementam-se entre si, e até que ponto, a segurança da informação deve ser abordada de forma sistêmica.

 

4.     Novas tecnologias de controle

No início deste artigo, mencionei algumas das questões que fazem parte da última moda e do sucesso de sempre em termos de ataques informáticos: também é importante dizer que os mecanismos de detecção com os que contam atualmente a maioria das organizações, são incapazes de detectar e prevenir muitos desses ataques.

Talvez um exemplo paradigmático seja o conceito de SEM (Security & Information Event Management). Há dois anos apresentei este conceito com o nome de “Segurança Inteligente” (http://www.slideshare.net/jarvel/segurança-inteligente-2009) e desde esse momento, até hoje, aumentou significativamente a oferta de ferramentas que lhe dão suporte. No entanto, a demanda permanece ficar estável entre a indiferença e a timidez.

Estamos acostumados a tratar a detecção de ameaças por “silos” (de forma isolada), recebendo em uns consoles os eventos de servidores; em outro os dispositivos de segurança; e assim por diante com os dispositivos de networking e outros componentes das redes modernas, sem contar com os mecanismos de integração dos resultados da análise de vulnerabilidades e com o teste de penetração: isto é exatamente o mais conveniente para os hackers que utilizam as técnicas de ataque mais modernas.

Necessitamos incorporar gradualmente novas tecnologias que integrem a detecção de ameaças em tempo real e as análises de risco preventivas que permitem agir a tempo, mesmo antes das técnicas de ataque mais modernas.

 

5.     Foco na informação

Para terminar com esta série de recomendações, é fundamental conservar o foco no que desejamos proteger: a informação.

Muitos especialistas recomendam implementar algum tipo de última linha de defesa caso todo o anterior falhe, algo assim como a última barreira, o último recurso para tentar mitigar o risco ainda nas piores situações.

Embora o ideal seja analisar em cada caso particular (e com a ajuda de especialistas) que medidas são convenientes aplicar e quais são as vantagens e os riscos de cada uma, talvez um exemplo paradigmático deste enfoque seja a encriptação de dados.

Ainda um atacante ultrapasse todas as barreiras de segurança e consiga apoderar-se dos dados, o fato de que estejam codificados pode fazer com que esses dados permaneçam praticamente inúteis. Está claro que isto serve somente como último recurso, mas considero que é um bom exemplo do que significa não perder o foco.

Também é importante esclarecer que muitas vezes não é necessário implementar medidas tecnológicas, mas também controles em termos de processos. Por exemplo, quando as transações com montantes superiores a determinados limites necessitarem uma aprovação assinada por escrito: ainda que um atacante conseguisse criar uma solicitação válida, haveria um último elo na cadeia de aprovação que impediria a concretização efetiva do ataque.

Conclusões

Embora possamos coincidir ou não sobre algumas destas medidas, um mínimo é sempre e somente um mínimo, uma base sobre a qual construir o que realmente se quer alcançar.

As utopias não existem para serem alcançadas. E se formos realistas, teremos que ser conscientes de que em muitas organizações, o mínimo é o máximo que se pode alcançar agora. Este tipo de situações, longe de deixar-nos conformados, deveriam fazer-nos pensar mais estrategicamente e lembrar que para subir uma escada, sempre se deve ir degrau por degrau.

Com sorte, estas recomendações criarão interrogantes em cada organização, sobre se realmente contam com um nível mínimo de gestão da segurança da informação: se isso permite subir o nível, nossa missão estará cumprida.

The following two tabs change content below.

Gabriel Marcos

As part of the group responsible for Datacenter and Security business development, I work in each phase of the business, providing support to our clients from the detection of an opportunity, the development of the technical and financial proposal, to the implementation and post-sale process. I also enjoy writing for the company’s blog and serving as a speaker for various events in the region.

Leave a Reply

Your email address will not be published. Required fields are marked *


seven − 2 =

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>