Prévia do material em texto
1 1 PROJETO INTEGRADO MULTIDISCIPLINAR - VI Curso: Gestão de Tecnologia da Informação Nome: Paulo César Villaça Araújo Junior POLO Candeias – Jaboatão dos Guararapes RA:1987768 2 2 Introdução A segurança da informação bem como a segurança das redes de computadores têm se tornado um tema bastante comum ao longo dos anos que decorreram após o surgimento da internet. Porém mesmo com a evolução da tecnologia e a disponibilidade de um acervo infinito de informações sobre o tema, empresas de pequeno e médio porte ainda têm grandes dificuldades na implantação de políticas e ferramentas eficazes na segurança da informação. Isto ocorre por que grande parte das ferramentas disponíveis no mercado exige Ao decorrer deste trabalho serão apresentadas informações e conceitos sobre redes de computadores e segurança da informação, bem como uma pesquisa atualizada sobre o nível de preocupação das organizações com o tema. Este trabalho não tem o objetivo de trazer uma solução definitiva para implantar um nível de segurança alto dentro das organizações, pois se conclui que não exista uma receita infalível. Pois todo sistema e falho! Cada organização, ramo de atividade ou rede de computadores possui características únicas que devem ser analisadas com particularmente antes de prescrever uma tecnologia eficaz na proteção de seus dados e informações. Nos dias atuais é difícil imaginar um computador “só”, ou seja, que esteja totalmente isolado de qualquer rede de computadores, nem mesmo os dispositivos móveis como celulares, ipads, tabletes estão isolados de qualquer rede que seja. E neste âmbito, temos a maior parte destas redes e destes computadores interligados em uma grande rede, formando uma conectividade global através da Internet. Um mundo de computadores 100% interligados de alguma maneira, cada um com seu endereço físico, conectado em algum lugar do mundo. A internet possibilitou a criação da rede mundial de computadores, e desde então cresce a cada ano a preocupação com a segurança da informação. Porém, mesmo diante de tantos riscos em que as empresas estão expostas, grande parte das empresas no Brasil e no mundo ainda não possui uma estratégia eficaz para assegurar seus dados e informações corporativas como veremos no decorrer deste trabalho. Desta forma este trabalho abordará alguns tópicos relacionados à segurança da informação, mais especificamente segurança da informação dentro das redes corporativas de pequeno e médio porte. Também trará uma proposta de implantação de uma ferramenta de baixo custo e de fácil configuração e administração para prevenção de falhas de segurança na rede, e um maior controle das informações que trafegam na rede. 3 3 Abrast Information security as well as the security of computer networks have become a very common theme over the years that occur after access to the Internet. Even so, with the evolution of technology and the availability of an infinite collection of information on the topic, small and medium-sized companies still face great difficulties in implementing policies and tools used in information security. This is because most of the tools available on the market require a high level of technical knowledge or a great availability to manage these technologies. During this work, information and concepts on computer networks and information security will be included, as well as a survey on the level of concern of the activities with the theme. This work does not aim to bring a definitive solution to implement a high level of security within organizations, as it is concluded that there is no infallible recipe. Because every system is flawed! Each organization, industry or computer network has unique characteristics that must be analyzed particularly before prescribing an effective technology in protecting your data and information. Nowadays it is difficult to imagine a computer "alone", that is, that is totally isolated from any computer network, not even mobile devices such as cell phones, ipads, tablets are isolated from any network. In this context, we have most of these networks and computers interconnected in a large network, forming a global connectivity through the Internet. A world of computers 100% interconnected in some way, each with its physical address, connected somewhere in the world. The internet enabled the creation of the world wide web, and since then the concern with information security has grown every year. However, even in the face of so many risks to which companies are exposed, most companies in Brazil and in the world still do not have an effective strategy to ensure their corporate data and information as we will see in the course of this work. In this way, this work will address some topics related to information security, more specifically information security within small and medium sized corporate networks. It will also bring a proposal for the implementation of a low-cost tool that is easy to configure and administer to prevent security breaches in the network, and greater control over the information that travels over the network. 4 4 Objetivos Este trabalho tem como objetivo principal, explicar o processo de segurança da informação no ambiente de rede em uma organização, bem como apresentar uma proposta para uso de uma ferramenta de segurança de rede de baixo custo e de fácil implantação. Objetivo Geral Apresentar o conceito de segurança em redes, e auxiliar na implantação e gerenciamento de uma solução prática e confiável para segurança e roteamento da rede. Objetivos Específicos Apresentar o conceito de Rede, e o conceito de Segurança da Informação nas redes de computadores de pequeno e médio porte. Apresentar os métodos mais comuns de roubo de informação e invasão das redes de computadores, e os principais pontos de vulnerabilidades na rede. Auxiliar na implantação e configuração de uma ferramenta de auxilio para segurança de redes de computadores JUSTIFICATIVA Atualmente o assunto da segurança em redes esta em pauta em grande parte dos ambientes corporativos, a cada ano o nível de preocupação cresce conforme pesquisas realizadas no setor. Porém por mais que existam inúmeras tecnologias e ferramentas disponíveis no mercado para a segurança em rede, pequena e médias empresas ainda encontram dificuldades na implantação de uma política de segurança de rede eficaz e de fácil gerenciamento. Parte por falta de conhecimento dos profissionais de TI que atuam nestas empresas, parte por falta de planejamento da área de TI, e ainda uma parte pela falta de interesse em investimentos neste departamento. Existem hoje no mercado todos os tipos de soluções em segurança de redes, robustas e muito complexas, enxutas, mas pouco confiáveis simples e seguras, porém com custo muito elevado. Desta forma torna-se difícil decidir qual seria a solução ideal. E neste ponto muitas empresas nem ao menos começam com o básico, deixando a segurança de rede sempre em segundo plano. 5 5 SEGURANÇA DA INFORMAÇÃO Nos últimos anos, os ataques cibernéticos cresceram absurdamente e têm causado prejuízos milionários às empresas de todos os portes. Os hackers conseguem acessar toda a infraestrutura, de endpoints a servidores e nuvem, onde roubam tudo, desde senhas até informações financeiras e dados estratégicos. Para combater esse mal é importante que as empresas disponham de processos alinhados, tecnologias avançadas e pessoas competentes na área de Segurança da Informação e, principalmente, que conheçam suas fraquezas e vulnerabilidades. Todo o dia vê diferentes casos de ciberataques em endpoints e servidores, onde os hackers conseguem roubar tudo, desde senhas até informações financeiras e dados diversos. Não importa o quantoàs equipes de gerenciamento de redes, de TI e Segurança das empresas tentem combater esses incidentes de segurança, os hackers sempre estará um passo a frente. A realidade é que esse é um grande jogo de gato e rato, o Serviço de Pentest auxilia sua empresa a estar à frente dos criminosos. Contudo, a boa notícia é que existe uma forma para que as empresas descubram suas fraquezas e vulnerabilidades antes que um hacker o faça. Isso pode ser conseguido por meio de um Teste de Penetração, amplamente conhecido como Pentest. De forma simples, ainda que o Pentest seja um processo altamente complexo, o Pentest examina as fraquezas e as vulnerabilidades de uma infraestrutura de TI, tentando descobri-las e explorá- las de forma segura e controlada. As vulnerabilidades podem ser encontradas em softwares nesses pontos de entrada: Backdoors em sistemas operacionais, falhas não intencionais na arquitetura do código de software, falhas na configuração e na gestão de softwares, utilizar a aplicação de uma forma que ela não foi arquitetada originalmente. O Pentest utiliza um mix de operações automatizadas e manuais e geralmente tem como alvo os seguintes endpoints: Servidores, Endpoints de Rede, Redes Wireless, Dispositivos de Segurança de Rede, Dispositivos móveis e wireless e outras áreas de exposição como aplicações e códigos. Contudo, deve-se ressaltar que o Pentest não se mantém apenas nesse nível. O primeiro objetivo é ir o mais longe possível dentro da infraestrutura de TI para conquistar acesso a dados, informações e senhas. O Pentest, também conhecido como Teste de Intrusão, é um teste realizado em uma rede ou um sistema de computadores com o objetivo de descobrir vulnerabilidades no sistema. Através desse teste, um Pentester pode descobrir todas as vulnerabilidades encontradas em uma rede e até mesmo descobrir qual o tamanho do dano que uma invasão causaria aos computadores e a rede. 6 6 Falhas que comprementem a segurança da Rede Diante de todo o exposto sobre as características das redes de computação, dos conceitos e políticas da segurança em redes de computadores e das motivações para ataques a redes corporativas por crakers e outros piratas da internet, vamos entender quais são as principais formas de ataques, e discutir as principais vulnerabilidades das redes corporativas, vamos utilizar sempre um case de redes de pequenas e medias empresas, visto que esse tipo de rede é o objeto de estudo. Falta de Controle de Acesso á Rede Poucas são as organizações de pequeno e médio porte que possuem um controle adequado de acesso á rede por meio de autenticação de segurança, bem como dificilmente possuem uma gerencia destes acessos, ou seja, não se sabe ao certo quem esta usando a rede, se este usuário é um colaborador ou um intruso, se algum usuário esta realizando acessos a locais indevidos, o que o usuário esta acessando na internet. Falta de Políticas de Segurança da Informação Esta é sem dúvidas uma das principais falhas na segurança da rede em uma organização. Como em qualquer sociedade que não possuem Diretrizes e Leis que orientem como deve ser o comportamento dos cidadãos, esta sociedade não terá limites e estará completamente vulnerável a qualquer situação de risco, assim também é dentro de uma rede que não possui suas diretrizes e normas de uso, sem estas é impossível controlar o que esta sendo feito dentro da rede, assim como também não será possível tomar medidas de notificação aos usuários, uma vez que estas não foram definidas em uma política de uso da rede. Infelizmente uma das principais causas de invasões, e problemas de proliferação de vírus e key-logers em redes de computadores corporativas é o mau uso da internet, email e mensageiros eletrônicos por parte dos usuários desta rede. Atualmente existem milhares de correspondências e links falsos que disseminam programas maliciosos, principalmente sendo espalhadas nos últimos anos através das redes sociais. Falta de Controle de Acesso á Rede Poucas são as organizações de pequeno e médio porte que possuem um controle adequado de acesso á rede por meio de autenticação de segurança, bem como dificilmente possuem uma gerencia destes acessos, ou seja, não se sabe ao certo quem esta usando a rede, se este usuário é um colaborador ou um intruso, se algum usuário esta realizando acessos a locais indevidos, o que o usuário esta acessando na internet. 7 7 Uso de senhas e configurações universais nos equipamentos Alterar senhas e configurações dos equipamentos regularmente Esta também é uma característica imprescindível quando se trata de segurança em rede, todos os equipamentos utilizados como: MODEMS, ROTEADORES, SWITCHS, FIREWALLS, PROXIES, SERVIDORES, ACCESS POINTS, entre outros, devem ter suas senhas atualizadas periodicamente, seguindo um padrão aceitável dê segurança, com uma quantidade mínima de caracteres aceitável. Por exemplo, a senha de um MODEM, normalmente pelo padrão vem configurada com Usuário: Admin e a sua Senha: Admin, o correto é que se possível altere-se os dois campos, tanto usuário quando senha, se não for possível alterar o usuário, cria-se um novo usuário máster e inativa-se o usuário Admin. A senha deve ter um mínimo de 8 caracteres em qualquer situação, e sempre utilizar senhas Alfanuméricas com caracteres especiais, intercalando letras MINUSCULAS e MAIUSCULAS. Alocar os equipamentos físicos em local adequado Por varias vezes me deparei com empresas que alocam os equipamentos que compõe a rede, em locais inadequados, sem ventilação, sujos, muitos vezes locais onde qualquer colaborador tem acesso, totalmente vulneráveis e sem nenhuma condição adequada. É muito importante a conscientização de que os equipamentos da rede precisam estar em um local adequado, arejado, alocados em um Rack, de preferência em local onde se possa controlar a temperatura com o uso de Ar-Condicionado. Dentre todas estas características, que pelo menos algumas delas possam ser seguidas, muitas vezes a empresa não possui um espaço adequado, como uma sala só para os equipamentos, mas nestes casos que haja ao menos uma estrutura de divisórias impedindo o acesso livre aos equipamentos. Emails e Links Falsos Esta é uma das formas muito comuns de invasão a redes corporativas, estes links e emails falsos encaminham os usuários a paginas que possuem o intuito de instalar programas maliciosos na rede, como keylogers, sniffers entre outros. Estes programas por sua vez tem o intuito ou de roubar dados, ou de danificar os arquivos dos PC`s ou Servidores. 8 8 Falta de Firewalls e Proxies No seu computador, o firewall bloqueará a passagem de qualquer item que seja diferente de “refrigerante”, “frutas” e “pão”, retirando da sacola de compras e deixando passar os que estão na lista de permissões. Daí a importância de configurar corretamente seu firewall, pois se você incluir “rato” ou “barata” nas permissões, seu firewall não os bloqueará. O método descrito acima é chamado de “Filtragem de Pacotes” e, por isso, usamos a analogia com a sacola de compras, já que os dados que trafegam nas redes também são organizados em pacotes. Assim como qualquer outra solução de segurança, o firewall não é 100% eficiente, já que existem estudiosos especializados em quebrar essa segurança. Hackers mais experientes são capazes de “disfarçar” uma “barata” na pele de um “refrigerante”, conseguindo que os dados passem pela “alfândega” do firewall e, em seguida, ganhando acesso à sua máquina. Proxy é o termo utilizado para definir os intermediários entre o usuário e seu servidor. E por isso desempenha a função de conexão do computador (local) à rede externa (Internet). Como os endereços locais do computador não são válidos para acessos externos, cabe ao Proxy enviar a solicitação do endereço local para o servidor, traduzindo e repassando-apara o seu computador. Todas as requisições feitas ao servidor (o site que você quer acessar) passarão pelo seu Proxy. Ao chegar ao site, o IP (Internet Protocol / Protocolo de Internet) do Proxy fica registrado no cachê do seu destino e não o seu. É pelo IP que os hackers conseguem invadir computadores, portanto deve-se manter o nível de segurança do seu gateway (porta de ligação com o Proxy) seguro. Os riscos são vários, no entanto, dois deles podem ser enumerados como os mais fortes: ter seu computador invadido ou ter alguém navegando com o seu IP. 9 9 Monitoramento, Controle e Gerencia de rede Existem ferramentas no mercado que possibilitam o monitoramento e controle da rede através de protocolos específicos para estas finalidades, como por exemplo, o protocolo SNMP (Simple Network Management Protocol). O SNMP tem por objetivo principal coletar informações da rede e fornecê-las para possibilitar seu gerenciamento, controle, resolver eventuais problemas e fornecer informações para planejar expansões. Uma rede de computadores precisa ser monitorada, controlada e gerenciada por alguém, o uso de equipamentos e ferramentas de rede não tem valor algum se estes não forem gerenciados por um departamento ou um profissional da empresa. O próprio protocolo SNMP que possui uma utilidade enorme torna-se obsoleto se não for gerenciado por alguém, pois nenhuma aplicação, software ou hardware poderá tomar decisões gerenciais pela empresa, estas podem apenas fornecer as informações necessárias para as tomadas de decisão. Utilizar equipamentos de proteção à rede física Uma rede se sustenta através do meio físico e todos os componentes que o compõe, Servidores, Computadores, Switch, Roteadores entre outros. A proteção física destes equipamentos previne desastres e perca de dados e informações. Ou seja, uma rede não sofre apenas problemas de ataques de intrusos, a segurança da rede envolve a perca, roubo ou destruição de dados e informações importantes, e neste contexto a falha de proteção com os equipamentos físicos da rede pode trazer prejuízos aos dados da empresa. Pode- se exemplificar tal situação com a hipótese de um raio queimar os servidores da empresa por falta de protetores Anti-Surto. 10 10 Falta de Gerenciamento da Rede Por fim apontamos um dos motivos que levam empresas a sofrerem ataques de todos os tipos é o não gerenciamento de uma Rede de computadores, bem como o não gerenciamento da segurança da informação como um todo. Definitivamente uma rede sem gerenciamento esta muito mais suscetível á falhas de segurança. Vêm crescendo o nível de preocupação das empresas com a Gerência da Segurança da Informação, mas ainda assim o numero de empresas de pequeno e médio porte que crescem sem nenhum profissional gerenciando a segurança da informação ainda é preocupante. Esta é uma área da tecnologia que já é indispensável, porém quando se trata de investir em tecnologias e em profissionais para gerenciá-las, o pensamento em pelo menos um terço das empresas é de que não há ainda necessidade de tais investimentos, porém uma concepção que deve ser levada em conta é a de que quanto antes forem os investimentos em segurança da informação, menor serão os gastos para reparar os estragos que um invasor pode fazer no futuro. Falta de uma boa política de segurança? A Política de Segurança da Informação (PSI) é um documento, desenvolvido pela empresa, onde são registrados os princípios e as diretrizes de segurança que ela adotou e devem ser seguidos por seus colaboradores. Além disso, a PSI deve ser aplicada em todos os sistemas de informação e processos institucionais, ou seja, do desktop ao móbile. Para que ela seja aceita, respeitada e aplicada por todas as pessoas que participam do ambiente corporativo é fundamental que os dirigentes da empresa apoiem e participem da implantação da PSI. Ao desenvolver um documento de PSI a instituição precisa estabelecer diretrizes para que as equipes possam seguir padrões de comportamento que não coloquem os dados corporativos e confidenciais em risco. 11 11 O que uma boa Política de Segurança da Informação deve preservar? Antes de colocar a elaboração e produção da sua política de segurança da informação em prática é preciso se atentar aos aspectos que ela deve preservar. Veja: – A integridade da empresa e de seus dados: garantindo que a originalidade de todas as informações seja mantida, sem que sofram alterações indevidas, intencionais ou acidentais; – A confidencialidade da empresa e de seus dados: garantindo que o acesso à informação seja permitido somente às pessoas autorizadas; – A disponibilidade: garantindo que os usuários autorizados consigam acessar as informações, dados e ativos correspondentes sempre que for necessário. Agora vamos à prática, aprenda a montar uma política de segurança da informação: 1 - Planeje Antes de começar a montar a Política de Segurança da Informação da sua empresa faça um levantamento de todas as informações e dados que devem ser protegidos. Você sabe qual é o atual programa de segurança da informação da companhia? Se a empresa já trabalha com um programa enumere suas deficiências e quais são os fatores de risco que ele oferece. Durante o planejamento também é importante solicitar a aprovação da produção por parte da diretoria da empresa. Eles devem estar cientes de todo o processo e ser notificados conforme ele for caminhando. 2 - Elabore Essa é a fase de elaboração das normas e proibições. É nessa etapa que você deverá criar as normas referentes à utilização de programas, de acesso à internet, uso de dispositivos móveis, de e-mail e recursos tecnológicos. Além disso, nessa fase você também vai caracterizar os tipos de bloqueio e restrições a sites e acesso à internet. 12 12 O conteúdo da Política de Segurança da Informação pode variar de acordo com a empresa. O estágio de maturidade, grau de informatização, área de Atuação, cultura organizacional, requisitos de segurança e outros aspectos vão influenciar diretamente no conteúdo que estará representado na PSI. Apesar disso alguns tópicos são comuns na maioria das Políticas de Segurança da Informação. Veja a lista abaixo: A definição de segurança de informações e sua importância como mecanismo que possibilita o compartilhamento de informações; A declaração de comprometimento da diretoria com a PSI, apoiando suas metas e princípios; Os objetivos de segurança da informação; A definição de responsabilidades gerais na gestão de segurança de informações; As orientações sobre análise e gerência de riscos; Os princípios de conformidade dos sistemas computacionais com a PSI; Os padrões mínimos de qualidade que esses sistemas devem possuir; As políticas de controle de acesso a recursos e sistemas computacionais; A classificação das informações de uso irrestrito, interno, confidencial e secretas; Os procedimentos de prevenção e detecção de vírus; Os princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas leais correlatas aos sistemas desenvolvidos, cláusulas contratuais); Os princípios de supervisão constante das tentativas de violação da segurança de informações; As consequências de violações de normas estabelecidas na política de segurança; Os princípios de gestão da continuidade do negócio; O plano de treinamento em segurança de informações. Claro que na Política de Segurança da Informação da sua empresa devem constar apenas as informações pertinentes ao processo de proteção correspondente ao seu negócio. Depois que você levantar todas as informações, necessárias para a sua PSI, será o momento de redigir o documento. Se a sua empresa não conta com um departamento responsávelpela comunicação, que pode colocar as regras da PSI no papel, o profissional de TI, responsável pelo documento, pode se encarregar dessa tarefa. 13 13 3 - Aprovação Depois que o documento da PSI ficar pronto ele deve ser aprovado pelo departamento de Recursos Humanos da empresa. As normas e procedimentos documentados devem ser lidos pelo RH para que sejam verificados se estão de acordo com as leis trabalhistas e com o manual interno dos funcionários, caso a organização tenha um. Após a aprovação do RH, os líderes e gestores da empresa também devem fazer a aprovação final do documento e liberá-lo para aplicação. 3.1- Aplicação e Treinamento das equipes Elabore um treinamento prático, se possível, com recursos didáticos, para apresentar a PSI da empresa. Recolha declarações individuais dos colaboradores afirmando que se comprometem com a política. É importante mantê-la em um local de fácil acesso para que esteja disponível para consulta, sempre que os colaboradores da instituição precisar. De tempos em tempos revise a PSI para mantê-la sempre atualizada. É importante que a companhia nomeie um colaborador específico para monitorar a PSI e ficarem atento as possíveis incoerências que possam alterar o sistema, como vulnerabilidades, mudanças nos processos gerenciais ou na infraestrutura. Corrigindo as vulnerabilidades As principais formas de corrigir vulnerabilidades são: Análise de vulnerabilidade: os comprometimentos à segurança de rede se iniciam nas falhas, sendo essas a porta de entrada para agentes maliciosos. Logo, proteger a infraestrutura tecnológica da empresa começa na análise de vulnerabilidades. Só depois disso conseguiremos compreender o que está em risco e quais são as ameaças existentes, bem como a maneira correta de corrigir esses erros e mitigar seus impactos; Política de Segurança da Informação (PSI): é onde estão todas as regras e normas que a empresa adota para proteger seus dados, dentro e fora do ambiente virtual. Inclui as práticas que seus colaboradores devem adotar e estabelecem as rotinas de backup, padrões de senhas e níveis de acesso às informações armazenadas. A adoção de uma PSI é a maneira mais eficaz de prevenir falhas humanas; Equipe de especialistas: é importante contar com uma equipe de TI capacitada para desenvolver a infraestrutura e os bancos de dados da empresa. Para os casos em que não é possível ter um time próprio de TI, é necessário contratar empresas especialistas no assunto. 14 14 Plano de Recuperação de Desastres (PRD): é fundamental para a empresa se recuperar de qualquer eventualidade, seja ela de causa externa ou interna. Ele serve principalmente para resgatar dados roubados de equipamentos ou por ransomware. Redes de backup são inclusas para evitar inoperância, falta de energia e comunicação. A segurança de rede é uma área que cuida da infraestrutura tecnológica das empresas, evitando perdas financeiras e patrimoniais, além do roubo de informações. Por isso, os gestores devem se atentar à análise de vulnerabilidades. Primeiramente para que o cerne da questão seja entendido, necessitamos primeiro entender e definir os perfis existentes no que se refere a estratégias e gerencia da Segurança da Informação, a pesquisa caracterizou cada perfil como mostra a figura 1 15 15 PREOCUPAÇÕES COM A WEB Conforme a Figura 7 pode-se perceber um aumento significativo e gradual na preocupação e investimentos das empresas no que se refere à segurança na Web, e também em ferramentas que previnam invasores em nível de rede. Assim como algumas novas praticas e tecnologias surgem e são adotadas pelas organizações, outras, porém sofrem degradação com o passar dos anos, talvez a preocupação com a violação dos dados por colaboradores da própria empresa esta diminuindo, talvez as empresas estejam confiando mais em sua equipe, enfim, a preocupação e o monitoramento das atividades dos funcionários esta ficando em segundo plano como mostra a figura que segue: 16 16 AMEAÇA PERSISTENTE AVANÇADA Atualmente uma ameaça que vem assolando grandes corporações é conhecida como Ameaça Persistente Avançada (APT – Advanced Persistent Thread). São ataques massivos de grupos de interesse ou países a fim de espionar ou sabotar informações relevantes. Por mais que estes ataques tem 85% de sua atenção a grandes corporações, pequenas e médias empresas de alguns setores particulares despertam a atenção para seus dados sigilosos, e podem ser alvos de ataques como este, mas será que as empresas estão preparadas para isto? Segundo a pesquisa da PwC as empresas tem adotado algumas medidas de segurança como veremos a seguir: 17 17 DISPOSITIVOS MÓVEIS E MÍDIAS SOCIAIS Com a crescente inovação de tecnologia pessoal, assim como o BUM das mídias sociais no mundo, é cada vez mais comum, ou melhor, são cada vez mais incomuns indivíduos que não possuem ao menos um dispositivo móvel, como Pen Drives ou celulares com cartões de memória, e não participam ativamente de pelo menos uma mídia social, como Facebook, entre outros. Sendo assim as empresas deve estar preparado para encarar mais essa barreira, como lidar com esta nova era digital: 18 18 COMPUTAÇÃO EM NUVEM E quanto à computação em nuvem, quais são os apontamentos das empresas como principais dificuldades enfrentadas quando o assunto é o risco de segurança de computação em nuvem. FONTES DOS INCIDENTES DE SEGURANÇA Vindo de encontro com o que foi relacionado como risco de segurança à rede na figura 22 (Falta de controle de acesso à rede), e também como último dado selecionado da Pesquisa Global de Segurança da Informação, veremos quais são as principais fontes dos incidentes de segurança apontados pelas empresas: 19 19 UMA PROPOSTA PARA MELHORIA DA SEGURANÇA DE REDES Depois de todos os pontos apresentados neste trabalho, surge uma inquietação eminente: Por onde devo começar? Qual é o primeiro passo? A primeira coisa para ter em mente é o conceito de que qualquer investimento em segurança é melhor do que nenhum investimento. Porém de nada adianta investir em ferramentas, por mais simples e de baixo custo que sejam, se as mesmas não forem eficazes, e acima de tudo se não forem gerenciadas, ou seja, se não houver um acompanhamento das informações, um monitoramento e uma análise para levantar as reais necessidades da rede para que seja feito uma configuração correta da ferramenta, ela não trará a proteção ideal para a rede. Muitas vezes empresas investem muito em ferramentas de alto nível de segurança, ferramentas de custo elevado que são colocadas na rede e abandonadas, como se elas por si só entendessem as necessidades da empresa e da rede, tomando decisões de gerenciamento automaticamente. O que na verdade não ocorrem, estas ferramentas sem um correto gerenciamento tornam-se obsoletas, e é justamente neste contexto que julgo correto que empresas que não possuem nenhuma política ou ferramenta de segurança, comecem por ferramentas de baixo custo e de fácil gerenciamento, para que não se tornem apenas um computador a mais na rede. OBS: A IMPORTÂNCIA DE UM HACKER Hoje no Brasil, esse profissional se encontra em carência devido à demanda das empresas serem tão grande sendo assim o expressivo número de vagas nessa área da segurança da informação por isso os jovens que se interessam por essa profissão devem se qualificar o máximo possível por que a tendência é de muita procura por esses serviços, na cidade de São Paulo acontece um encontro tecnológicoo maior da América Latina justamente para incentivar outras pessoas a migrarem para esse ramo por que quanto mais gente prepara melhor em razão de esse setor nas empresas ser um pouco frágil necessitando de muita segurança por que a muitos invasores mal intencionados podendo extrair informações importantes das grandes empresas e assim utilizar desse artifício para se beneficiar pessoalmente podendo ate ganhar dinheiro em troca dessas informações, por isso em minha opinião você estudando e utilizando seu conhecimento para fazer o bem à chance de você ser contratado por uma grande multinacional é muito grande podendo fazer seu trabalho da melhor maneira possível protegendo os dados das empresas de possíveis invasores. 20 20 CONCLUSÕES O mercado de tecnologias de segurança em redes de computação esta em constante crescimento, já existe milhares de ferramentas que podem ser utilizadas para combater problemas de segurança, sejam estes de qualquer espécie. Porém muitas empresas de pequeno e médio porte possuem pouca ou nenhuma tecnologia de proteção à rede. E muitas vezes a falta de um Gerenciamento destas tecnologias, mesmo que existam, as tornam obsoletas ou ultrapassadas. Um segundo fator que prejudica as pequenas e medias empresas no quesito segurança da informação, é a falta de políticas de segurança da informação eficazes e tangíveis, ou a falta de quem elabore e gerencie estas políticas de segurança. Este trabalho apresentou algumas características primordiais para elaboração de uma coerente política de segurança da informação, apontando as principais características que devem ser pensadas quando se trata de segurança da informação. Pois as políticas de segurança não devem ser tomadas como diretrizes que serão usadas no futuro quando a empresa atingir um nível desejado, elas devem ser elaboradas de forma que contemplem as necessidades atuais da empresa, auxiliando no cenário que a empresa se encontra no momento. Obviamente que se pode planejar e escrever regras que serão usadas no futuro, ou simplesmente ir moldando a política conforme o crescimento da empresa, e conforme novas necessidades surgirem. Importante é a informação das manutenções realizadas de forma remota, onde o administrador ou técnico terá acesso e controle total ao equipamento. Informações claras e objetivas do que esta sendo monitorada na rede, uma política de controle e monitoramento de informações que trafegam pela rede através de email, mensageiros instantâneos, acessos a sites, downloads realizados, tempo de acesso e permanência em sites.