Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DE ATIVOS AULA 1 Prof. Luis José Rohlin CONVERSA INICIAL Quando tratamos de segurança de ativos, na área de tecnologia da informação no mundo corporativo, estamos nos referindo ao conjunto de conhecimentos que foram obtidos ao longo da existência da corporação e estão organizados em determinada estrutura de armazenamento. Portanto, esse conjunto de informações possui valor financeiro associado, pois tem um impacto direto no funcionamento cotidiano da empresa. Assim, os ativos de informação podem ser definidos como o conjunto de bens tangíveis e intangíveis de propriedade de uma empresa, dos quais irá depender a sua operação, incluindo áreas financeiras, de gestão organizacional e de negócios. Figura 1 – Os ativos de informação Crédito: Whitemocca/Shutterstock. Para padronizar o processo de gestão da segurança dos ativos de informação, garantindo sua efetividade e a adoção de uma referência internacional, temos as normas publicadas pela ISO (International Organization for Standardization), que publicou uma série de normas associadas à segurança da informação: a série 27000. 3 Figura 2 – A norma ISSO 27000 Crédito: Iso.org. Dentro da série 27000 temos a ISO 27002, que complementa a ISO 27001 e define os requisitos para a elaboração e implementação da política de segurança corporativa, estabelece o processo de gerenciamento de ativos, classificação de dados, ciclo de análise da informação e gestão de informações. Dessa forma, a segurança de ativos é um tema relacionado à gestão estratégica do negócio, impactando diretamente nas atividades diárias da empresa. Assim, um ativo de informação corporativo é todo e qualquer bem que faça parte do processo de operação. TEMA 1 – ATIVOS DE INFORMAÇÃO Os ativos de informação são, por definição, os dados e bens – tangíveis ou intangíveis – de propriedade de uma empresa. Estes serão processados para gerar as informações que impactam nas operações cotidianas da empresa e no rumo de seu desenvolvimento e crescimento. Os ativos estarão alocados no departamento de tecnologia da informação, mas também incluem o conjunto de normas dos departamentos responsáveis pelas tecnologias utilizadas na operação do negócio e deverão ser utilizados em todos os processos de decisão da gestão. Outro aspecto associado à segurança dos ativos refere-se à avaliação da criticidade dos dados quanto ao seu impacto no negócio, ou seja, o quanto esses dados afetam a execução da atividade fim da empresa. Neste caso, esses dados podem estar ainda em seu local de origem, ou seja, um dado ou item que ainda não foi tratado. Quando os dados já foram tratados, isso quer dizer que uma informação foi gerada a partir de um resultado obtido, ou de um processo de negócio. Por fim, todo esse conjunto de dados poderá ser utilizado no processo de tomada de decisões da empresa. 4 Quanto à aplicação de normas no processo de segurança dos ativos, temos a ISO 27002, que trata da gestão de segurança. Ela inclui um item essencial que descreve as boas práticas para a gestão de segurança de tecnologia, para a segurança dos ativos e o tratamento das informações. Essas boas práticas incluem todo o ciclo de vida da informação, desde a coleta de dados até sua transformação, incluindo também o procedimento para sua validação e aplicação nos processos de tomada de decisões corporativas. A ISO 27002 é um complemento da 27001, publicada em 1996, e tem como objetivo estabelecer as regras de proteção dos ativos e como poderão fazer parte do processo de tomada de decisões de uma empresa. As melhores práticas para o processo de gestão devem incluir as diretrizes para os controles do fluxo de informação, definindo as regras de implementação e de gerenciamento desses processos. Algumas das dificuldades de empresas para estruturarem os ativos de informação ao longo tempo referem-se à demora em compreender e definir como será feito o processo de gerenciamento de informação, o que pode levar à perda de dados. Estes dados podem ser informações essenciais ao negócio, tais como quem são os clientes, quais são os produtos mais vendidos, quais são as formas de pagamento de seus clientes, qual a melhor estratégia de colocação de um produto no mercado, qual a estratégia mais eficiente de interação com seus clientes, entre outras. A implementação de uma estruturação de dados, com seu processamento, permitirá realizar uma análise do negócio, incluindo a elaboração de uma estratégia de marketing, de precificação do produto, de sobrevida de um produto e de sua colocação no mercado de forma estratégica e inovadora, avaliando como será aceito pelos clientes. Figura 3 – Os ativos de dados e o plano de marketing Crédito: Rawpixel.com/Shutterstock. 5 Para a aplicação das boas práticas de segurança, temos como referência a ISO 27000, de 1995, que estabelece um grupo de normas e diretrizes relacionadas à segurança da informação. A partir da definição do que é informação e do que é segurança da informação, a ISO 27000 pode ser utilizada com o objetivo de alinhar as responsabilidades de cada setor na gestão de segurança da informação. Assim, cada empresa – e cada setor – deverá fazer o estudo de seus dados, definindo uma forma de tratamento e armazenamento. Já a ISO 27002 define um conjunto de melhores práticas para implantação do sistema de gestão de segurança da informação. Cada setor da empresa será uma fonte de geração de informações e de dados, os quais devem ser tratados de acordo com regras claras e com a confidencialidade necessária. Por exemplo, a estratégia do departamento de marketing poderá variar em função das informações que possui, a partir das quais poderá definir a estratégia de colocação do produto no mercado, que não será necessariamente um bem físico. Essa base de dados pode incluir a pesquisa sobre as empresas concorrentes, sobre os clientes, qual é o posicionamento da empresa em relação aos concorrentes etc. Todo esse conjunto de dados será a base de informações para o sistema de gestão. Adotadas as melhores práticas para sistemas de gestão, a próxima etapa é o processo de controle de ativos. Esse processo inclui: a geração de todo e qualquer dado sobre um processos que foi realizado; a definição de quem será o responsável pelo resguardo e manutenção dos dados; quando será o momento em que os dados deverão ser revisados; e qual a validade desses arquivos. Por exemplo, o setor de tecnologia da informação seria o responsável por gerenciar o armazenamento dos dados e informações, e o departamento de vendas, ou de compras, que necessita manusear esses dados, deverá fazê-lo de forma estratégia e confidencial, de acordo com a estratégia da empresa em relação a seus clientes. Outro componente do sistema de gestão dos dados inclui a definição, implementação e gerenciamento de controles do fluxo de dados, que deverá estar focado nos setores e ambientes que possam apresentar riscos à segurança dos ativos. Assim, a implementação desses controles deverá garantir o alinhamento entre o setor de marketing, de compras, de vendas e o 6 setor financeiro, garantindo o gerenciamento do ciclo de vida do produto de acordo com a estratégia definida pela empresa. Temos ainda as diretrizes para o controle do fluxo de informações, que têm a segurança das redes como tópico principal, servindo tanto para empresas privadas quanto para empresas públicas, visto que o volume crescente do compartilhamento de informações e da troca de dados são desafios constantes. Ambas empresas públicas e privadas possuem informações estratégicas, e a segurança de redes irá implementar o controle de acesso e o bloqueio do tráfego de dados na rede, ou até mesmo a falsificação de credenciais. A implementação da segurança de redes é fundamentalpara evitar as fraudes eletrônicas, espionagem, sabotagem, vandalismo, hackers e ataques de negação de serviço. Nesse processo, é de fundamental importância a integração entre o processo de implementação e de gerenciamento. Por exemplo, se uma empresa possui uma equipe de programação própria, a codificação dos dados já deve incluir a segurança dos dados, e no processo de implementação deverá ser definida a segurança no processo de manuseio do código, definindo quem terá acesso a ele e principalmente quem irá realizar sua manutenção. TEMA 2 – POLÍTICA DE SEGURANÇA DE ATIVOS Um dos itens fundamentais da política de segurança de ativos é a compreensão de sua importância para o negócio da empresa, bem como a necessidade de sua existência. A política de segurança deverá incluir tudo o que é essencial para uma organização. Assim, a criação e definição do que será incluído na política de segurança irá variar de acordo com a atividade-fim da empresa. Portanto, para a elaboração da polícia de segurança, é necessário identificar quais são os principais requisitos de segurança, relacionados a essa atividade-fim, como deverá ser realizada sua manutenção, e a definição das metas e objetivos a serem alcançados. Esses requisitos deverão ser levantados na etapa de definição do escopo da política de segurança ou do levantamento de dados, incluindo todo os elementos necessários para atingir os objetivos da empresa. Nesse processo deve ser incluída a segurança de ativos que não sejam necessariamente elementos físicos, tais como os processos de trabalho relacionados ao capital humano, devendo ser definida a forma de 7 armazenamento dessas informações dentro do sistema de gestão de segurança da empresa. A política de segurança é, então, um conjunto de normas e regras que definirá as responsabilidades em relação ao manuseio dos dados, determinando as atribuições da cada um; de que maneira cada área da empresa irá processar as informações e dados; e a forma como ocorrerá o fluxo de dados por meio das diversas áreas da empresa. Para a elaboração da política de segurança, devemos abordar três tópicos distintos: os objetivos e estratégias globais da empresa, legislação e regulamentos pertinentes ao segmento de atuação da empresa, e os requisitos do negócio. No primeiro, tratamos dos objetivos da empresa, suas necessidades, o negócio-fim da empresa, também chamado core business, assim como as estratégias de posicionamento no mercado, sendo que essas definições dependerão dos diversos gestores e das lideranças da empresa. O item pertinente à legislação deve incluir todas e quaisquer regras que devem ser observadas para a execução do negócio no mercado onde estará atuando. Estabelecidos os regulamentos a serem seguidos, deverão ser definidas quais serão as penalidades aplicadas no caso de não cumprimento dessas regras e como será feita a aplicação dessa política. O último item, relativo aos requisitos do negócio, diz respeito a todos os elementos que sejam de fundamental importância para a sobrevivência do negócio, incluindo as estratégias para que ele funcione corretamente. Assim, a política de segurança tem como objetivo garantir que todas as políticas, dados e informações que a empresa gerou estejam seguras, pois é esse conjunto de dados e informações que faz com que a empresa tenha características únicas, diferenciando-a da concorrência no mercado em que atua. A próxima etapa será a análise e avaliação da segurança necessária para os ativos, avaliando a viabilidade dos investimentos necessários, de acordo com os danos que podem ser causados em caso de perda ou alteração dos dados. Assim, garante-se a eficiência das medidas de segurança, incluindo investimentos na manutenção dos sistemas de segurança. O primeiro item para avaliação do investimento será a determinação de como será implementado o sistema de segurança da informação, que irá depender da estrutura de cada empresa, atribuindo um valor em relação à importância daqueles dados para o mercado e qual seria o investimento aceitável para garantir a segurança dessas informações. 8 Outro aspecto a ser analisado em relação ao investimento em segurança é o suporte às decisões gerenciais da empresa. Ou seja, quando for necessário revisar o direcionamento do negócio, definindo as ações gerenciais apropriadas, essas decisões estratégicas poderão ser tomadas em tempo real, de maneira assertiva e eficiente, garantindo o sucesso da empresa no mercado. Teremos ainda a etapa de manutenção dos dados, na qual deverá ser prevista a periodicidade das mudanças nas bases de informação, bem como da inclusão de informações adicionais. Em seguida temos a definição dos processos de controle em relação aos ativos prioritários e à redução de riscos. Os ativos prioritários dizem respeito a tudo aquilo que pode afetar a imagem da empresa, sendo que cada empresa terá uma valorização diferenciada desses ativos, pois estão relacionados ao período de maturidade da empresa. Em relação à redução de riscos, devemos levar em consideração as decisões gerenciais da organização, que deverão considerar a valoração dos ativos e os riscos associados a cada um deles. Quando a política de segurança da empresa já atingiu um alto grau de maturidade, sendo seguida por toda a empresa, o processo de gestão de riscos e tratamento certamente será muito mais simples e fácil. A gestão de riscos se baseia em avaliar qual será o tempo necessário para a recuperação de uma informação, caso seja perdida ou removida propositalmente, ou ainda, quanto tempo a empresa poderá operar sem esses dados, sem que haja perda no negócio. E o gerenciamento de risco irá ocorrer a partir da identificação desse risco, e quais deverão ser os procedimentos a serem adotados para que esta falta não volte a acontecer. Os controles essenciais da gestão de segurança de ativos deverão incluir os dados e informações de pessoal e os registros da organização e da estratégia de produto e de mercado. A base de dados dos colaboradores, que contém as informações pessoais, deve ser tratada com a devida confidencialidade, pois o acesso a esses dados pelos demais colaboradores que não os da área de RH e gerência poderá causar muitos problemas nas diversas equipes, principalmente em relação à questão de remuneração dos colaboradores. Outros conjuntos de dados a serem incluídos no sistema de segurança são os registros gerais da organização, que indicarão a saúde financeira e de desempenho da empresa no mercado, bem como conterão as informações 9 sobre suas estratégias de mercado e projeções de crescimento. O outro conjunto de informações está relacionado à estratégia do produto e seu posicionamento no mercado, contendo dados como o tempo de criação de um produto interno e pela concorrência, direitos e propriedade intelectual. Assim, para esses três itens de controle, a política de segurança deverá definir como os dados serão processados e manipulados, de que forma serão registrados dentro da organização e como serão protegidos. Desse modo, a aplicação prática da segurança de ativos deverá incluir os controles, que garantirão diversos fatores essenciais ao seu sucesso. Um desses aspectos é a garantia de que a política de segurança será efetivamente aplicada em todo o seu conjunto, pois uma política de segurança corporativa poderá ser bastante complexa. Outro aspecto é definição das responsabilidades em relação aos controles e manuseio dos dados, que também deverão estar descritas na política de segurança. Por exemplo, um colaborador da área financeira da empresa terá a responsabilidade de manter e atualizar os dados sobre as operações de crédito, débito, pagamentos e recebimentos, garantindo que os ativos de informação de sua área sejam sempre precisos e confiáveis. Um atraso ou erro no lançamento de umatransação financeira pode comprometer a análise estratégica de investimento da empresa, por ter sido tomada baseada em uma informação incorreta. Outro fator crítico para a segurança de ativos é o treinamento e conscientização de todos os colaboradores sobre a importância do cumprimento das normas e práticas de segurança. Isso porque uma ação insegura, tal como a abertura de um arquivo desconhecido, pode permitir a execução de um malware e causar a perda ou alteração dos dados, ou seja, um dano aos ativos de informação. Durante o ciclo de vida dos ativos de informação, estes certamente serão alterados e atualizados muitas vezes, por isso deverão ser definidos os controles que serão aplicados no processamento. Esse processo de controle deverá garantir que as alterações dos dados sejam realizadas apenas pelo pessoal autorizado, preferencialmente com o registro de quais alterações foram realizadas e de quem as realizou. Os controles de segurança dos ativos também deverão incorporar os processos de gestão de vulnerabilidades, incluindo as medidas a serem tomadas para minimizar o efeito das eventuais ameaças e visando garantir a continuidade do negócio. Temos como exemplo a utilização dos softwares de 10 antivírus, pois sabemos que estamos sempre sujeitos a contaminação por algum tipo de vírus, e esta seria a medida preventiva básica. A implementação dos controles de segurança ainda deverá incluir a gestão de incidentes, que estabelecerá as medidas a serem adotadas na ocorrência de um incidente que afete a segurança dos ativos de informação. Todos esses controles de segurança deverão estar incluídos em um processo de melhoria contínua, pois a estrutura de dados e os diversos processos da empresa são modificados continuamente, em função de sua evolução no mercado, com a melhoria de processos e crescimento da operação. Para que a implementação da política de segurança tenha sucesso, devem ser observados alguns aspectos críticos. O primeiro é que a política de segurança seja clara e objetiva. Dessa forma, não haverá dúvida sobre a aplicação dessas regras e qual a sua finalidade, não dando margem para interpretações incorretas sobre elas. A política de segurança deverá incluir os processos de implementação, manutenção e monitoramento dos ativos de informação, sendo que esses processo envolverão, além dos profissionais da área de tecnologia, praticamente todos os colaboradores da empresa, pois todos em algum momento irão interagir com a base de ativos de informação. Outro fator de sucesso da política de segurança é o comprometimento da equipe gerencial, pois além de ter acesso aos ativos de maior valor, deve orientar suas equipes na aplicação das regras estabelecidas na política de segurança. Também é necessário um plano de divulgação das regras estabelecidas na política de segurança, para garantir que todos os colaboradores que irão interagir com os ativos de informação tenham pleno entendimento de sua importância e de como as regras devem ser aplicadas. Por fim, de acordo com o nível de complexidade da política de segurança, teremos um nível diferenciado de investimento nos mecanismos, ferramentas, tecnologias e processos de segurança para cada empresa. No entanto, é necessário identificar quais são os pontos críticos da política de segurança e seu impacto nos investimentos, de forma que eventuais restrições financeiras não comprometam os ativos de informação mais críticos. 11 TEMA 3 – GERENCIAMENTO DE ATIVOS Para elaborar o plano de gerenciamento de ativos, a primeira etapa é realizar sua classificação, a fim de poder identificar quais serão os requisitos de segurança para cada conjunto que apresente características semelhantes. Essa classificação poderá ser feita de maneira diferente para cada empresa, porém alguns modelos podem ser utilizados pela maioria delas, como veremos a seguir. Um primeiro tipo de ativo são as bases de dados e arquivos armazenados nos diversos recursos computacionais da empresa. Essas informações normalmente estarão no formato digital, e sistemas de armazenamento externo e de backup podem ser utilizados para recuperá-las caso ocorra algum incidente. Outro tipo de ativo são os softwares utilizados na operação dos negócios da empresa, ou seja, as ferramentas de trabalho das tarefas diárias dos colaboradores. Nesse caso, apenas o armazenamento em outro ambiente não seria suficiente para a recuperação do ativo em caso de incidente, pois é necessário o processo de instalação e configuração para que os sistemas se tornem operacionais novamente. Ou seja, temos uma característica diferente desse tipo de ativo quando comparado com os arquivos de dados, pois terá um processo de recuperação diferenciado e que impactará também em maior tempo de indisponibilidade quando da ocorrência de um incidente de segurança. O processamento e o armazenamento dos dados são realizados pelos equipamentos – computadores e servidores –, classificados como ativos físicos. Esses ativos físicos também deverão ser incluídos na política de segurança, pois a falha de um servidor, por exemplo, irá afetar significativamente a operação da empresa. Assim, o tempo de recuperação desses ativos será um fator crítico na continuidade do negócio, e a complexidade do ativo físico também impactará no investimento da política de segurança, pois exigirá um contrato de suporte com prazo de atendimento adequado ou até mesmo o investimento em um equipamento de reserva, a ser utilizado no caso de falha do equipamento principal. Outra categoria de ativos são os colaboradores e gestores da empresa, pois eles detêm os conhecimentos e habilidades necessários para a empresa operar em seu dia a dia. Nessa categoria de ativos também deve ser 12 considerada a qualificação desses profissionais. Assim, a perda de um colaborador, por um pedido de desligamento, irá impactar no desempenho do negócio da empresa de acordo com a sua importância no processo de negócios e de sua qualificação. Por exemplo, a reposição de um colaborador altamente qualificado, e que já detinha um grande controle do processo de negócio, poderá demandar um longo período de retomada da operação, pois demandará a qualificação de um novo profissional. O Outro tipo de categoria são os chamados ativos intangíveis, tais como a imagem da organização no mercado. Nesse caso, por exemplo, um site de comércio eletrônico que tenha uma falha de segurança e permita o vazamento dos dados de seus clientes, tais como números de cartão de crédito, poderá ter sua imagem prejudicada, levando inclusive à perda de clientes e ao encerramento de seu negócio, pois perderá totalmente sua credibilidade no mercado. Para garantir a segurança dos dados, deverão ser implementados os mecanismos que façam a proteção de toda a documentação referente aos processos de negócio, bem como as bases de dados que são utilizadas para a tomada de decisões referentes à atuação da empresa junto aos clientes. Nesse conjunto de ativos, que são os dados, temos ainda a base de informação de pessoal, que também são dados essenciais para a análise do desempenho do negócio, pois permitem avaliar a composição de custos e de recursos envolvidos no processo do negócio. Nessa base de dados, teremos a documentação referente aos processos de auditoria, que irá verificar o cumprimento das regras e normas da empresa, tanto em relação aos processos de negócio como da aplicação da política de segurança. Os ativos de software poderão apresentar maior complexidade em função das ferramentas que tenham sido desenvolvidas ou aperfeiçoadas para os processos de negócio de cada empresa. Esses ativos estão relacionados às tarefas cotidianas e às ações de tomada de decisão estratégica da empresa. Nesse conjunto de ativos, teremos as licenças de software utilizados pelos equipamentosdos colaboradores, os aplicativos que são executados nos servidores da empresa e as ferramentas de desenvolvimento. Para cada um deles temos uma estratégia de segurança diferenciada, pois impactam de maneira diferente o processo de negócio. 13 Quanto à segurança dos ativos físicos, devemos implementar os sistemas de controle de patrimônio para detectar a falta de algum deles. No entanto, além dos equipamentos de processamento de dados teremos também os equipamentos de comunicação de dados, que são os equipamentos de rede e os dispositivos de armazenamento. Nesse caso, por exemplo, existem sistemas para a realização de cópia de segurança (backup) em mídias externas, e estas também deverão estar contempladas na política de segurança dos ativos físicos. Outro tipo de ativo é o pessoal e sua capacitação e qualificação, que também fazem parte do processo de negócio. Além da equipe em si, a política de remuneração e o investimento no aperfeiçoamento das equipes também serão um fator de sucesso da empresa, e dessa forma, tornam-se um ativo. Assim, além de ser considerado um ativo, pois sua falta irá impactar no negócio, o pessoal também fará parte da própria política de segurança, pois suas atitudes podem pôr em risco todos os demais sistemas de segurança, sendo necessária sua capacitação quanto às regras de segurança, conforme vimos anteriormente. Por fim, quanto aos ativos relacionados à imagem da organização, esse valor de mercado dependerá também de outros fatores, tais como o tempo em que ela já atua no mercado, sua estratégia de posicionamento, como sua marca é reconhecida pelo mercado e pelos consumidores, e qual sua importância e influência no mercado. Havendo uma estimativa do valor do bem intangível, a partir de métricas adotadas pelo mercado, podemos avaliar qual será o nível de investimento justificável em relação às medidas de segurança para proteger esse ativo intangível. TEMA 4 – ATIVOS DE BENS Uma forma de organização do conjunto de ativos que pode ser utilizada para o processo de elaboração de uma política de segurança é a classificação dos ativos em três conjuntos distintos de ativos: dados, serviços e comunicação. O conjunto de dados irá incluir todos os dados relativos aos clientes, tais como a quantidade de clientes que a empresa possui, qual a forma de pagamento que eles utilizam, qual a frequência e preferência de produtos, entre outros. Na base de dados, teremos também outras informações do 14 negócio, tal como o plano de marketing, que definirá as estratégias de mercado e de produto. As informações de pessoal, que são a base de operação da área de recursos humanos da empresa, também farão parte do conjunto de ativos de dados, pois essas informações subsidiam as tomadas de decisão da empresa e permitem avaliar a relação entre os investimentos em pessoa e os resultados de produção e de desempenho, tanto individual quanto coletivo. O outro conjunto de ativos são os serviços e as plataformas envolvidas para sua entrega. Nesse conjunto está incluído, por exemplo, o site da empresa, que pode ser simplesmente uma plataforma de divulgação das informações da empresa, tal como produtos e canais, ou pode ser a plataforma de negócio, com vendas pela internet. Nos dois casos teremos uma política de segurança bastante distinta para cada, pois sua indisponibilidade terá um impacto bastante diferente entre elas. Ainda, teremos um nível de dependência bastante diferente em relação à conexão à internet. Uma empresa que tem apenas o site com as informações corporativas não terá grande impacto em seu negócio em caso de queda da conexão com a internet. Por outro lado, uma empresa que opera com o modelo de comércio eletrônico poderá ter grande prejuízo com uma falha na conexão. Ou seja, teremos dois valores bastante distintos em função do modelo de negócio para o mesmo ativo de serviços. Para disponibilizar o serviço teremos também outros componentes envolvidos, tais como o controlador de domínio, que permitirá a conexão dos clientes ao sistema, e os sistemas de gestão de negócio, como os softwares de ERP (Enterprise Resource Planning). Temos ainda o conjunto de ativos associados à comunicação, tanto a comunicação com os clientes como no processo de aquisição dos produtos. Um exemplo seria a identificação e registro das operações efetuadas pelos clientes, os chamados registros de login, que poderão ser consultados futuramente para verificação e validação das operações realizadas nos sistemas. Nessa base de ativos, teremos também os registros financeiros de todas as transações efetuadas, que poderão servir para a análise do perfil dos clientes, bem como para verificação do processo de pagamento das operações comerciais. No processo de comunicação, teremos ainda outras formas de ativos, tais como as mensagens eletrônicas, utilizando a plataforma de envio e recebimento de e-mail. Assim, elas também fazem parte dos ativos por 15 conterem informações sobre a percepção do cliente, por exemplo, pelo serviço do tipo ‘fale conosco’. Após o processo de coleta de dados e seu armazenamento nas plataformas adequadas, a próxima etapa será sua classificação. Os dados coletados em sua forma bruta precisam ser tratados para torná-los úteis no processo de gestão e de tomada de decisão pela direção da empresa. Assim, os dados brutos deverão ser organizados e classificados, tornando-se realmente um ativo de valor para a empresa, pois dessa forma garantirão uma base precisa e atualizada de informação aos processos de gestão. Assim, eles farão parte do processo de negócio. TEMA 5 – GESTÃO DA INFORMAÇÃO O processo de gestão da informação inicia-se com a classificação das informações para que sejam processadas, permitindo uma análise efetiva do desempenho do negócio. Esse processo contribuirá para que sejam identificadas as principais necessidades do negócio, as prioridades e o nível de importância dos ativos envolvidos no processo. Dessa forma poderemos avaliar qual será o nível de criticidade dos ativos, que serão gerados a partir do processamento das informações, para o andamento do negócio, bem como o nível de sensibilidade da operação em relação a eles. Havendo essa avaliação, poderemos definir qual deverá ser o nível de segurança a ser adotado, em função do nível de risco associado a uma eventual perda desses ativos, e quais serão as medidas de segurança. Por exemplo, os dados relativos à composição de custos de produção formam um conjunto de informações essenciais para a definição da estratégia de mercado e definição de preços, e teria uma classificação de alta criticidade para o negócio. Isso justifica a aplicação de medidas de segurança mais eficientes, com nível maior de investimento nos sistemas de controle e de segurança. O processo de análise da informação deverá contemplar a classificação e o processamento dessa informação. O ciclo de análise será um processo contínuo, pois as informações devem ser atualizadas continuamente, em uma periodicidade que dependerá da necessidade da renovação das informações em função do negócio da empresa. Por exemplo, uma empresa da área de tecnologia deverá ter um ciclo de atualização praticamente diário, pois é um mercado muito dinâmico. Por outro lado, uma empresa que atua no segmento 16 de máquinas industriais terá um ritmo de atualização de sua base de informações mais lento, pois o ciclo de mudança desse mercado não é tão intenso quanto na área de tecnologia da informação. Outra etapa do ciclo de análise da informação é a de controle, que visa garantir que todas as regras definidas na política de segurança estão sendo adotadas. Os mecanismos de controle também permitem verificar se os requisitos legais associados à proteção de dados estão sendo atendidos. O nível dos mecanismos de controle estarão associados aovalor desses ativos para a organização, de modo que os ativos mais críticos tenham um nível de controle mais rígido. Além do estabelecimento dos mecanismos de controle, é necessário definir quais serão as diretrizes a serem aplicadas nos diversos fluxos de compartilhamento, descrevendo quais serão as áreas ou colaboradores envolvidos no processo de manutenção e atualização das informações, normalmente associados ao setor da empresa onde estão alocados. Nesse aspecto, teremos ainda a definição da restrição de acesso, pois cada área da empresa deverá ter acesso apenas ao conjunto de informações que sejam pertinentes ao seu papel. Todas as medidas de segurança a serem adotadas deverão garantir as três dimensões da segurança da informação: confidencialidade, integridade e disponibilidade dos ativos de informação. Para o processo de gestão de informações, deveremos ter uma base de regras bem definidas, que estarão descritas na documentação apropriada, a chamada política de segurança. Essa documentação deverá descrever as medidas a serem adotadas para garantir a segurança dos ativos de informação, bem como as responsabilidades de todos os envolvidos nos processos de manutenção e manipulação dos dados, principalmente dos gestores de cada área da empresa. Outro aspecto a ser definido no sistema de gestão de informações são as regras de compartilhamento das informações com terceiros, pois poderá ser necessário que outras organizações tenham acesso às informações. Assim, as regras para esse compartilhamento deverão ser estabelecidas e acordadas entre as partes antes da liberação do acesso. Nesse caso, deveremos ainda ter mecanismos que garantam a restrição do acesso apenas aos dados que necessitam ser compartilhados, não permitindo o acesso às demais informações. 17 Finalmente, um aspecto essencial do processo de gestão da informação é a definição do valor da informação, pois é a partir desse valor que poderá ser avaliado o nível de criticidade e de investimento a fim de garantir a segurança dos ativos. Uma dificuldade encontrada nesse processo é o fato de que essas informações podem estrar distribuídas em diversos sistemas, pois o uso dos recursos de redes possibilita o acesso de diferentes sistemas a partir de um terminal conectado nessa rede, como se estivessem alocados em um único repositório. Dessa forma, é necessário identificar todas as informações distribuídas nos diversos recursos de armazenamento e de processamento para então definir as medidas de segurança. Assim, todas as informações apresentam um grau de valor para o negócio e requerem medidas de segurança de acordo com o valor de cada ativo de informação para o processo. NA PRÁTICA A segurança de ativos, na prática, se dará pela aplicação da política de segurança sobre todos os dados e informações da empresa, de forma a garantir sua integridade e disponibilidade. A primeira etapa para a elaboração da política de segurança é o levantamento dos ativos, identificando o envolvimento das diversas áreas envolvidas no processo de manutenção. Identificados os ativos e sua manutenção, deverá ser definido o papel de cada indivíduo nesse processo assim como as ações que cada um deles poderá executar na manutenção e atualização dos ativos de informação. Essas informações poderão estar armazenadas nos ambientes interno e externo, sendo aplicadas as medidas de segurança adequadas para cada um deles. Para a verificação da efetividade no processo de elaboração da política de segurança, podemos utilizar um checklist verificando-se as seguintes questões: • Existe um mapeamento de dados da organização? • Os atores responsáveis por esses ativos estão comprometidos e cientes de seu papel? • O envolvimento de todos na gestão de ativos está claro? • O documento/política de ativos está elaborado de forma a abranger todos os setores? 18 Dessa forma, tendo-se uma resposta afirmativa para todas essas questões, podemos ter maior certeza em relação à segurança dos ativos, desde que foram efetivamente tomadas as medidas adequadas para cada um dos itens abordados. Portanto, a segurança de ativos dependerá do conhecimento dos ativos envolvidos no processo de negócio; do mapeamento dos envolvidos na manutenção desses ativos, definindo-se claramente o papel e responsabilidades de cada um; e da elaboração de uma documentação clara, abrangente e eficiente contendo as regras a serem aplicadas na manutenção e atualização dos ativos. FINALIZANDO A segurança de ativos então irá contemplar a compreensão do porte da organização e como ela fará a manutenção e atualização de seus ativos de informação. Certamente as empresas de maior porte terão um conjunto maior de ativos, que exigirão medidas mais complexas. No entanto, mesmo as empresas de menor porte certamente terão um conjunto de ativos para os quais deverão ser adotadas as medidas de segurança, mesmo que em menor grau de complexidade. Assim, independentemente do porte da empresa, ela sempre terá um conjunto de ativos de informação essenciais para o processo de tomada de decisão e de operação do negócio. O conjunto de informações necessário para que as medidas de segurança sejam efetivas são a identificação e o mapeamento das atividades e dos responsáveis pelos diversos processos. Portanto, o conhecimento dos ativos essenciais para a operação do negócio, a formalização da política de segurança de ativos e a garantia da participação de todos os envolvidos nesse processo são fatores cruciais para garantir a efetividade da segurança no processo de implementação e manutenção dessas bases de informação, que são os ativos de alto valor para todas as empresas. SEGURANÇA DE ATIVOS AULA 2 Prof. Luis José Rohlin CONVERSA INICIAL Para a elaboração de um sistema de segurança de ativos, é necessário realizar o processo de análise de risco, o que permitirá determinar quais serão os mecanismos e ações a serem adotados para minimizar riscos. Essas medidas podem não garantir a segurança absoluta dos ativos de informação, pois sempre existirá possibilidade de uma falha humana, que pode levar a falta na segurança e inclusive perda desses ativos. Assim, para implementar e manter a segurança dos ativos, temos diversos componentes envolvidos nesses processos. A base de um sistema de segurança será sempre a política de segurança da empresa, o documento que contém as normas e regras de tratamento das informações e dados. Portanto, é um componente fundamental da segurança de ativos. Outro componente são softwares específicos de sistemas de segurança, tais como os antivírus, que estabelecem o nível básico de segurança e são amplamente utilizados no mercado, inclusive com soluções gratuitas. Teremos também os dispositivos de hardware específicos para segurança, como o firewall, uma barreira de segurança na conexão da rede local com a internet. Além do firewall temos outros equipamentos específicos de segurança, por exemplo, os sistemas de detecção de intrusão, IDS. Para a proteção dos dados, quando estão sendo transmitidos pela rede, temos mecanismos de criptografia, sistemas de chaves criptográficas públicas (Public Key Infrastructure – PKI) e a implementação de redes privadas virtuais, chamadas VPNs. Todos os aspectos envolvidos para garantir a segurança dos ativos devem ser levados em consideração, tal como as questões associadas aos riscos e os mecanismos a serem adotados para evitá-los. Um dos princípios que devem ser considerados é o de que nunca obteremos um sistema 100% seguro, pois ameaças à segurança e a dinâmica dos processos de negócio estão em constante evolução. Um ponto de partida para entendermos a evolução da segurança é a interconexão de redes, que aconteceu nos anos de 1980, permitindo a conexão das instituiçõesde pesquisa e órgão governamentais, e, posteriormente, outras corporações, o que veio se tornar a grande rede que é a internet. A internet foi crescendo exponencialmente, chegando ao ambiente residencial, propiciado 3 pelas tecnologias de banda larga. Outro fator que contribuiu para o crescimento da rede, e também demandou aumento da segurança, foram as aplicações para transações financeiras e comerciais, tais como o internet banking. Além do uso pessoal da rede, as corporações a utilizam para efetuar transações de negócios, o que exige alto grau de segurança no tráfego dessas informações. Assim, atualmente temos milhões de terminais conectados a essa rede, que estão sujeitos a diversas ameaças, sendo necessário adotar medidas mínimas de segurança para a conexão dos terminais à internet. Figura 1 – Os negócios mundiais conectados via Internet Crédito: Toria/Shutterstock. As medidas de segurança dos ativos a serem adotadas para minimizar riscos associados a seu compartilhamento via rede deverão considerar a evolução histórica dessas ameaças, orientando empresas e usuários a adotar uma postura de ações seguras quando conectados à rede. TEMA 1 – SEGURANÇA DE ATIVOS A segurança de ativos possui pontos essenciais que devem ser considerados na elaboração das medidas de segurança. O primeiro diz respeito à elaboração de uma análise da necessidade de segurança dos ativos. Nesse aspecto, devemos avaliar qual é o patrimônio a ser protegido, no caso, 4 todo o conjunto de informações associadas à operação da empresa. Essas informações poderão representar um diferencial competitivo da empresa no mercado, e, portanto, são um ativo de alto valor. Elas podem também estar associadas à credibilidade da empresa, pois os dados irão embasar seu posicionamento no mercado. Assim, o conjunto de dados e informações impactará na estratégia de colocação do produto no mercado, sendo utilizado para a definição de preços, da carteira de clientes, de metas de venda, entre outros. A coleta de dados do mercado ainda permitirá avaliar o cumprimento das responsabilidades de acordo com a legislação pertinente. Portanto, a segurança dos ativos garantirá a continuidade da operação da empresa e de suas atividades. Outros dois aspectos sobre a segurança dos ativos a serem avaliados são o custo da segurança em relação ao valor da informação e o custo da segurança em relação ao tempo da informação. Para avaliar o valor da informação, é necessário identificar o quanto ela é essencial naquele momento da empresa. Por exemplo, quando a empresa decide lançar um novo produto no mercado, essa informação terá um alto valor, pois caso o concorrente tenha acesso, todo o plano de lançamento do novo produto poderá ser prejudicado com uma ação de mercado desse concorrente. Já o tempo da informação está associado ao período de vida de um dado em que ele ainda tenha valor. Assim, no exemplo anterior, após o lançamento do novo produto, essa informação já não terá praticamente nenhum valor para a concorrência, não sendo mais justificável alocar grandes recursos de segurança para protegê-la. O processo de análises de risco consiste em identificar as possíveis brechas nos sistemas de segurança, além de avaliar os riscos intrínsecos ao processo de negócio e dos meios utilizados para sua execução. Em relação às falhas de segurança, podemos identificar diversas fontes de risco, associadas ao fator humano, ao software ou ao hardware. Identificadas as possíveis causas de falha da segurança, a partir do mapeamento de todas informações e processos do negócio, a próxima etapa será a definição da estratégia de segurança a ser adotada para proteger os ativos, avaliando o investimento financeiro a ser realizado para cada um deles, de acordo com o seu valor. 5 Figura 2 – A segurança dos ativos Crédito: Billion Photos/Shutterstock. TEMA 2 – RISCOS E SEGURANÇA DOS SISTEMAS Realizado o mapeamento dos riscos, deve-se também avaliar qual será seu impacto sobre os diversos sistemas da empresa, no processo de geração da informação e de manutenção dos dados. Figura 3 – A análise de riscos Crédito: AZVector/Shutterstock. Um dos riscos que certamente será mapeado é o vírus. O vírus é um software executável que pode alterar os dados ou até mesmo causar sua total destruição. Uma evolução desse tipo de software malicioso são os malwares, que têm como finalidade o roubo de dados. Os vírus representam grande ameaça à segurança das empresas, o que impacta em grande investimento em 6 medidas de segurança, e isso nem sempre é feito adequadamente. Assim, muitas empresas acabam ficando vulneráveis a essas ameaças, em função da limitação do investimento adequado nas ferramentas necessárias para a efetividade de seu sistema de segurança. A evolução e mudança das tecnologias também é um fator a ser considerado na análise dos riscos, pois o processo de mudança também se reflete no surgimento de novas ameaças, além da mudança nas ameaças já mapeadas, tornando-se um processo contínuo. Portanto, apenas a instalação de um software antivírus poderá se tornar uma medida obsoleta com a evolução dos vírus, sendo necessária a atualização desse software. Isso implica em investimento contínuo, com um contrato de manutenção dessa ferramenta. Outros riscos presentes na rede são os ataques dos hackers, que utilizam ferramentas tais como os cavalos de Troia ou farejadores de pacotes de rede, chamados de sniffer. Estes fazem a captura dos pacotes trafegados pela rede, buscando obter dados que possam ser utilizados pelos hackers para ganhos financeiros, por exemplo. Outro tipo de risco que pode ser explorado pelo hacker são servidores ou serviços mal configurados, permitindo que, por meio de ferramentas de varredura de serviços, chamados de port scan, possam ser identificados e explorados, para a obtenção de um acesso indevido pelo atacante. Outros riscos são o roubo de identidade (spoof), a quebra de senhas (password cracking) e a engenharia social. A engenharia social compreende as ações que visam convencer o usuário a fornecer as informações críticas, que possibilitarão ao hacker obter dados sensíveis do usuário, tais como credenciais de acesso aos sistemas. Em relação às medidas de segurança, a primeira recomendação está associada às senhas de acesso aos sistemas. Todos os usuários devem utilizar as chamadas senhas fortes, uma combinação de letras, números e caracteres especiais, para dificultar um ataque de tentativa e erro. Outra recomendação associada às senhas é a sua manutenção e registro, não devendo ser anotadas em algum lugar onde possam ser conhecidas por outros usuários. Além disso, devem ser modificadas periodicamente. Quando for necessária a transmissão de senhas, como no caso do acesso a um sistema por meio da rede, devemos nos certificar que ela está sendo criptografada pelo sistema de comunicação. Caso contrário, não havendo certeza de que existe 7 um mecanismo de criptografia sendo utilizado no acesso, deve-se evitar o acesso a esse sistema remotamente, principalmente por meio da internet. Outro fator de risco para a segurança dos ativos de informação são as atitudes dos usuários e colaboradores da empresa, sendo este certamente o maior desafio na implementação da segurança de ativos em uma corporação. Uma das medidas básicas associadas aos usuários é que o acesso às informações estratégicas da empresa deve ser restrito aos colaboradores que realmente necessitam utilizar essas informações. Além disso, é necessária a elaboração de uma política de capacitação dos usuários, para que possam utilizar os sistemas adotando as medidas necessárias para garantir a segurança dos dados que irão manipular. Essa capacitação estará baseada nas normas e procedimentos estabelecidos na política de segurança da empresa.Outra ameaça associada aos usuários são os e-mails, que poderão conter ameaças à segurança dos dados. A abertura de um e-mail contendo um malware poderá desencadear um ataque aos sistemas, ou permitir que o hacker obtenha acesso à rede ou ao equipamento do usuário. Normalmente esse tipo de ameaça é enviado por meio do mecanismo de spam, visando atingir o maior número de usuários possíveis, aumentando a probabilidade de sucesso do ataque ou da invasão do sistema. Assim, um dos mecanismos básicos para esse tipo de ataque são as ferramentas antispam. No entanto, além do uso dessas ferramentas, é necessária a conscientização dos usuários para que não abram e-mails vindos de fontes desconhecidas ou que caracterizem um spam. Estudos apontam que até 70% dos usuários que recebiam um spam acabavam abrindo-o, e até mesmo repassando-o, mesmo se tratando de informações não verídicas. Um dos cenários explorados por esse tipo de mecanismo é, por exemplo, em um momento de altos índices de desemprego, o envio de e-mails anunciando vagas de trabalho, direcionando os usuários para sites falsos, que solicitarão dados pessoais desses usuários. Esse é um exemplo clássico de utilização da chamada engenharia social. Portanto, além da criação das políticas de segurança, criadas a partir do mapeamento de seus processos e ativos de informação, existe a necessidade de um trabalho de conscientização dos colaboradores, para que estejam cientes de suas responsabilidades e consequência de suas ações. 8 A segurança física dos sistemas é outro elemento do sistema de segurança de ativos que por vezes acaba sendo negligenciada pelos administradores. A falha da segurança física ocorre quando qualquer colaborador pode ter acesso a todos os recursos e informações da empresa, não existindo a implementação de um controle de níveis de acesso. Esse tipo de falha poderá permitir até mesmo o roubo de equipamentos. Assim, os mecanismos de segurança física deverão garantir que o acesso físico fique restrito ao sistema que cada usuário realmente precisa acessar. Também deverá ser implementado o sistema de backup das informações, que poderá ser utilizado para restaurar as informações, em caso de ocorrência de algum desastre que leve à perda desses dados. Assim, as organizações que já possuem um mapeamento de todos os seus sistemas de geração de informação de dados e que já conseguiram determinar as funções de cada um dos colaboradores poderão definir quem terá acesso aos dados e qual o nível de acesso. Outros aspectos a serem definidos são o tipo de transação que cada usuário pode realizar, quais são os níveis de aprovação dos processos, tal como quem poderá aprovar um contrato. Por exemplo, quem faz o acesso aos arquivos utilizando assinaturas digitais, quem pode fazer transações bancárias, quais são os níveis transação para determinados valores financeiros etc.. Por fim, teremos os modelos de segurança e análise de riscos, que podem ser realizados via software. Este seria um modelo baseado apenas em uma aplicação sendo utilizada para a segurança de todos os dados e informações. Por outro lado, via hardware representa um nível maior de segurança, pois seria necessário um acesso físico aos sistemas de segurança das informações. No entanto, a combinação entre os dois modelos, software e hardware, seria a mais forma mais indicada para assegurar a segurança, pois teríamos uma primeira camada, via software, para garantir a segurança no manuseio de dados, e uma segunda camada, hardware, garantindo um mecanismo de restrição de acesso aos dados e dispositivos. Em ambos os casos, será necessária a configuração desses sistemas e dispositivos por um profissional especializado, tal como o administrador de rede, que é a pessoa indicada para essa finalidade. Sua responsabilidade é garantir que as regras de segurança sejam seguidas, além de manter o controle sobre todas as operações executadas com o uso da rede. 9 TEMA 3 – FIREWALL Um dos dispositivos empregados na segurança de ativos é o firewall, utilizado tanto nos computadores pessoais quanto na rede das diversas organizações, sendo o primeiro nível de segurança da rede. O firewall opera a partir de um conjunto predeterminado de regras, para que seja assegurado o primeiro nível de bloqueio de ameaças vindas da rede externa, na conexão com o mundo web. No firewall, temos um sistema de proteção contra acessos não autorizados. Um acesso não autorizado não será apenas de um indivíduo que esteja tentando o acesso à rede, tal como um hacker, mas também poderá ser a tentativa de instalação de um programa. Assim, o firewall deverá determinar qual é a confiabilidade desses programas e quando esses programas podem causar danos aos diversos sistemas. Outro aspecto do funcionamento do firewall é o controle de acesso ao identificar as ameaças, tal como um programa malicioso, avaliando já na primeira camada se ele representa um risco efetivo para o usuário. Outra função do firewall, obtida por meio das opções de configuração de cada equipamento, é o controle de qual tráfego poderá passar por ele, seja interno ou externo. Dessa forma, somente o tráfego autorizado irá atravessar o firewall, e o administrador da rede poderá implementar um controle de acesso centralizado. A operação do firewall no ambiente corporativo também poderá incluir o controle de acesso para determinados sites, o que é feito a partir de um conjunto de regras que determina quem são os usuários e o que eles poderão acessar. Assim, ao acessar um computador na rede da empresa, com seu usuário e senha, o usuário poderá ser identificado pelo firewall, ao tentar fazer um acesso à rede externa, que identificará quais são os aplicativos permitidos e quais as regras para o uso daquele sistema, para cada um dos usuários. O firewall permite controlar os serviços e aplicações permitidos, tais como aplicações de compra ou venda, quais páginas podem ser acessadas, entre outras. O firewall também faz o controle do fluxo dos serviços, que examinará qual o tipo de serviço está sendo acessado e em qual direção está acontecendo esse acesso. Assim poderemos ter a permissão de determinado serviço para os usuários da rede interna, mas esse mesmo serviço será bloqueado se a requisição vier da rede externa. Um exemplo clássico é o 10 serviço de acesso à web, que poderá ser permitido para todos os usuários da rede interna, que irão acessar os sites da internet. No entanto, esse tipo de tráfego será bloqueado caso seja solicitado por um usuário da internet em direção à rede interna da empresa. Já o controle de comportamento do tráfego determina como o serviço deve ser utilizado e por qual usuário pode ser usado. Por exemplo, uma aplicação de acesso ao sistema financeiro pode ser permitida apenas para colaboradores de determinadas áreas da empresa e apenas no horário comercial. Portanto, o firewall é o nosso primeiro nível de segurança, sendo uma barreira física entre a rede interna e a rede externa, devendo ser configurado para implementar as regras da política de segurança da empresa. Quanto à sua implementação, temos três tipos de firewall, que são: • filtragem de pacotes; • gateways de aplicação; • gateways de circuito. O equipamento de firewall é constituído de um hardware, dedicado preferencialmente para essa finalidade, que será o gateway da rede. Esse hardware deverá ser instalado em um ponto da rede de modo que todo o tráfego entre a rede interna e externa passe por meio dele. Para que o tráfego realmente seja encaminhado para o firewall, é necessário que todos os computadores da rede estejam configurados tendo o firewall como o gateway da rede. Para garantir a segurança do próprio firewall, é necessário que seja implementado com um hardware adequado, seguro e executando um sistema operacional confiável e estável.Sendo configurado como o gateway da rede, ele poderá interconectar as redes internas, chamadas sub redes, permitindo o controle de tráfego entre elas. Assim, o firewall poderá, por exemplo, bloquear o tráfego dos usuários da área administrativa para que não tenham acesso aos recursos da rede da área financeira ou de RH. A implementação básica do firewall é a filtragem de pacotes, que irá analisar todo o tráfego que representa as transações que ocorrem por meio da rede, cuja informação está contida nos pacotes que entram e saem dela. Quando uma estação da rede interna faz o acesso a um servidor web externo, teremos um pacote saindo para a rede externa, contendo essa solicitação. E quando o servidor envia a resposta, podemos ter diversos pacotes que 11 conterão as diversas partes da página web solicitada, que estarão vindo da rede externa para a rede interna. Ou seja, todo o tráfego de rede estará sempre contido em um ou mais pacotes, que serão trafegados pela rede. Figura 4 – A filtragem de pacotes Outra forma de implementação do firewall é como gateway de aplicação, em que o tráfego entre uma estação de trabalho na rede interna e uma estação na rede externa irá passar por esse gateway. Este irá operar na camada de aplicação, examinando qual tipo de serviço está sendo executado, qual tipo de dados está sendo trafegado, quais são os pacotes enviados e recebidos e qual tipo de transação está sendo efetuada. Figura 5 – Gateway de aplicação Na operação do firewall como gateway de circuito, em que o equipamento também estará posicionado entre a entrada e a saída da rede, teremos as transações sendo modificadas em relação às portas que estão sendo utilizadas para o encaminhamento de tráfego. Assim, poderemos ter 12 diversas combinações entre as portas de entrada e saída, de modo que a cada nova conexão com a rede externa o firewall abrirá uma nova porta de conexão, que é fechada após o processo de transmissão dos dados. Esse modelo aumenta a segurança da rede, pois as portas estão sendo mudadas constantemente em sua conexão externa, dificultando a tentativa de invasão do hacker. Figura 6 – Gateway de circuito Temos a implementação do firewall incluindo também a função de Proxy da rede. Nesse modelo, todo o tráfego é encaminhado primeiramente para o Proxy, que irá verificar as permissões do usuário e qual serviço está tentando acessar. Caso tenha permissão para realizar essa operação, os pacotes serão encaminhados para o roteamento e então para a rede externa. O tráfego de retorno da rede externa será examinado pelo firewall, conforme visto nos modelos anteriores. TEMA 4 – SISTEMAS OPEN SOURCE Muitas das ferramentas utilizadas atualmente em sistemas de segurança são baseadas nos sistemas de código aberto, chamados de open source. Um dos sistemas operacionais open source mais conhecidos e utilizados é o Linux, distribuído no modelo chamado de GNU. A disseminação das plataformas de código livre se deve ao fato de que o desenvolvedor poderá modificar a estrutura básica do sistema, adequando à sua necessidade. Outro aspecto fundamental da disseminação dessas plataformas é que não existe o custo de 13 licenciamento, ou seja, não requerem pagamento, sendo, portanto, softwares livres. Uma das principais características dos sistemas Linux é sua reconhecida estabilidade, pois trata-se de um código que foi desenvolvido inicialmente para computadores de grande porte, sendo posteriormente adequado para computadores com menores recursos. Esta é uma das outras grandes vantagens do Linux: não exige grandes recursos de hardware para sua instalação e operação. O sistema Linux permite maior controle de seus processos internos, o que aumenta sua eficiência em sistemas de segurança, pois o controle do tráfego é um requisito básico de um sistema da firewall, por exemplo. Como essa plataforma é amplamente utilizada pelos desenvolvedores de ferramentas customizadas, existem diversas comunidades que compartilham suas experiências e soluções desenvolvidas, formando uma grande rede de suporte, sem custos. Em função das características da grande flexibilidade, alta eficiência, possibilidade de customização e baixa exigência de hardware, os sistemas baseados em Linux foram amplamente disseminados no desenvolvimento de sistemas de segurança, o que também levou à formação de uma ampla rede de suporte e compartilhamento de informações e soluções. Assim, o investimento no desenvolvimento dos profissionais nessa área poderá ser reduzido, pois a ampla rede das comunidades de desenvolvedores permite essa capacitação com acesso gratuito aos conteúdos. Mas certamente a flexibilidade das plataformas open source é o fator de sucesso da disseminação de seu uso, em especial nas soluções de segurança, pois permite ao desenvolvedor elaborar a solução adequada para o cenário de sua empresa, com todas suas particularidades. Todavia, temos alguns pontos negativos na utilização dos sistemas open source. O primeiro deles é a dificuldade na configuração, pois sua flexibilidade, ao mesmo tempo em que permite elaborar uma solução customizada, exige grande conhecimento, pois a configuração é feita por meio de comandos específicos, sendo necessário conhecê-las e dominá-las. Assim, para que o profissional consiga atingir o nível de conhecimento necessário, será preciso um alto investimento na capacitação. Portanto, essa mão de obra especializada não é tão fácil de encontrar no mercado, o que pode representar um alto custo na contratação desse profissional. Ademais, como as tecnologias e ameaças 14 sofrem mudanças constantes, será necessário um investimento contínuo na capacitação do profissional, para que esteja apto a atualizar as soluções desenvolvidas. TEMA 5 – SISTEMAS DE DETECÇÃO DE INTRUSÃO Os sistemas de detecção de intrusão, chamados IDS (Intrusion Detection System), realizam a monitoração de segurança em tempo real, atuando de maneira complementar ao firewall. Não podemos esquecer que precisamos utilizar também as ferramentas de segurança de primeiro nível, a serem instaladas nos terminais dos usuários, que são os softwares de antivírus. Assim, o IDS irá complementar o sistema de segurança das empresas. Sua função básica é detectar atividades suspeitas, o que é feito pela análise do tráfego da rede, buscando identificar padrões que caracterizem algum tipo de ataque, de invasão física ou até mesmo o reconhecimento dos softwares maliciosos que buscam o roubo de informações. O IDS opera baseado na execução de uma aplicação que fará a análise dos pacotes que trafegam pela rede, mas a identificação dessas ameaças será feita baseada em padrões conhecidos. O grande desafio é executar essa tarefa em tempo real, não afetando o tráfego da rede. Dessa forma, o IDS deverá examinar o tráfego interno, pois um malware que consiga passar pelo firewall poderá executar uma ação maliciosa na rede interna, e assim o IDS terá a responsabilidade de detectar a ameaça. O IDS deverá também examinar o tráfego que vem da rede externa, pois existem ataques estruturados que podem ser feitos por um hacker, a partir da internet, e poderá não ser detectado pelo firewall. Neste caso, novamente, a detecção deverá ser feita pelo IDS. A análise do tráfego é feita pelo IDS de três formas diferentes: • signature detection; • behavior detection; • protocol anomaly detection. No modelo de detecção de assinatura (signature detection), é feita a busca de padrões típicos de códigos que caracterizam uma ameaça à segurança da informação. Para isso, o IDS deverá ter uma base de dados dos padrões de ameaças, buscando identificar se algum deles está presente no 15 tráfego examinado. Portanto, a base de dados deverá ser atualizada constantemente, pois novas ameaças são geradas todos os dias. Tal modo deoperação é bastante similar aos softwares antivírus, que também examinam os arquivos buscando identificar padrões que caracterizem uma sequência de código malicioso. Assim, a grande limitação desse modelo é a necessidade de manter um banco de dados atualizado de todos os padrões, que são as chamadas assinaturas. Quanto maior o banco de dados, maior será o tempo de processamento do IDS. Outro modelo de operação é a detecção de comportamentos que caracterizam uma ameaça à segurança, chamado behavior detection. Por exemplo, uma quantidade muito grande de requisições de acesso para um determinado servidor, em que as credenciais do usuário não estão sendo validadas, poderá caracterizar uma tentativa de acesso indevido, na qual o atacante está tentando descobrir quais são as credenciais válidas de certo usuário. Portanto, esse é um modelo de operação dinâmico, pois terá que avaliar as requisições feitas em determinado intervalo de tempo, comparando as transações. O modelo se demonstra mais eficiente que a simples detecção de assinaturas, pois uma requisição de acesso com as credenciais de usuário e senha será um padrão comum de rede, mas diversas requisições mal sucedidas em um curto intervalo de tempo caracterizarão uma tentativa de invasão. Outro modo de operação do IDS é por meio da análise dos pacotes e sua comparação com o padrão esperado para cada tipo de tráfego, de acordo com o protocolo que está sendo utilizado para aquela comunicação. Esse modelo é chamado protocol anomaly detection. Ele permitirá identificar uma ameaça que eventualmente não seja detectada por uma análise de assinatura ou do comportamento esperado do tráfego, sendo complementar aos outros dois modos de operação. Um exemplo de ataque baseado na alteração do protocolo HTTP foi o malware conhecido como code red, e, neste caso, apenas um IDS que esteja operando no modo de detecção de anomalias de protocolo detectaria essa ameaça. 16 NA PRÁTICA Nesta aula, vimos os possíveis mecanismos e ferramentas que podem ser empregados para implementar os diversos níveis de segurança e fizemos o levantamento do grau de investimento necessário para colocar em prática a política de segurança, a fim de garantir a proteção e a privacidade dos dados. A partir daí, é necessário definir quais são os caminhos, ferramentas e iniciativas que devem ser utilizadas para implementar uma política de proteção e privacidade realmente eficiente. Para isso, podemos elaborar um checklist de segurança, levantando os seguintes pontos: • Quem são os envolvidos nesses processos? • Quais são os softwares existentes? • Qual é o hardware envolvido e qual é a segurança física desejada? • Quais são as medidas preventivas? Apenas a adoção de medidas de segurança física e de pessoal pode ser insuficiente para garantir um processo efetivo de segurança. Assim, é necessário o uso de softwares e hardwares. Atualmente existem diversas ferramentas que podem ser empregadas para implementar as medidas preventivas e reativas, de forma que, caso haja uma falha, medidas sejam tomadas para bloquear a ação da ameaça. FINALIZANDO Feita a análise de toda a estrutura organizacional da empresa, mapeados os ativos de informação e definidos os requisitos de segurança, deveremos avaliar quais são as soluções tecnológicas que possam atender aos requisitos da política de segurança. Em seguida, identificadas as opções disponíveis no mercado, é necessário realizar o levantamento dos custos envolvidos para a implementação de cada uma delas, sendo que esses custos podem envolver a aquisição de hardware, de software e de mão de obra para instalação e configuração. Além disso, esses custos relacionados ao pessoal 17 especializado podem representar um custo recorrente, dependendo das soluções adotadas. A escolha pela solução a ser adotada estará baseada na avaliação de qual é efetivamente o valor dos ativos de informação para a empresa. Assim, uma operação que tenha um alto grau de dependência de sua base da dados, ou ainda, que tenha um processo de negociação baseado na comunicação de dados, certamente justificará maior investimento nas soluções de segurança. Contudo, por mais que as empresas ainda não tenham esse ato grau de digitalização dos processos, certamente elas o terão em um futuro muito próximo, de forma que a análise dos investimentos em sistemas de segurança dos ativos de informação deve ser incluído com a maior brevidade possível em seus planos de investimento. Caso contrário, a empresa poderá ser forçada a adotar medidas de segurança sem planejamento prévio, em função de um ataque, e esse investimento poderá ser muito mais alo do que o que seria realizado em um sistema de segurança preventivo. SEGURANÇA DE ATIVOS AULA 3 Prof. Luís Rohling CONVERSA INICIAL Para a elaboração das medidas de segurança dos ativos, temos que realizar uma análise dos riscos e das vulnerabilidades dos sistemas utilizados no negócio. Essa análise poderá ser realizada com base no mapeamento de todos os elementos e pessoas envolvidos nos processos de negócio da empresa e a verificação de quais são os riscos associados a cada um deles. E temos também as metodologias a serem adotadas para a análise desses riscos, respaldadas pelo conjunto de boas práticas a serem adotadas nesse processo. Em uma primeira etapa do processo de elaboração da segurança de ativos, teremos a identificação das vulnerabilidades, das possíveis ameaças, da probabilidade de elas acontecerem, dos impactos nos negócios e processos e as possíveis alternativas para a mitigação dessas ameaças. As vulnerabilidades encontradas nos sistemas podem estar associadas às questões de pessoal ou inerentes ao próprio sistema. Assim, um sistema poderá estar altamente vulnerável às possíveis ameaças por falhas na sua estrutura de codificação, que podem ser originadas por não ter sido utilizado o sistema de codificação adequado, ou a metodologia correta, ou ainda uma linguagem de programação vulnerável a ataques. Desse modo, o ataque de um hacker ou a ação de um vírus poderá identificar e explorar essas vulnerabilidades do sistema, conseguindo o acesso a ele. Além da identificação e quantificação das possíveis ameaças, também é necessário avaliarmos quais são as probabilidades de essas ameaças efetivamente acontecerem. Um exemplo de ameaças bem conhecidas e que têm se manifestado regularmente são os vírus e cavalos de troia, que representam ameaças permanentes aos diversos sistemas, presentes nas redes externas. No entanto, além dessas ameaças, temos também as ameaças internas. Essas poderão também incluir o roubo de dados, causado pela falta de um sistema efetivo para garantir a confidencialidade das informações. E essa confidencialidade dos dados deverá ser definida claramente na política de segurança da empresa. Uma falha na aplicação da política de segurança quanto à confidencialidade dos dados, ou até mesmo uma falha da própria política de segurança em relação a esta questão, representará uma vulnerabilidade crítica. O último item do processo de segurança de ativos é a identificação das alternativas para a mitigação das ameaças, que deverão ser avaliadas após a 3 realização do processo de análise das vulnerabilidades, mapeamento das ameaças e da probabilidade de ocorrência dessas ameaças, e, com base nisso, identificar quais serão os impactos de uma falha de segurança no processo de negócio da empresa. Assim, o processo de análise de riscos tem como objetivo mapear e tratar adequadamente as ameaças e as vulnerabilidades do ambiente, identificando os riscos e quantificando o impacto das ameaças, de forma a buscar um equilíbrio financeiro entre o impacto do risco e o custo da contramedida necessária. TEMA 1 –VULNERABILIDADES A análise de vulnerabilidades deverá ser realizada em todo o âmbito da empresa, incluindo todos os setores envolvidos no negócio, a sua estrutura e os seus processos. As vulnerabilidades, por definição, são as falhas existentes nas tecnologias, ambientes, processos ou pessoas. Uma primeira análise deverá ser realizada em relação aos equipamentos e tecnologias empregados, avaliando a eficiência, a forma da estrutura tecnológica empregada, como o processamento dos dados é realizado e deverá incluir também todos os demais fatores tecnológicos que impactam na operação da empresa e nos processos associados à sua atividade-fim. Quanto ao processo de análise de vulnerabilidades associadas ao ambiente, deverão ser considerados todos os espaços em que as equipes estão alocadas e sua estruturação. Esse ambiente empresarial incluirá todas as equipes e sua estrutura organizacional e todos os que estejam envolvidos nos processos associados ao fluxo de dados entre os diversos setores da empresa. Também deverá contemplar as equipes envolvidas no tratamento dos dados tanto no ambiente interno quanto no ambiente externo. O outro componente a ser analisado quanto às possíveis vulnerabilidades é aquele associado aos processos. Nesse aspecto, deverão ser considerados todos os processos existentes ao longo do tempo de vida da empresa, bem como o ciclo de um processo dentro de uma empresa. Essa análise incluirá também as questões burocráticas, a definição de metas e a identificação do grau de importância de cada setor em um processo. Nas teorias dos processos administrativos, temos os chamados gargalos dos processos, que representarão uma vulnerabilidade, por exemplo. Esses gargalos poderão ser identificados ao se realizar uma análise do ciclo da informação, identificando-se quem está 4 gerando uma informação e quem está tendo uma demanda de trabalho excessiva, quem está sendo sobrecarregado e, por esse motivo, deixando de produzir um resultado eficaz. Essa análise de processos é obtida com base na elaboração de um mapeamento de todo o ciclo do processo, identificando-se as pessoas e os setores envolvidos. Em paralelo a esse mapeamento, pode-se realizar uma análise de toda a demanda de trabalho gerada para os diversos setores. Assim, é possível controlar o direcionamento das demandas adicionais de atividades burocráticas, mantendo-se um controle que irá garantir que as necessidades da empresa, em relação ao fluxo de informação, sejam atendidas de uma maneira efetiva e precisa. Alguns exemplos de vulnerabilidades que podem ser encontradas nas empresas são: a falta de treinamento de funcionários, o bug em software, a falta de manutenção de hardware, a falta de extintores de incêndio, a inexistência ou um controle de acesso inadequado, entre outros. Nesse conjunto de exemplos, podemos identificar diversas falhas e vulnerabilidades relacionadas à questão de pessoal e de estrutura, sendo que todas essas ameaças devem estar sendo mapeadas dentro de seu contexto nos processos de negócio da empresa. O processo de análise de vulnerabilidade tem então por objetivo verificar a existência de falhas de segurança no ambiente, sendo esta uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos da instituição. Como exemplos de controles, podemos ter os controles associados ao fator pessoal, que definem quais são as pessoas que podem ter acesso a determinados níveis de informação e a determinado conjunto de dados, quais são pessoas que podem manusear determinados dados, ou ainda, quem são os responsáveis pela coleta de dados, para criação ou geração dessa nova base de informação. A vulnerabilidade associada aos controles e ao processo de definição destes controles consiste em um mapeamento desses processos, definindo como será o fluxo de dados dentro da empresa. E esse fluxo deverá ser estabelecido de forma a garantir que a análise e o tratamento dos dados sejam feitos de forma correta. No processo de análise de vulnerabilidades, deverá ser realizada uma verificação detalhada do ambiente da instituição, para avaliar se esse ambiente fornece as condições de segurança compatíveis com a importância estratégica dos serviços realizados. Essa análise deverá 5 compreender as tecnologias, os processos, as pessoas e os ambientes. A análise do ambiente empresarial e de sua estrutura de pessoal deverá compreender diversos fatores, incluindo o processo de transição de dados entre os departamentos, principalmente em uma empresa de grande porte, como é a atuação do pessoal envolvido nesse fluxo, em relação à comunicação, bem como as ferramentas empregadas, principalmente quando se trata de uma transação financeira. Portanto, o processo de análise de ambiente será necessário até mesmo para que se faça um mapeamento físico da empresa ou que se estabeleça de maneira clara o fluxo de dados dentro da empresa, permitindo que a transição de informações ocorra de maneira mais organizada. Por exemplo, fazendo-se a análise de um repositório de dados e identificando qual será a última instância de decisão, poderá se estabelecer que aquela informação realmente é a decisão final, evitando-se dúvidas e questionamentos sobre a validade da informação. Uma vulnerabilidade na computação significa a existência de brecha em um sistema computacional, que também é chamado de bug. Como exemplo de um bug, poderíamos ter um cálculo feito de forma errada em uma determinada planilha, que foi alimentada com os dados e valores corretos. Assim, por mais que ela contivesse os valores corretos, como ela possui um bug, que seria uma fórmula confeccionada de maneira errônea, poderíamos ter consequências desastrosas para a atividade-fim da empresa. Se considerássemos, por exemplo, que em um departamento responsável pelo controle de entrada e saída de produtos, com base nos valores obtidos da linha de produção, ocorresse um lançamento errado nos dados das contas, de entrada ou de saída, poderia ocorrer erro de grandes proporções no resultado financeiro da empresa, e que poderia ser difícil de rastrear. O processo de análise de vulnerabilidade inclui, então, a análise do fluxo de informação, desde sua geração até a sua utilização. Isso inclui a análise de como a informação é compartilhada entre os setores da organização, como ocorre o tratamento desses dados e se esse processo é feito de forma correta. Assim, é necessário avaliar como essa informação é trabalhada, desde que a informação é gerada e ao longo de todo o seu fluxo. As pessoas também são ativos da informação, pois executam processos, o que leva à necessidade de também serem analisadas nesse contexto. Como elas podem apresentar também pontos falhos, é de fundamental importância conhecer todos os 6 envolvidos no processo e como deverão ser tratadas, de forma que tenham pleno conhecimento de suas responsabilidades em relação à segurança. Portanto, temos uma falha de segurança quando um colaborador desconhece a importância da segurança, bem como de suas obrigações e responsabilidades, e comete uma falha em um determinado processo que possa gerar graves consequências. Por exemplo, se uma pessoa que é responsável por fazer o levantamento do controle de estoque de um setor não o fizer corretamente, poderá ocasionar uma falha grave na linha de produção, por falta de insumos que foram contabilizados incorretamente. Outro componente a ser analisado quanto à sua vulnerabilidade é o ambiente, que inclui o espaço físico em que os processos são executados e onde as pessoas que fazem parte desses processos executam suas atividades. Assim devem ser analisados os espaços onde estão instalados todos os componentes de tecnologia, cobrindo toda a área física em que estão esses recursos. As principais vulnerabilidades associadas ao ambiente
Compartilhar