Professional Documents
Culture Documents
>>Sumrio
03 Desafio
Diante de um complexo cenrio de ameaas internas e externas, empresas esto lidando com uma espcie de terrorismo virtual, o que exige novas medidas de segurana
06 SOLUO
Com a crescente conscincia do valor da segurana, companhias comeam uma corrida para se equiparem com ferramentas de acesso seguro e manter a proteo do negcio
08 BENEFCIOS
Investimentos em tecnologia como a autenticao e verificao em vrios nveis podem mensurar o valor da Segurana da Informao quando chega o momento crtico
>>desafio
segurana
desleixados com a segurana. Um exemplo muito comum o de compartilhamento de senhas e logins, caso corriqueiro mesmo em nveis mais altos. A importncia de manter a estao de trabalho inacessvel para colegas de trabalho constantemente ignorada. O fator humano um grande agente nessa gama de fatores e a conscincia de um ambiente saudvel ainda precisa de uma generosa dose de informao. O problema a dificuldade de se analisar, na prtica, casos nos quais a falta de segurana se mostra danosa e palpvel ao negcio e, por tabela, aos prprios trabalhadores. importante tentar passar as polticas de segurana no somente como medidas restritivas, mas como necessrias ao bom funcionamento da companhia. Nesse contexto, a educao em relao proteo e suas responsabilidades que demanda uma maior ateno. Alm disso, as empresas no costumam deixar pblica a dificuldade enfrentada ao serem vtimas de ataques, impedindo o compartilhamento da informao. Cada uma quer manter o sigilo, pois, se divulgarem, o bandido vai acabar sabendo tambm, diz o professor Stephan Kovak. H ainda possveis danos marca e a credibilidade com consumidores, clientes e parceiros. Acaba sendo uma espcie de terrorismo virtual com o qual cada negcio precisa lidar sozinho. 5
Camadas de
o acesso legitimado ao site
mudana de foco no modo de lidar com a segurana em TI pode no ser muito otimista para as empresas, mas isso est longe de ser uma guerra perdida. Se por um lado preciso conviver com o fato de se estar sujeito a comprometimento na estrutura tecnolgica, por outro justamente o momento correto para procurar tomar decises mais objetivas e eficazes para manter a proteo do negcio. Afinal, se os bandidos procuram sempre o caminho mais fcil, a sada ento dificultar o mximo possvel o acesso. As polticas internas precisam ser bem alinhadas com o propsito de cada nvel de conexo, com diferentes restries e obrigaes de acordo com a necessidade. Essa ao mais fcil de adotar no prprio ambiente da empresa, mas com o uso de aparelhos mveis ou trabalho remoto, muito mais difcil de monitorar a sade dos equipamentos pessoais utilizados pelos funcionrios. Por conta disso, importante garantir meios adequados de autenticao com a utilizao de ferramentas como tokens (via hardware ou mesmo software, em celulares) e certificados digitais para a identificao correta do usurio. Mas e se um hacker, de alguma forma, tiver obtido informaes crticas como login e senha e estiver no comando do computador do usurio, como reconhecer que se trata de uma ao de um cibercriminoso e no de uma pessoa idnea? segurana na Conexo Alm dessas camadas de identificao tradicionais, 6
>>soluo
proteo
plugins podem ser acionados na prpria mquina a partir do site destinado. Eles realizam uma varredura no sistema, avaliando se o acesso possvel mesmo revelia do estado de contaminao das mquinas. Eles ainda avisam e bloqueiam no caso de um resultado positivo, embora no removam o malware como um antivrus. Isso fundamental para proteger o acesso, pois a ferramenta impede at mesmo uma tentativa de desvio de DNS - ou seja, quando o usurio coloca um link vlido, mas forado a ser redirecionado a uma pgina maliciosa de visual idntico com o intuito de roubar informaes silenciosamente. Com isso, a entrada no sistema legitimada e se torna possvel realizar operaes crticas livres de fraudes, sem a interceptao de hackers. Essa tecnologia de garantia de conexo pgina segura utiliza vrios nveis para permitir a entrada da mquina na rede (confira no box) baseada no reconhecimento. Caso seja identificada alguma ameaa, feita a localizao do usurio via IP. Esse rastreamento tambm pode ser feito com smartphones, utilizando o GPS do prprio aparelho, ou mesmo pela triangulao de antenas, no caso de celulares mais simples. Claro, tudo feito somente em caso de necessidade. A localizao do aparelho e do usurio confidencial, ento s utilizada no caso de desconfiana de fraude por parte da equipe de segurana. vrIos nveIs Para identificar a natureza do objeto suspeito, alm do escaneamento por ameaas, realizada uma anlise de comportamento do usurio. Por exemplo,
Ferramentas podem atuar em vrios nveis para identificar, localizar, bloquear fraudes e garantir
1 3 5 4
- o mdulo de gesto de componentes gerencia qual a configurao dos identificadores de mquinas e recebe informaes do bloqueador de monitoramento. Como um sistema integrado, ele tambm avisa quando um problema de segurana existe de forma persistente no aparelho utilizado para acesso.
- o bloqueador de monItoramento no um antivrus, mas consegue olhar a mquina para saber se h algum software malicioso para a captura de informaes. O plugin bloqueia a ao do malware (mas no desinstala) e avisa ao usurio e aos profissionais de segurana. Ele usa vrias tcnicas de identificao de aplicativos baseadas em assinatura, hashing e comportamento. A ferramenta constantemente atualizada para dar conta de novos tipos de ameaas.
- realIzada a anlIse de comportamento antifraude de posse dos dados de identificao do usurio e da rotina de acessos anteriores. Com o perfil traado, comparada a conexo para analisar se suspeita ou no. Funciona de modo semelhante ao de operadoras de cartes de crdito, que perguntam ao cliente se ele est realmente realizando compras fora do padro - no exterior, por exemplo. - na ltIma etapa, um time de pesquisadores analisa as ameaas que esto atuando no cenrio, identifica se h redirecionamentos de DNS e reporta organizao. Caso seja confirmada uma tentativa de fraude, efetuado o bloqueio rapidamente.
- o IdentIfICador de mquina fornece a informao em termos de localizao, alm de dados estruturais como sistema operacional, processador, RAM e nmero serial de placa. Essa ferramenta funciona inclusive em ambientes virtualizados.
pode-se detectar se ele est fora da regio de onde geralmente acessa o site, ou se est executando aes estranhas ao padro (como uma transao particularmente alta ou para vrias contas de terceiros, no caso de instituies financeiras). Ainda assim, informada a presena da suspeita e, caso nenhuma ao seja tomada por parte do usurio, o sistema de deteco passa a avaliar essa omisso tambm como um desvio de comportamento padro.
um modo de levar reatividade para tentar dar a maior credibilidade possvel conexo. Outra forma de identificao feita pelo aparelho em si. O sistema operacional pode fornecer vrias informaes distintas para serem utilizadas no reconhecimento, como a verso do software (e respectiva atualizao), a quantidade de memria e o nmero serial da placa, entre outras formas. De posse de todos esses dados, possvel observar se realmente a mesma mquina. Esse modelo de proteo estabelece uma nova fronteira de segurana, pois parte da exceo para identificao de autenticidade de acesso. A preocupao est em avaliar o volume de dados, comparando com a criticidade e apontando onde os profissionais de segurana devem atuar. Dessa forma, possvel tornar a conexo protegida independente do terminal utilizado. 7
>>benefcios
Autenticao em vrios nveis permite proteo na comunicao entre mquinas e at mesmo economia com diminuio de fraudes
certo incmodo em contratar planos de seguro para carros, pois esperamos nunca precisar us-los. Isso no significa que se deve procurar qualquer operadora, pelo contrrio: para se sentir realmente tranquilo, necessrio investir em bons contratos. Essa mentalidade no muito diferente quando falamos em Segurana da Informao, pois s possvel mensurar o valor dela quando chega o momento crtico. Infelizmente para muitos, essa hora pode ser tarde demais. Como a informao crtica tem valor completamente palpvel, os esforos para a proteo devem se concentrar nesse ponto. Para o profissional de TI, poucas coisas so mais desejadas no ambiente de trabalho do que poder contar com uma soluo robusta para assegurar toda a infraestrutura da empresa, permitindo um fluxo de negcios adequado demanda do mercado. Com uma tecnologia como a de autenticao e verificao em vrios nveis, as possibilidades tambm melhoram muito para a companhia. Alm de todas as medidas de segurana comuns, possvel ter a certeza de ter o acesso legitimado e seguro independente de haver uma contaminao na mquina utilizada. opes Com essas vantagens, a ferramenta pode ser aplicada em diferentes tipos de negcio. Um exemplo clssico em instituies financeiras como bancos. Com o sistema de deteco antifraudes, possvel obter sensveis melhoras no atendimento ao cliente via internet, com o auxlio de tokens e certificados digitais. Trabalhando com tudo isso em conjunto, possvel ainda estabelecer rotinas para serem avaliadas na anlise de comportamento. Dessa forma, se o usurio cadastra uma mquina, a soluo fica com as informaes de sistema operacional, processador e verso de software. Se houver uma movimentao fora do normal na conta, proveniente de outro Estado, por exemplo, um alerta dado para checar se esse tipo de ao procede de fonte realmente segura. Mesmo em se tratando de acesso via mobile banking, os mesmos tipos de procedimento podem ser realizados, incluindo o rastreamento via GPS ou triangulao de antenas de telefonia mvel. uma atribuio particularmente til at pela falta de proteo em smartphones ou tablets, aparelhos ainda com pouca ateno blindagem contra ataques.
Grandes instituies podem se valer da soluo dessa forma, diminuindo a incidncia de invases e ataques a correntistas sem precisar lidar com um comportamento pr-ativo por parte deles na hora de cuidar da sade das prprias mquinas. Isso acaba gerando economia em encargos judiciais, pois a legislao tende a proteger o usurio em caso de uma contaminao ter maculado o acesso ao banco na web, mesmo que a infeco tenha sido causada por omisso da pessoa e no da empresa. J para o varejo, de forma semelhante a instituies financeiras, a soluo pode ajudar a proporcionar transaes mais seguras no e-commerce para todos os tipos de situaes de sade de computadores. Alm disso, possvel estabelecer uma proteo contra roubo de informaes crticas, como carto de crdito ou dados bancrios. Isso evita tambm prejuzos econmicos, estratgicos e de imagem da empresa. Informaes sensveIs Nos Estados Unidos existe o Ato de Responsabilidade e Portabilidade do Plano de Sade (HIPAA, na sigla em ingls), sancionado em 1996 pelo ento presidente Bill Clinton. Essa lei protege, entre outras coisas, as informaes obtidas em exames mdicos, inclusive a identificao do paciente, garantindo a confidencialidade. O Brasil vai pelo mesmo caminho
SITuAES CARACTERSTICAS
fornece servios transacionais pela internet acesso web ou por VPN realiza transaes crticas (Risco X Volume X Frequncia) Movimentaes financeiras, compras online, aprovaes crticas, manipulao de informaes sigilosas; o usurio final pode utilizar vrios equipamentos para realizar transaes, como computador (prprio ou no), smartphone e tablets, ou mesmo em lan-houses o acesso s credenciais do usurio por um fraudador pode causar prejuzos financeiros, estratgicos ou imagem
9
CLIENTES POTENCIAIS
na busca por esses direitos na rea de sade e preciso estar preparado. Dessa forma, a ferramenta de proteo de acesso em mltiplos nveis pode ser aplicada tambm em laboratrios. Os sistemas dessas empresas necessitam de um nvel de segurana muito alto, como quando lidam com anlise gentica, por exemplo. Com a autenticao possvel permitir at mesmo a conexo remota para consultas. versatIlIdade Cdigos 2D criptografados podem tambm ajudar a autenticar documentos, como diagnsticos de laboratrios. Tambm chamados de QR Codes (veja figura acima), eles so como um cdigo de barras de produtos de supermercado, mas trazendo mais informaes. O usurio aponta a cmera do smartphone para o grfico e o l por meio de um aplicativo (tambm vinculado ao aparelho da mesma forma que o certificado digital em computadores), garantindo se o exame mdico, por exemplo, autntico ou denunciando se foi forjado em um ataque do tipo man-in-the-middle, no qual as informaes so interceptadas por terceiros. Empresas ou instituies de pesquisa podem se 10
Empresas que disponibilizem transaes para seus usurios (clientes internos e externos) pela internet: Bancos Corretoras de aes Empresas de e-commerce B2C e B2B Laboratrios de anlises genticas Empresas de rastreamento Indstria petroqumica Indstria blica Leiles e Concorrncias Empresas provedoras de software como servio para outras organizaes rgos governamentais que oferecem portais de servios Redes sociais pblicas ou privadas