Os Desafios do processo de Segurana da Informao, diante das Vulnerabilidades a serem enfrentadas pelos Gestores de TIC (Tecnologia da Informao e Comunicao).

Cesar Leon Castelo Branco (leon.fmn@gmail.com) Alexandre Brito (ab_brito@ig.com.br) Fbio Barbosa (fbllbarbosa@gmail.com) Mrio Augusto (mario.microsiga@hotmail.com) Pedro Belarmino (pedrobsjunior@gmail.com)

Business School Maurcio de Nassau

Ps-Graduao Lato Sensu em Gesto em Tecnologia da Informao

Recife Novembro/2012

Resumo
Este artigo apresenta, de forma sinttica, uma viso abrangente dos principais desafios a serem enfrentados pelos Gestores de TI (Tecnologia da Informao), com base nos debates e esclarecimentos efetuados em sala de aula, no curso de Ps-Graduao em Gesto e Tecnologia da Informao na disciplina de Gesto de Risco, ministrada pelo facilitador Prof. Evandro Curvelo Hora. Diante dos debates em sala de aula, nossa percepo, que podemos salientar, relaciona-se ao fato, que muito do que foi mostrado e discutido em sala de aula, j faz parte do nosso dia a dia. No entanto, serviu para evidenciar alguns alertas, quanto aos riscos que estamos sujeitos, isto , as Vulnerabilidades expostas em nossas corporaes/instituies. Geralmente, equivocadamente relacionamos a Segurana da Informao, como sendo um conjunto de aes que contribuam para garantir e assegurar que h um efetivo controle dos riscos, ou melhor, dizendo: das ameaas. Todavia, ter em mente que somente utilizarmos poderoso antivrus ou um firewall de ltima gerao, no garantir que as nossas instituies estaro protegidas, contra as ameaas cibernticas. O uso de ferramentas como nico meio de obter segurana um dos equvocos mais comuns no que se refere Segurana da Informao. Embora as ferramentas tenham um expressivo papel de importncia para garantir o objetivo desejado. Contudo, tambm devemos dar ateno aos outros aspectos, tais como: a) Procedimentos normatizados; b) Investimento na contratao de profissionais ou empresas competentes para prestao de servio; c) Capacitao de colaboradores; entre outros. Outro aspecto importante est relacionado s limitaes das denominadas Ferramentas de Segurana, pois, elas por si s, geralmente no atuam diretamente sobre as Vulnerabilidades e dependem da qualidade do elemento humano para a efetividade dos seus objetivos. um equvoco acreditar que a aquisio de uma ferramenta, represente a soluo definitiva para os problemas relacionados Segurana da Informao. Considerando as boas prticas, que nem sempre so observadas na maioria das corporaes, podemos afirmar que tem um papel relevante no sucesso de qualquer empresa, a implantao de uma Poltica de Segurana. Pois, nelas, podemos definir procedimentos, muitos deles, s vezes simples, mas com grande impacto na reduo dos riscos, por atuarem diretamente sobre as Vulnerabilidades. Alguns procedimentos, tais como: 1) Delegar o nvel de segurana das senhas aos usurios, de acordo com o papel exercido; 2) Oferecer funcionalidades restritamente necessrias ao desempenho das atividades; 3) Limitar os parmetros dos usurios; 4) Validar adequadamente as entradas de dados dos sistemas, entre outras..., podem ser decisivos na reduo dos riscos, considerando a necessidade de que a doutrina deva sempre permear todos os procedimentos adotados. Igualmente, sabemos que os riscos esto ligados diretamente a prejuzos, para isso precisamos minimizar as vulnerabilidades, reduzindo os riscos e mantendo disponvel durante o tempo necessrio, as atividades informatizadas da empresa. A anlise deste artigo no visa to somente disponibilizar informaes sobre os debates e esclarecimentos em sala de aula, dada pelo mestre (Professor Evandro Curvelo Hora), mas sobre tudo despertar aos que lerem este documento, sobre os desafios de implantar uma Politica de

Segurana efetiva, dando as reflexes sobre as garantias para proteo dos ativos de informaes que circulam na empresa.

Introduo
Parece que h um vrus solta na Internet... Com essa frase/mensagem, Andy Sudduth (MIT), em 03 de Novembro de 1988, deu incio a um marco para Segurana da Informao. A partir desta data, ficou evidente que no h nada 100% (cem por cento) seguro. Desde os primrdios, fato que a evoluo faz parte do desenvolvimento das nossas vidas e o homem o resultado desta evoluo. Com o advento de novembro de 1988, ocorreu uma mudana de paradigma que possibilitou rever procedimentos e normas implantadas nas empresas, relativo a garantir os ativos de informaes. Dentre os fatos debatidos, chamou-nos a ateno, importncia de se adotar medidas para garantir uma boa Poltica de Segurana, definindo regras e procedimentos que devem ser seguidos pelos usurios, bem como, pelos colaboradores da rea de TI, no intuito de manter os riscos em nveis aceitveis. No mundo corporativo, existem empresas que adotam o procedimento, no ato da contratao de um colaborador, de disponibilizar um manual administrativo, contendo as normas e procedimentos para serem seguidos pelo novo usurio, visando instru-lo os critrios adotados pela instituio, garantindo assim o uso adequado dos recursos disponibilizados, principalmente os computacionais (desktop, notebook, impressoras, roteadores, switches, entre outros). O colaborador ao ler e assinar o documento de adeso s normas, informado sobre suas obrigaes para a proteo e acesso informao, de acordo com o nvel de acesso dado. Neste momento, o usurio passa a ter cincia, do comportamento a ser adotado/esperado pela instituio. Os critrios so descritos, informando como o novo colaborador deve proceder no uso de computadores e perifricos de informtica, tais como: 1) Cpia indevida de software para uso exclusivo na corporao; 2) Instalao de software no oficial, considerado com pirata; 3) No permisso para alterao de parmetros de configuraes de equipamentos; 4) Bloqueio de acesso a perifrico (Exemplo: Pen drive); 5) Utilizao indevida de correio eletrnico (e-mail corporativo) para recebimento/transmisso de mensagens no relacionadas corporao. Por outro lado, assim como existem normas para colaboradores, a rea de TI tambm tem suas obrigaes, que a de manter sempre atualizado antivrus, controle de acesso, entre outros. Infelizmente nem todas as empresas dispe de auditores para verificar se o que est sendo feito est de acordo com a Poltica de Segurana. Ao elaborar uma Poltica de Segurana da informao, deve-se definir claramente que informao se pretende proteger, bem como devem ser considerados os aspectos relacionados ao negcio.

1.

Escopo Terico de Natureza Reflexiva

Os principais assuntos/tpicos balizadores deste artigo so apresentados neste captulo, tomando como ponto terico anlise da disciplina no que se refere: a) Aos assuntos desconhecidos

(novo aprendizado - Segurana); b) Aos tpicos que acrescentou experincias ou novas perspectivas sobre os assuntos abordados, sobre os assuntos de maneira especial, elencando aos seus motivos; c) Tpico especial IDS Sistema de Deteco de Intrusos; e por ltimo; d) A contribuio do debate para reciclagem / atualizao / crescimento de cada aluno (individual e profissional na rea de Gesto em TI), levando em considerao s discusses sobre os resultados obtidos e as observaes constatadas em sala de aula pelos participantes (grupo) e na documentao disponibilizada sobre o tema.

1.1.

Assuntos Desconhecidos (Novo Aprendizado Segurana).

O termo Segurana pode ser definido de diversas maneiras. Uma delas sustenta que a Segurana um conjunto de medidas a serem tomadas, visando proteger contras agentes maliciosos. Contudo, h vrios tipos de segurana, como por exemplo: Segurana Comunitria, Segurana Escolar, Segurana Privada, Segurana Condominial, entre outros. Todavia, a palavra Segurana um termo de significado diferente, dependendo do ponto de vista da pessoa ou da situao. Mas, independente do ponto de vista, tem como premissa em dificultar/impedir ocorrncias de eventos indesejados. Para tanto, necessrio identificar quais eventos indesejados, se deseja dificultar ou impedir, pois o simples fato de desejar ter algo seguro, no faz sentido. Neste contexto, trs perguntas so primordiais para entender o anseio daquele que deseja ser segura: a) Seguro contra o qu? b) Seguro contra quem? E por ltimo; c) Seguro em que condies? No ponto de vista de segurana da informao, que est relacionada com a proteo de um conjunto de dados, o sentido de preservar o valor que possuem para um individuo ou uma organizao. Sendo caracterstica bsica da segurana da informao os atributos de: Confidencialidade; Integridade; Disponibilidade, e por fim, Autenticidade. Em debate na sala de aula, fico definitivamente esclarecido que h uma convergncia entre: a) Ameaa; b) Vulnerabilidade; e o; c) Risco. Sendo a Ameaa um fato que pode ocorrer e acarretar algum perigo, de tal forma, que se tal fato, ocorrendo, ser causador de perda. Contudo, existem as Ameaas No Intencionais, decorrente de: a) Erros Humanos, b) Falhas em Equipamentos, c) Desastres naturais e principalmente por problemas em comunicaes. Diferente de outras Ameaas, como: Furto de informaes; Vandalismo e Utilizao de Recursos, violando as medidas de segurana. A Vulnerabilidade tem como definio a fraqueza existente que pode ser explorada por um acidente ou incidente, uma vez que est exposta a uma ameaa. Um exemplo tipo de uma vulnerabilidade pode referir-se ao um individuo que est com o sistema imunolgico deprimido, e eventualmente exposto a um ambiente biologicamente hostil (exemplo: Vrus e Bactrias) Ameaas. J no mbito corporativo, uma empresa que no possui um equipamento de nobreak, poder ser ameaada pela falta de energia, proporcionando a interrupo dos equipamentos e a paralizao das atividades profissionais. O aprendizado proporcionado pelo debate em sala foi que devemos preocupar-nos diretamente com a Vulnerabilidade, do que somente com as Ameaas. Pois, podemos avaliar as

nossas Vulnerabilidades, j as Ameaas, fogem ao nosso controle, pois somos incapazes de preve-las sistematicamente.

1.2.

Novas perspectivas sobre os assuntos abordados

Devemos considerar os Riscos, como a combinao matemtica para o seu clculo. Contudo, no existe uma definio de granularidade para o Clculo de Riscos, pois depende de: a) Experincia do corpo de tcnico; b) Expectativa do Cliente; c) Tipos de Riscos a serem avaliados; e d) Abrangncia da anlise. No relato a seguir, podemos avaliar a importncia da Anlise de Riscos em uma empresa que sem uma definio clara de uma Poltica de Segurana da Informao consistente, pode apresentar falhas e expor sua vulnerabilidade. Um exemplo disso, podemos evidenciar geralmente em diversas empresas, cuja rea de RH, especificamente na rea de Departamento de Pessoal, quando ocorre uma movimentao de pessoal, ou demisso e as informaes no so repassadas para o departamento de TI. Tal procedimento, certamente acarretar um grande risco, pois os funcionrios desligados, sem a comunicao prvia a rea de TI, podero causar algum tipo de prejuzo, como a destruio de informaes, copia ou alterao de informaes confidenciais, entre outros. Podemos relacionar outras Vulnerabilidades, decorrente da falta de uma Poltica, que resulta em prejuzo de vrias formas, como por exemplo: Impresses com dados confidenciais esquecidos na impressora; Impressoras localizadas em locais de fcil acesso; Acesso de pessoas no autorizadas; Informaes privilegiadas de fcil acesso; Liberao da internet a todos os funcionrios e tanto outras Vulnerabilidades. Com Polticas de Segurana adequada e adotada em todos os departamentos, podemos aumentar e muito a nossa segurana, trazendo credibilidade e tranquilidade para o negcio.

1.3.

Assunto Especial: IDS Sistema Detector de Intrusos

Muito se fala de IDS Sistema de Deteco de Intrusos, que se refere a meios tcnicos de descobrir em uma rede quando est tendo acessos no autorizados que podem indicar a ao de um hacker, ou funcionrios mal intencionados. No debate de sala de aula, ficou evidente que dependendo do tipo de negcio, a utilizao de mecanismos de identificao desses indivduos, no garantem a disponibilidade de acessos para os demais usurios, considerados bem intencionados. Uma intruso pode ser definida como qualquer conjunto de aes que procura ficar fora do que permitido pela Poltica de Segurana da empresa. Mas, como definir um intruso? O que seria tentar invadir uma rede? Um usurio que tenta acessar algum servio da rede que necessite autenticao e erra trs vezes consecutivas a senha, toda s vezes pode ser classificada como um intruso, e esta como uma tentativa de intruso?

Para poder diferenciar aes legtimas, de aes nocivas, necessria a definio de uma Poltica de Segurana, levando-se em considerao o fato de que a maioria dos mecanismos de segurana so implementadas com o objetivo de proteger a instituio dos ataques externos, muitos ataques ocorrem e muitas vezes no so notados; ou, quando o so, j tarde demais. Faz-se necessrio, um mecanismo que detecte os dois tipos de ataque uma tentativa externa ou interna. Um sistema de IDS eficiente deve detectar os dois tipos de ataques. O ltimo ponto, sobre IDS, passado em sala de aula, faz referncias aos provveis erros que podem acontecer ao sistema. Estes podem ser classificados como Falso Positivo, Falso Negativo e erros de Subverso. A saber: Falso positivo - ocorre quando a ferramenta classifica uma ao como uma possvel intruso, quando na verdade trata-se de uma ao legtima; Falso negativo - ocorre quando uma intruso real acontece mas a ferramenta permite que ela passe como se fosse uma ao legtima; Subverso - ocorre quando o intruso modifica a operao da ferramenta de IDS para forar a ocorrncia de falso negativo.

1.4.

Reciclagem / Atualizao / Crescimento Individual e Profissional

O curso de Gesto de Risco contribui significativamente para o aprendizado e o desenvolvimento profissional. Contudo, continuar a investir no aprendizado um dos pontos fortes do profissional ligado Segurana da Informao. A formao oferecida pelas Instituies de Ensino Superior (IES), no conseguem remeter ao crescente nmero de ameaas na internet. Exemplo maior: so as ineficincias dos cursos que no comtemplam o tratamento de vrus para celulares, ou a variedades de grampos telefnicos em tecnologia GSM, tipo de ameaas muito temidas por executivos e ataques nas aplicaes conhecidas como Web 2.0. As corporao no exigem que o profissional tenha habilidade para desbloquear um IPhone. Porm, importante que o profissional consiga desenvolver conhecimentos naquilo que no exigido pela instituio. Cada vez mais, haver exigncias do profissional que possa perceber as vulnerabilidades e propor solues que garantam disponibilidade dos servios prestados de TI a instituio, sem que haja degradao da Integridade e Confidencialidade das informaes. Para isso, investir continuamente no aprendizado o objetivo principal do profissional de segurana da informao.

2.

Concluses

Neste artigo ficam claras algumas percepes, dentre elas que ainda devemos percorrer um longo caminho para o processo de construo de uma mentalidade empresarial que esteja relacionado ao processo de construo de uma Poltica de Segurana que garanta-nos maior agilidade e eficincia nos processos de proteo dos ativos de informaes pertencente corporao. Como j foi visto em sala de aula e no referencial terico, e principalmente prtico (vivencia individual), ainda precisamos atingir uma maturidade que possa proporcionar resultados efetivos que garantam a segurana necessria, atravs da elaborao e apresentao de metas e resultados obtidos, confrontado com a realizao sistemtica de auditoria nos processos internos, cujo foco seja garantir a Confidencialidade; Integridade; Disponibilidade, e por fim, Autenticidade. As Organizaes no podem ser superestimadas nem subestimadas as ameaas que esto pairando ao nosso redor, incluindo-se a os Gestores de TI, que tem a responsabilidade de apoiar no desenvolvimento de Poltica de Segurana da Informao efetiva, que atendam as expectativas de negcio da instituio patrocinadora. Consideramos que as perspectivas diante do atual quadro podero confirmar um novo patamar na Gesto de TI, ressaltando que para isso de suma importncia da participao do grupo estratgico da empresa, que no poder ser desconsiderada neste processo.

3.

Referncias Bibliogrficas
1.

Gesto de Segurana 2011 Material Completo PDF Evandro Hora.