Em outubro de 1997, foi realizada uma pesquisa com 206 empresas de grande porte, participantes do VI CNASI - Congresso Nacional de Auditoria e Segurança da Informação e do Ciclo de Seminários sobre "Trends in Intranet and Internet Security" promovido pela Módulo Informática. 

Em comparação com a pesquisa anterior de 1996 (132 empresas pesquisadas), os resultados e indicadores apontam um explosivo crescimento do uso de Internet nas empresas, passando de 29% em 1996 para 63% este ano. 

Da mesma forma, a adesão às Intranets também foi surpreendente. Em 1996, apenas 3% das empresas pesquisadas possuíam uma Intranet instalada. Hoje, este percentual saltou para 49%, sendo que 70% das empresas que ainda não migraram suas aplicações para a Intranet, pretendem fazê-lo em até um ano. 

No entanto, os investimentos em proteção e controle não acompanharam este crescimento. As empresas brasileiras encontram-se extremamente vulneráveis a ataques e invasões internos e externos, sendo que 82% delas não possuem uma Política de uso da Internet. Os riscos são realmente muito altos considerando que apenas 7% das empresas possuem um plano de ação documentado para casos de problemas, embora 12% já tenham sofrido algum tipo invasão ou ataque e 45% não sabem dizer se o foram. 

Neste cenário atual, vivemos hoje um grande paradoxo: o uso sério de aplicações em Internet e Intranet tem se inviabilizado devido aos graves problemas de segurança. Mas os números mostram uma irreversível (e irresistível) tendência para uso destas tecnologias na busca de ganhos de competitividade. 

Mas o que é Segurança da Informação?

Os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos. 

A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, maior controle sobre os recursos de informática e finalmente, viabilizar aplicações críticas das empresas. 

Alguns exemplos de aplicações bem sucedidas na Internet são o Internet Banking do Bradesco, as Eleições de 1994 e 1996 e o Projeto Receita Net, que alcançou a expressiva quantidade de quase 500.000 contribuintes que entregaram a declaração de renda via Internet. 

Ameaças e Vulnerabilidades

O uso de Internet nas empresas trouxe novas vulnerabilidades na rede interna. Se não bastassem as preocupações existentes com espionagem industrial, fraudes, erros e acidentes, as empresas precisam se preocupar agora com os hackers, invasões, vírus, cavalos de tróia e outras ameaças que penetram através desta nova porta de acesso. Para obter segurança em uma aplicação para Internet ou Intranet, é preciso cuidar de quatro elementos básicos: 

1. Segurança na estação (cliente)
2. Segurança no meio de transporte
3. Segurança no servidor
4. Segurança na Rede Interna 

Segurança na estação

No uso de Internet e Intranet, um dos elementos mais vulneráveis sem dúvida é a estação, onde normalmente é executado um "browser" ou uma aplicação dedicada por onde o usuário tem acesso aos recursos e serviços da rede. 

As estações dos usuários podem armazenar chaves privadas e informações pessoais na maioria das vezes sem proteção ou controle de acesso. 

Estações de trabalho estão ainda sujeitas a execução de programas desconhecidos (como Applets Java, ActiveX e Javascripts) sendo expostas a grampos de teclado e outras armadilhas de ganho de acesso. 

Existem ainda diversos usuários que fazem uso de modems para conexão com a Internet, muitas vezes contornando os controles e proteções da rede ou de um firewall corporativo. 

Segurança no meio de transporte

Para garantir a privacidade e integridade das informações enviadas pela Internet / Intranet, é necessário implementar a segurança no meio de transporte. A criptografia é fundamental para este fim, sendo que os principais produtos que possuem criptografia "embutida" sofrem limitações devido as restrições de exportação dos EUA.

Algumas empresas no Brasil tem optado por soluções proprietárias ou solucoes estrangeiras de outros países como Israel, Suíça e África do Sul. No Brasil, temos ainda empresas nacionais com reconhecidas competências em criptografia como é o caso do CEPESC - Centro de Pesquisa de Segurança nas Comunicações e ACRON, ambas situadas em Brasília e da SCOPUS em São Paulo. 

Uma aplicação freqüente do uso da criptografia nas empresas tem sido a segurança para correio eletrônico. Neste caso, a criptografia preserva a privacidade e integridade das informações que transitam via Internet ou Intranet, além de certificar e garantir a validade e autenticidade do conteúdo das mensagens, remetentes e destinatários. 

Além de facilitar a comunicação interna e integrar filiais, unidades e escritórios distantes, o correio eletrônico tem sido cada vez mais utilizado como ferramenta para gerenciamento de processos e relacionamento com clientes, parceiros e fornecedores. Diversos sistemas estão sendo construídos de forma integrada com o correio eletrônico e os usuários são avisados sobre eventos ou transações através de mensagens do correio eletrônico. (Na segurança, este recurso é bastante interessante para se implementar auditoria "on-the-fly" que informa sobre um determinado evento no momento que acontece). 

Outra aplicação bastante interessante para as empresas é a possibilidade de interligar via Internet as unidades e escritórios distantes. No entanto, se um usuário estiver conectado na mesma infra-estrutura de acesso (seja rede interna ou Internet), pode com um simples programa obtido facilmente na Internet, ter acesso a todos os dados que trafegam no meio. 

Uma solução simples e segura para este problema é a VPN - Virtual Private Network, que utiliza encapsulamento e túneis de criptografia para trafegar informações de forma segura através de meio público (Internet). 

Com a VPN, os dados são criptografados antes de transitarem por canais inseguros e são apenas decodificados quando chegam a seus destinos. Uma expansão da VPN é o recurso de acesso remoto seguro que permite que um usuário trabalhando em casa, em trânsito ou em viagem, possa acessar a rede interna da empresa de forma segura através da Internet. 

Possuímos na Módulo a primeira VPN instalada no Brasil ligando os escritórios de São Paulo, Rio de Janeiro, Brasília e Tampa, na Flórida. Na verdade, se trata de uma Virtual Private Intranet pois estendemos a Intranet corporativa situada na matriz no Rio de Janeiro de forma que possa ser acessada via Internet pelas outras redes das filiais. Com isto, além do uso normal para acesso servidores WWW da Intranet e transferência de arquivos via FTP, temos utilizado recursos de IRC ("chats" internos) e I-phone para troca de informações e conferencias internas com grande ganho de produtividade. 

Segurança nos servidores

O uso de Internet / Intranet exige ainda segurança nos servidores. Recentemente, um hacker invadiu um servidor Internet de comércio eletrônico e roubou 100.000 números de cartões de crédito. Foi preso pelo FBI quando tentava vendê-los por US$ 260.000 em dinheiro. 

Além do roubo de informações, uso e acesso indevido, outro problema sério para a segurança dos servidores nas empresas é a "pichação de sites", situação em que o site corporativo da empresa é invadido pela Internet e tem seus arquivos alterados para imagens pornográficas ou dados falsos, acarretando sérios problemas na imagem ou reputação da empresa.

As empresas tem conectado sua rede interna à Internet mas não gostariam de conectar a Internet à rede interna. Para isto, torna-se necessário o uso de firewalls que protegem o acesso através de um servidor de controle no ponto único de entrada/saída dos dados. 

O uso de firewall controla os serviços e acessos permitidos, monitora o uso e tentativas de violação e protege contra invasões externas embora exija ainda avançados conhecimentos técnicos devido a sua complexidade de uso e configuração. 

Um serviço bastante utilizado pelas empresas para avaliar a segurança de seus servidores são os conhecidos "penetration tests" ou testes de invasão. Este serviço busca normalmente identificar falhas ou "brechas" de segurança nos servidores das empresas, informando os pontos de vulnerabilidade e recomendando ações de melhoria ou correções dos problemas.

Estes testes devem ser realizados por empresas de confiança sendo fundamental o acompanhamento constante de um responsável da empresa contratada. 

Segurança na Rede

Interna Finalmente, a segurança deve prever a proteção e controle da Rede Interna. O modelo atual para segurança das redes tem assumido que o "inimigo" está do lado de fora da empresa enquanto que dentro, todos são confiáveis. Esta idéia tem feito que os desenvolvedores de sistemas e administradores de rede utilizem uma estratégia simplista na Internet evitando qualquer acesso externo e, por outro lado liberando o acesso irrestrito aos servidores para usuários internos. 

Sabemos que a maior parte dos problemas ocorre em função de ameaças internas. Segundo pesquisa recente da WarRoom Survey, 61% das organizações sofreram ataques internos nos últimos 12 meses. Em 45% dos casos, com perdas de aproximadamente US$ 200.000 chegando a US$ 1.000.000 em 15% dos casos. 

A solução completa abrange:

· Política de Segurança Corporativa com definição clara das diretrizes, normas, padrões e procedimentos que devem ser seguidos por todos os usuários; 

· Programa de treinamento e capacitação dos técnicos e usuários; 

· Recursos e ferramentas específicas para a segurança, e 

· Monitoração constante do "log" e trilhas de auditoria. 

Conclusões

Os negócios e novos mercados estão se direcionando cada vez mais para a Internet e Intranets. Torna-se necessário o conhecimento e análise dos riscos e vulnerabilidades a que estamos expostos, de forma que possamos definir os mecanismos adequados para a segurança. 

Apesar dos problemas, podemos afirmar que o uso adequado da tecnologia de segurança e dos mecanismos de proteção e controle na Internet e Intranet permitem realizar operações comerciais em condições mais seguras do que os meios de transações e comunicações convencionais. 
 

Retirado de http://www.modulo.com.br/noticia/a-opxris.htm