Frederick M. Avolio

Segurança dos sistemas de informação. Segurança dos computadores e da rede. Segurança da Internet. É um universo complexo e que cresce cada vez mais. Com todas estas mudanças, algumas verdades e métodos para manter a segurança permanecem incontestáveis, enquanto outros são novos e radicalmente diferentes. Desenvolver uma estratégia de segurança sólida significa ficar com um olho nas mudanças de ameaças e tecnologias no ritmo da Internet e o outro no ambiente empresarial.

Adquirir dispositivos de segurança é fácil. Saber como e o que proteger e que controles implantar é um pouco mais difícil. É preciso desenvolver um método de gerenciamento de segurança, incluindo planejamento e criação de procedimentos. As redes de hoje incorporam diversos tipos de serviços fantásticos, mas inseguros. Dados de voz viajam pela rede da empresa.

Arquivos são compartilhados. Redes corporativas incluem funcionários móveis e clientes, freqüentemente com o nome de e-business e e-commerce (comércio eletrônico).

Todos esses novos serviços de rede oferecem novas possibilidades de aumentar as vendas.

Diferente da Rede Que o seu Pai Usava
Agora as empresas conseguem se manter em contato direto com parceiros através da Internet. De acordo com a Inter-net Domain Survey (www.isc.org/ds) realizada pela Internet Software Consortium, em janeiro de 2000, há mais de 72 milhões de hosts na Internet. Considerando que muitas empresas não anunciam seus espaços de nome interno, sabemos que o número de computadores conectados de alguma forma à Internet é ainda maior. É possível que um bilhão de pessoas estejam vivendo em uma "comunidade interconectada".

Entre a vastidão deste espaço e os serviços disponíveis, existem incontáveis possíveis vias de ataque. Os agressores nem precisam ser extraordinariamente inteligentes, bem treinados ou pacientes para planejar um ataque. Com a facilidade de uso dos softwares "amigáveis" e os vários métodos simples de distribuição de arquivos, qualquer um que tenha um computador pode planejar um ataque. Não é necessária nenhuma habilidade especial. Qualquer um que tenha um mouse nas mãos pode iniciar um ataque.

As Novas Regras Básicas
Para atender aos desafios de segurança de computadores e redes, é essencial adotar algumas regras básicas. Depois que elas estiverem implantadas, o resto é fácil.

1. Segurança e complexidade freqüentemente são inversamente proporcionais. Todas as medidas tomadas - seja avaliação de vulnerabilidade e riscos, desenvolvimento de uma política e procedimentos de segurança, instalação de mecanismos ou treinamento de usuário - devem ser o mais diretas e simples possível. Quanto mais codificadas forem as instruções e os procedimentos, maiores as chances de mal-entendido e mal-uso.

2. Segurança e uso freqüentemente são inversamente proporcionais. Não existe "segurança total" em sistemas em uso. Por isso, é importante se concentrar na redução do risco, mas sem desperdiçar recursos tentando eliminá-lo por completo. Uma postura pragmática como esta permite obter um bom nível de segurança sem prejudicar a produtividade.

3. Um bom nível de segurança agora é melhor do que uma segurança perfeita inalcançável. Esta é a dedução do axioma anterior, visto que não existe segurança perfeita em um sistema em uso. Mesmo que fosse possível, um sistema em uso é um alvo em movimento: as ameaças, as tecnologias e as necessidades da empresa mudam constantemente. Esta tarefa nunca chega ao fim.

Reconhecer isto lhe deixa livre para perseguir um nível "bom o suficiente". Pense em 10 coisas que precisa fazer, mas conclua apenas quatro delas agora. Você provavelmente estará em uma posição melhor do que se fosse esperar até ter tempo para fazer todas as 10. O segredo é saber definir as prioridades.

4. Uma falsa impressão de segurança é pior do que a verdadeira noção da falta de segurança. Saber que pontos da sua empresa permanecem inseguros permite definir que aprimoramentos são necessários. É essencial saber onde estão os furos, que documentos e procedimentos não são adequados e que mecanismos precisam ser substituídos. Uma falsa sensação de segurança não motiva o aprimoramento - ou mesmo a análise - das normas de segurança de uma empresa. Ela leva a uma falsa complacência, que pode dar vazão a acidentes, freqüentemente acompanhados do lamento "achei que estávamos protegidos". É melhor saber onde estão seus pontos fracos e evitar riscos não quantificáveis.

5. A solidez da sua segurança é medida pelo seu ponto mais vulnerável. Sendo assim, faça análises e avaliações completas. Por exemplo, se você precisar utilizar VPNs (virtual private networks) para manter as conexões entre escritórios em casa ou remotos e as filiais da sua empresa, pode ser necessário proteger os dados contidos nos PCs notebooks da sua força de trabalho móvel. Isto pode significar remover os modems dos computadores desktop, obrigando todo o tráfego a passar pelo firewall.

6. É melhor se concentrar em ameaças prováveis e conhecidas. Há ameaças imaginárias e ameaças reais e prováveis. E existem ameaças identificadas e não identificadas. Nós estamos mais interessados em ameaças reais e prováveis, embora continuemos a expandir nosso universo de ameaças identificadas.

7. Segurança é um investimento, não uma despesa. O seu grande desafio é conseguir passar esse recado para a direção geral da empresa. Investir em medidas de segurança para computadores e rede compatíveis com as necessidades e os riscos da empresa possibilita satisfazer as exigências comerciais sem prejudicar a viabilidade da empresa. Servidores devidamente seguros permitem que as informações da empresa sejam compartilhadas com o pessoal de venda em campo e com parceiros comerciais. Sistemas configurados inadequadamente podem provocar perda de dados ou problemas ainda piores.

Ameaças, Vulnerabilidades e Riscos
A fase de planejamento envolve o desenvolvimento do que poderia ser chamado de análise de vulnerabilidade, análise de riscos ou avaliação de ameaças. Embora os termos tenham definições ligeiramente diferentes, os resultados finais são parecidos. Esta fase engloba identificação e avaliação de ativos; postulação e análise de ameaças; avaliação de vulnerabilidades; análise das medidas preventivas existentes e do custo/benefício. Diversos fatores são levados em consideração, incluindo como as informações são utilizadas e gerenciadas e o quanto as medidas de segurança existentes são adequadas e relevantes.

Os ativos (incluindo informações) e também as ameaças são classificados. O objetivo é considerar as indicações como exigências do setor.

Este é outro motivo para criar a equipe com pessoas de diferentes áreas da empresa. Embora a opinião de alguns membros da equipe possa não ter fundamento, a interdisciplinalidade proporciona uma visão mais completa da situação geral entrevistando pessoas das áreas de marketing, vendas e desenvolvimento. Este é o momento adequado para fazer perguntas do tipo:

• O que estamos tentando proteger? A imagem da empresa? Projetos de futuros produtos? Caça talentos? Informações pessoais? Informações de clientes? Recursos de informática? Tudo é possível e todas as possibilidades podem ser válidas. Quais são os possíveis ataques? Quais são os prováveis?
• Quais são nossos pontos vulneráveis? Ferramentas de avaliação de vulnerabilidade podem ajudar a identificar estas áreas (consulte "recursos", página 68). Não esqueça de considerar as pessoas como um ponto vulnerável. Os funcionários que atendem telefones, parceiros comerciais com acesso a informações confidenciais e clientes que acessem o banco de dados de suporte são todos ameaças potenciais.
• O que estamos preocupados em manter? O que você não quer perder de forma alguma? Qual é o valor destes itens? Quanto custaria substituí-los? Qual seria o custo de perdê-los? (Outro benefício de um grupo: Alguns verão os custos materiais enquanto outros pensarão em custos intangíveis, como os custos em termos de reputação da empresa e a confiança dos investidores. As duas opiniões são válidas.)
• Que valor os itens a seguir teriam para um invasor (possivelmente um concorrente): nossa empresa perder dados, nossa reputação sair prejudicada ou um concorrente obter acesso a nossos dados? Quanto custaria para um invasor nos atacar?
• Quanto custaria reagir? Que medidas de segurança estão implantadas? Elas estão funcionando? Elas são adequadas?
• É possível classificar as ameaças em uma escala de 1 a 5 ou colocá-las em categorias, como: "Corrigir imediatamente", "Duvidoso - precisa ser melhor estudado", "Observar detalhadamente, mas não tomar atitude, por enquanto". Desta forma, as ameaças são classificadas, as vulnerabilidades são avaliadas e os riscos residuais são catalogados.