Segurança da Informação
Entrevista Denny Roger
Segue agora, parte de uma entrevista feita com Denny Roger (http://blog.dennyroger.com.br/ ), pelo site Portal Tecnologia. Denny Roger é especializado em avaliação do nível de maturidade da segurança da informação, gestão de riscos, política de segurança, perícia forense, mapeamento e avaliação de topologia de rede segura, e constantemente desenvolve projetos que buscam identificar desvios na política de segurança da informação dos clientes. Segundo ele, “não existem cursos no mundo capazes de acompanhar a evolução dos ataques na internet. A formação acadêmica não irá preparar o profissional que deseja atuar na área de segurança. Na faculdade não são ensinadas técnicas de visual ou link spoofing, engenharia reversa em vírus de computador, etc. Também não são apresentadas técnicas de defesa utilizando Web Application Firewall, por exemplo. Sendo assim, o profissional que pretende trabalhar na área de segurança da informação deve ter um perfil autodidata.”
Falando do mercado de trabalho, como é o mercado de segurança da informação, qual o papel do Security Officer e como ele atua no Brasil, há demanda para esse tipo de profissional?
DR: O profissional especializado em segurança da informação está em alta no Brasil. Isso ocorre porque existem tantos Crackers no Brasil que as empresas foram obrigadas a investir em segurança da informação. O internet banking que é desenvolvido no Brasil possui tantos recursos de segurança que é exportado para o mundo todo. Alguns ataques que são realizados por brasileiros, principalmente o roubo de senhas de internet banking, não são aplicados por Crackers de outros países. O brasileiro é muito criativo e a falta de uma legislação especifica sobre o assunto acaba ajudando os Crackers.
Algumas regulamentações estão contribuindo para o crescimento de vagas para profissionais de segurança. Isso está causando um efeito assustador. Estou comentando isso porque muitos Security Officers assumiram a gestão da segurança da informação sem possuírem experiência sobre o assunto. Ou seja, estou falando do profissional que atuava em alguma área da empresa e que por necessidade migrou para a área de segurança. Como conseqüência o departamento de segurança, recém criado, acaba utilizando os investimentos em recursos que não minimizam os verdadeiros riscos para o negócio da empresa. A culpa não é do “novo” Security Officer e sim do RH que não alocou um profissional com experiência para cuidar da gestão da segurança da informação.
Por causa da crise mundial que explodiu em outubro de 2008, as empresas estão analisando os recursos financeiros disponibilizados para a área de segurança e solicitando que não sejam realizados novos investimentos em 2009. Tudo isso por causa do prejuízo financeiro ocasionado por esta crise mundial. Ainda existem vagas em aberto para o cargo de Security Officer, porém, não sabemos como estará o mercado em 2009. Provavelmente as empresas irão reduzir ainda mais seus custos para recuperar os lucros que não foram obtidos em 2008 por causa da crise.
Quais as formas de invasão e atuação de crackers que vemos hoje, principalmente no Brasil? Ainda há aquele papel do Engenheiro Social ou a questão é mais técnica?
DR: Atualmente os crackers estão focados em clonar cartões de crédito e roubar senhas e a chave de segurança (token) dos clientes do bancos.
No caso de clone do cartão de crédito são utilizados dispositivos em restaurantes, postos de gasolina e caixa eletrônico. Recomendo atenção redobrada quando entregamos o nosso cartão ao garçom do restaurante ou ao frentista do posto de gasolina. Neste momento é realizado o clone sem que o cliente perceba.
Os crackers voltaram a aplicar uma das técnicas mais antigas: o site clonado do banco. Esta técnica é utilizada para solicitar o recadastramento ou ativação do cartão/chave de segurança (token). A vítima informa todas as suas chaves de segurança para o site clonado.
Hoje há grande exposição da vida do usuário e das corporações nas redes sociais. Você acha que as redes sociais vêm para somar ou atrapalhar a vida dos usuários e das empresas?
DR: Estamos vivendo a época da geração Y. Estou falando das pessoas que nasceram “conectadas” a internet. Estas pessoas utilizam o mundo virtual para conversarem e trocar informações. O mais interessante é que a geração Y não utiliza o e-mail. São utilizados blogs, programas de mensagem instantânea, redes sociais e SMS para troca de informação. Ou seja, toda informação está exposta para qualquer pessoa na internet.
Algumas empresas tentam controlar a geração Y, o que é um erro. Outras empresas estão trabalhando em conjunto com esta geração e estão tendo muito sucesso. Deve haver uma atualização nas normas internas e código de ética e conduta das empresas.
As empresas não possuem recursos para controlar o vazamento de informações em redes sociais, blogs, etc. A conscientização é uma das ferramentas que as empresas devem utilizar para minimizar o risco e orientar as pessoas sobre como utilizar as redes sociais e blogs.
Qual a importância da elaboração das políticas de segurança para as corporações? E como implementar uma política eficiente?
DR: A política de segurança é onde documentamos todas as diretrizes da empresa. Ou seja, tudo que é mandatório. Este documento deve ser elaborado por um comitê interdepartamental e com apoio da alta direção.
É necessário abordar os seguintes tópicos na política de segurança: diretrizes, classificação da informação e responsabilidades dos departamentos em relação a segurança da informação. Não devem ser tratados assuntos técnicos.
Após a elaboração da política de segurança o comitê inicia o processo de elaboração das normas de correio eletrônico, utilização de dispositivos móveis, acesso a internet, termo de responsabilidade, termo de sigilo, ações disciplinares, etc.
O próximo passo é a elaboração dos procedimentos relacionados a cada uma das normas.
Toda a documentação produzida pelo comitê é implementada na empresa com a ajuda do departamento de recursos humanos, marketing, TI e segurança da informação. Algumas empresas preferem solicitar que o funcionário assine o termo de responsabilidade declarando que leu e está de acordo com as novas regras. Outras empresas preferem realizar campanhas de conscientização sobre as novas normas e procedimentos. Existem casos em que a empresa apenas disponibiliza as informações na intranet.
Quais recursos as empresas tem hoje para se proteger em relação a ataques, desde da Engenharia Social à ataques físicos?
DR: Antigamente os ataques eram baseados na camada de rede. As empresas implementaram firewalls, antivírus, sistemas de detecção de intrusos, anti-spam, criptografia e VPN contra este tipo de ataque.
Com tantos recursos de segurança implementados na rede, os atacantes iniciaram o envio de e-mails falsos e desenvolveram páginas clonadas para explorar o elo mais fraco da corrente, o ser humano. Estamos falando da engenharia social (a arte de enganar as pessoas).
Nos dias atuais, as empresas estão entendendo na prática o que significa “falsa sensação de segurança”. Os ataques são na camada de aplicação, passando por qualquer firewall, antivírus, sistema de detecção de intruso e criptografia. Ou seja, o atacante explora vulnerabilidades na aplicação utilizada pela empresa. Bancos de dados protegidos na rede corporativa estão sendo copiados através do servidor de aplicação que está na DMZ. Fotos estão sendo alteradas de forma indevida nas redes sociais através da manipulação da URL. Os sites de internet banking estão sendo vítimas de Cross Site Scripting.
A conclusão que podemos chegar é que os ataques não param de evoluir. As tecnologias de segurança não estão acompanhando a evolução dos ataques na internet. As empresas precisam investir em tecnologias conhecidas como Web Application Firewalls e Sigle Sign-on combinado com certificados digitais e tokens.
Recomendo que as empresas busquem conformidade com as boas práticas de segurança recomendadas pela ISO 27002 e ISO 15408 e realizem investimento em treinamento de segurança para equipes de desenvolvimento de software.
http://www.portaltecnologia.net/especial-seguranca-da-informacao/
Comentário: As informações sempre foram bens preciosos para as empresas, governos e instituições. Mas nas últimas décadas, com a informatização de todas as áreas das companhias, as informações saíram dos livros fiscais, dos registros e contratos em papel para assumirem a forma de dados – e, muitas vezes, trafegarem pela internet. Casos de vazamento de informações não param de chegar ao noticiário.
Dois recentes casos ganharam destaque no Brasil e no mundo. O vazamento das informações pessoais dos candidatos que participaram do Enem (Exame Nacional do Ensino Médio) nos últimos três anos e de milhares de documentos do Exército Americano arquivados sobre a guerra do Afeganistão. Mas esses não são casos isolados.
Assim, vemos como é falha, por vezes, o sistema de informações de algumas empresas, bastando uma pessoa estranha conectar-se à rede para que dados confidenciais e relatórios fiquem expostos. É sabido que existem inúmeras políticas e empresas já especializadas nessas seguranças, e que com elas, é possível tratar o ambiente corporativo das empresas para que se consiga garantir a manipulação correta dos dados (em dispositivos móveis) e evitar que determinados funcionários tenham acesso indevido a dados sensíveis.
Atualmente há um aumento na utilização desses sistemas de segurança, uma vez que a possível perda de negócios e os prejuízos causados pelos hackers assustam os empresários e clientes.
Bruna Santos Moriggi
