SEGURANÇA DA INFORMAÇÃO PRECISA DE NOVA ABORDAGEM
Cristine Hoepers
Analista de Segurança Sênior e Gerente Nacional do Cert.BR |
“Você contrataria um bandido como segurança para sua casa?” Com esta pergunta bombástica, o gerente de segurança do Grupo Camargo Correa, Wagner D’Ângelo, provocou a platéia do seminário Fraudes, Segurança e Vulnerabilidade, promovido semanas atrás pela Relatório Bancário.
D’Ângelo, que é também coordenador da Associação Brasileira dos Profissionais de Segurança, fazia uma alusão irônica ao costume de certas empresas de contratar os chamados “hackers do bem” (ou piratas de computador regenerados) para atuar como armas lícitas em suas estratégias de segurança. “Este delinqüente ardiloso e voluntário”, advertiu o palestrante, “tem grandes chances de voltar a delinqüir, segundo a lógica da criminalística”.
Para uma platéia de 150 executivos de tecnologia e segurança da informação de bancos, seguradoras e afins, o líder da Abseg enfatizava assim a necessidade de se conferir uma certa visão, digamos “policial” (ou “de inteligência”), aos esquemas de segurança da informação, hoje em grande parte restritos a especialistas em informática.
Na análise do executivo, a segurança da informação, atualmente, confunde-se necessariamente com a segurança física, entendendo por “físicos” não só os meios materiais de guarda e preservação de dados ou documentos, mas também o controle sobre a integridade física e a privacidade dos detentores da informação corporativa.
Notebooks à Deriva
Vagner D´Angelo
Gerente de Segurança Empresarial do Grupo Camargo Correa e Coordenador da ABSEG- Assoc. Bras. dos Profissionais de Segurança. |
“De nada adianta manter verdadeiras fortalezas de dados na empresa quando notebooks recheados de informação andam à deriva pelos aeroportos ou hotéis e podem ser facilmente roubados ou interceptados”, assinala D’Ângelo.
Segundo ele, outro aspecto ainda não observado pela maior parte das empresas é a necessidade de se disseminar a segurança como uma prática horizontal, abrangendo a empresa como um todo e, sobretudo, os píncaros hierárquicos.
“Por questões de segurança corporativa (que se confunde, como já se disse, com a segurança do próprio executivo), os altos dirigentes da empresa necessitam fazer sacrifícios sociais, deixando de freqüentar certos meios ou limitando a exposição pública de sua identidade”, sentenciou o coordenador da Abseg.
Frank Meylan
Risk Advisory Services da KPMG |
O forte apelo de Wagner D’Ângelo para um entrosamento entre os setores de TI, inteligência, segurança patrimonial e demais áreas de gestão das empresas foi amplamente referendado pelos demais palestrantes do evento da Relatório Bancário no auditório da Fecomercio, em São Paulo.
Expositores como o jurista Renato Opice Blum, do escritório que leva seu sobrenome, e o Risck Advisory Services da KPMG, Frank Meylan, também enfatizaram a derrocada da visão puramente “tecnológica” da segurança de informações. E na mesma direção se posicionaram a gerente executiva de segurança do Banco do Brasil, Francimara Viotti, o gerente de novos negócios da Cisco, Maurício Gaudêncio, e o coordenador do InfoSec Council, Astor Colasso.
Vigilantes versus Informatas
Francimara Viotti - Gerente Executiva de Segurança do Banco do Brasil |
Para a gerente do BB, Francimara Viotti, um dos calcanhares de Aquiles da segurança da informação está, aliás, num preconceito recíproco que costuma existir entre as equipes de informática e o pessoal de segurança patrimonial.
“Há uma sensação entre estes agentes de que o conhecimento de um será, de certa forma, irrelevante para a eficiência do outro.
Uma experiência gratificante no Banco do Brasil foi justamente quando nossa gerência passou a interagir de forma tranqüila e objetiva com os homens de vigilância, auditoria e segurança patrimonial. E logo percebemos que, da outra parte, foi também uma surpresa positiva poder trocar conhecimentos com nossas equipes”, assinala Francimara.
Desde que criou a gerência ocupada por Francimara Viotti, há cerca de três anos, o Banco do Brasil adotou o que se chamaria uma visão “holística” da segurança. Ou seja, ao invés de mobilizar conhecimentos de TI para resguardar a informação, o próprio vice-presidente de tecnologia do Banco, José Luiz Cerqueira César, orientou Francimara Viotti a criar uma estrutura multidepartamental, ligada diretamente à presidência da instituição.
De lá pra cá, relata a executiva, a segurança passa a compreender itens que vão da proteção anti-spam à vigilância dos quiosques remotos, passando pelas estratégias de controle do deslocamento de pessoas nos prédios da instituição. Sob a gestão de Francimara, o Banco do Brasil vem liderando políticas de certificação digital e de identificação segura de milhares de usuários de celular, que hoje transacionam com o banco.
"Notebooks repletos de informação andam por aí à deriva"
|
Segundo a gerente, até 1995 os problemas de segurança dos bancos se resumiam a roubos de agências e seqüestros de gerentes ou funcionários com acesso a valores. Em 1998, no entanto, a clonagem de cartões para saques em ATMs, ou caixas eletrônicos, já representavam 10% dos prejuízos provenientes da questão de segurança.
A partir de 2004, 80% das fraudes passaram a ser feitas pelo Internet Banking, enquanto a clonagem de cartões e os roubos às agências permaneceram em 10%. A questão tem desdobramentos complexos, que exigem uma adaptação sistêmica e constante na segurança tecnológica.
Ainda segundo ela, um dos golpes mais difíceis de ser evitado é aquele que conta com a cumplicidade do próprio correntista – que entrega senhas de acesso a quadrilhas porque o desfalque em sua conta é garantido pelo banco. Francimara corrobora, assim, a necessidade de um sistema de inteligência preventiva, capaz de fazer face a crimes virtuais e que também envolvem aspectos bizarros como a sabotagem de ATMs (o chamado “chupa-cabras”), a prática de seqüestro-relâmpago e o alistamento de funcionários de bancos nos exércitos do crime organizado.
Esta questão da vigilância holística, aliás, é especialmente crítica quando envolve aspectos relacionados ao conflito de direitos entre a corporação e os funcionários, deixando de um lado os sindicatos – que se batem pela preservação da privacidade – e do outro a gestão corporativa, que busca formas de controlar o e-mail empresarial, bem como as práticas de navegação na Internet por parte dos funcionários. Este conflito de interesses ficou claro no debate final do evento, quando o jurista Opice Blum foi instado a tocar em tabus como o direito das empresas em monitorar suas redes versus o direito inviolável à privacidade do indivíduo.
Prioridade Baixa no Brasil
Maurício Gaudêncio
Gerente de Novos Negócios para Segurança da Cisco do Brasil |
Para o gerente da Cisco, Maurício Gaudêncio, embora muito se fale em segurança, a principal barreira para o avanço deste ponto no Brasil é a baixa prioridade do tema para grande parte das empresas. Há uma pressão por custos de curto prazo, que resulta numa certa resistência em adotar mecanismos de segurança mais estruturais, segundo ele.
Gaudêncio apresentou, por exemplo, alguns dados levantados pela Cisco no Brasil que contrastam com o que se vê lá fora. Aqui, só 29% dos membros da alta administração classificam a segurança de dados como “prioridade muito alta”.Entre esses profissionais, um total de 42% afirma que as restrições de orçamento são o seu maior desafio no confronto às ameaças da segurança de dados em suas organizações.
Gaudêncio deu especial ênfase à proteção da infra-estrutura de rede, afirmando que “hoje a segurança não é mais uma opção, mas uma necessidade, que inclusive representa vantagens competitivas”. Para minimizar os problemas, ele afirmou que as instituições também precisam regulamentar quem faz uso das tecnologias, além de controlar todo o fluxo de documentos. Maurício apresentou a Self Defending Network, estratégia da Cisco para aumentar significantemente a capacidades das redes em identificar, prevenir e se adaptar contra ameaças.
"A segurança da informação precisa se encontrar com criminalística"
|
De acordo com esta estratégia, os investimentos em tecnologia devem levar em consideração a variável segurança como parte intrínseca dos ativos adquiridos pela corporação. Assim, ao adicionar uma nova tecnologia de tráfego à rede, a empresa necessita verificar se este ganho de performance corresponde a um ganho de segurança ou a um aumento de vulnerabilidade.
“Em muitos casos adota-se a técnica do avestruz, reduzindo o índice de performance para aumentar a segurança”, assinala Gaudêncio. Segundo ele, a Cisco Systems está liderando um movimento que envolve os principais fornecedores de tecnologia do planeta, para que a questão da segurança seja endereçada em todos os projetos na área.
Foi esta aliança, conta ele, que ajudou a gigante das redes a criar o conceito de SDN (Self Defending Networks ou redes de autodefesa), que são infra-estruturas capazes de adotar comportamento preventivo e adaptativo em face do avanço da tecnologia em mãos de agentes criminosos.
A Visão da KPMG
Frank Meylan
Risk Advisory Services da KPMG |
Para a KPMG, uma das maiores empresas de consultoria e inteligência estratégica do mundo, os níveis de segurança de um ativo estão relacionados a três fatores, a saber: o valor atribuído a este ativo, o índice de vulnerabilidade a que está submetido e a magnitude das ameaças que o acometem.
A redução de um destes fatores implica em aumento real dos níveis de segurança, mas seria, é claro, um paradoxo depreciar o próprio valor do ativo para obter este tipo de ganho, em termos de menor risco.
Mas a equação da KPMG é, na verdade, o indicativo de que as empresas necessitam de tecnologia para mensurar corretamente os três fatores para garantir que seus investimentos em segurança resultem em ações corretas.
A própria KPMG, aliás, vem apoiando corporações e governos em diversos países na avaliação dos pontos de riscos de suas malhas de informação e na busca da conformidade com práticas seguras de um ponto de vista do valor concreto de seus ativos.
"A partir de 2004, o crime cibernético se profissionalizou"
|
Entre as vulnerabilidades mais comuns dos sistemas corporativos, segundo o Risk Advisory Services da KPMG, Frank Meylan, estão o gerenciamento falho de usuários, a gestão inadequada de perfis de acesso e interfaces inseguras entre sistemas. Mais uma vez, como se pode notar, a questão antes restrita ao hardware e ao software passa agora a abranger também o “peopleware”, reforçando a tendência pela abordagem holística.
O executivo apontou, como sintoma deste tipo de vulnerabilidade, o caso de usuários demitidos com acesso ao sistema; usuários ativos acumulando acessos ao longo da carreira na empresa; e a falta de padronização nas políticas de segurança de acesso aos sistemas.
Meylan também discorreu sobre a segurança em aplicações web, fornecendo um breve histórico sobre as principais ameaças – como ataques de sites clonados, ataques de capturadores de teclado e envio de e-mails falsificados, conhecidos como “phishing”. E finalizou: “O gerenciamento inadequado da segurança do ambiente de TI é a maior causa de falhas na operação e de fraudes”.
Integração Entre os Agentes
Cristine Hoepers
Analista de Segurança Sênior e Gerente Nacional do Cert.BR |
Uma vez que a Internet global se comporta como um ecossistema altamente complexo e integrado, a observação de boas práticas, por parte de uma instituição financeira, muitas vezes é anulada devido à promiscuidade do próprio sistema, através do qual interagem desde mensagens pessoais até transações com ativos de altíssimo valor e questões de interesse de Estado.
Representando o Comitê Gestor da Internet, a analista de segurança sênior Cristine Hoepers, do Cert.BR, apresentou ao público de bancos o funcionamento do Cert.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) no monitoramento de ocorrências e vulnerabilidades da web no Brasil.
A analista afirmou que uma das maneiras para se combater as principais ameaças via Internet – como, por exemplo, fraudes, scams e phishing – é investir em estratégias colaborativas, que envolvam todos os diversos agentes relacionados na Internet. Cristiane Hoepers pertence a alguns dos grupos nacionais com maior atividade no desenvolvimento de estratégias de segurança na Internet e é co-autora de um documento denominado Tecnologias e Políticas para Combate ao Spam, que reúne recomendações para provedores de correio eletrônico, provedores de telecomunicações e para os usuários em geral, em especial os corporativos.
Durante o seminário da Relatório Bancário, a especialista apresentou também a Cartilha de Segurança para Internet para Usuários, um documento com recomendações desenvolvido pelo Cert.BR para servir de referência, trazendo uma espécie de to-do-list indispensável para estratégias nesta área. O documento pode ser obtido através do site www.cert.br .
A Segurança e os “Ratings”
Astor Calasso
Coordenador do InfoSec Council |
A boa qualidade dos sistemas de segurança na Internet já faz parte dos itens que interferem nos ratings das companhias abertas, especialmente no setor financeiro. Este fator pode favorecer, daqui para frente, os investimentos das empresas em segurança, na medida em que começam a evidenciar estes investimentos como ação agregadora de valor, e não apenas preventiva.
O consultor em segurança Astor Calasso, coordenador da seção brasileira do InfoSec Council, tratou de apresentar a entidade, criada como um grupo de discussão de alto nível para assuntos de segurança da informação. O grupo é composto por profissionais de segurança de TI trabalhando em colaboração com o meio acadêmico, peritos em segurança em geral, investigadores científicos etc. Astor Calasso finalizou apresentando as entidades representadas pelo Infosec Council: ABNT, ASIS, ISACA, ABSEG e ISSA.
Renato
Diretor da Opice Blum Advogados Associados |
Tema Estimula Debate
Quando Renato Opice Blum, diretor da Opice Blum Advogados Associados, apresentou o tema “Responsabilidade jurídica do administrador em face do crime cibernético: limites e obrigações na gestão de e-mail corporativo”, houve uma intensa participação da platéia, transformando a palestra num verdadeiro debate. Ao longo da exposição foram abordados, principalmente, os aspectos legais das normas internas de segurança que as empresas devem seguir.
O advogado levou ao conhecimento do público a legislação referente à Implantação e Implementação de Sistema de Controles Internos – que, entre outros aspectos, salientaa necessidade da existência de testesperiódicos de segurança para os sistemas de informações, em especial para os mantidos em meio eletrônico –e à Violação de Sigilo Funcional, que consiste emrevelar um fato de que se tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação.
Também alertou sobre a necessidade de cumprimento dessas leis, que deverão nortear o regulamento interno de segurança das empresas. Durante a apresentação, forneceu exemplos de cópias de mandados de segurança e de artigos relacionados ao tema.
Paulo Quintiliano
Chefe do Dpto. de Perícia da Polícia federal. |
Não faltou ao evento a contribuição de um profissional da Polícia Federal. Paulo Quintiliano, Chefe da Perícia de Informática da instituição, discorreu sobre “Crimes Cibernéticos e a Segurança na Internet”, oferecendo um interessante relato sobre as origens da Internet e o início das ações criminosas na rede, praticadas com o uso de computadores e de outros recursos da informática.
Outros temas abordados foram sobre como a Internet é vista por muitos como um excelente meio para a prática de crimes, e as principais facilidades encontradas pelos infratores, como baixo custo, acesso mundial, facilidade de deslocamento do local do crime, excesso de sites desprotegidos, volatilidade, suposto anonimato e capacidade de automação.
Foram passados dados sobre o trabalho realizado pela investigação pericial, responsabilizada por verificar a real ocorrência dos crimes (já que são recebidos muitos alarmes falsos), além de efetuar o rastreamento, coletar e analisar as evidências, identificar a autoria e apresentar os resultados do exame.
Segundo o palestrante, os principais desafios enfrentados pela perícia é a necessidade de investigar sem gerar suspeitas, de descobrir novos truques e de trabalhar em tempo hábil. Ele finalizou afirmando que, para a solução deste problema, é preciso haver uma grande ação conjunta entre bancos e demais empresas, polícias das várias esferas e cooperação internacional.
Baixe aqui as apresentações |
