Revisitando a Segurança da Informação

Cyber Security

São diversas e profundas as mudanças que exigem uma nova visão sobre o conceito, os processos e as ferramentas de proteção das informações nas organizações.

Diariamente são divulgadas informações sobre o vazamento ou a invasão fraudulenta de dados, em organizações das mais diversas áreas, em todo o mundo:

  • Governos
  • Facebook
  • Instagram
  • Bancos
  • Empresas e email marketing
  • Empresas de crédito
  • Telecomunicações
  • Saúde
  • Energia
  • Educação

Estas são as perguntas que todos fazem:

  • Qual é o cenário de ameaças aos dados das organizações?
  • Quais são os desafios da segurança na Transformação Digital?
  • E o que acontece agora com a LGPD?
  • Qual a importância de uma Estratégia de Segurança?
  • Qual o papel do C-Level na definição e execução da estratégia?
  • Só ferramentas resolvem? Qual o papel das pessoas?
  • Qual o papel da “Educação para a Segurança”?

Uma radiografia

Segundo as pesquisas X-Force Threat Intelligence Index 2020 e Cost of Data Breach Report 2020, publicadas pela IBM, as principais causas para o vazamento de dados são os ataques mal intencionados, erros humanos e falhas nos sistemas.

Vazamento de informações

Por volume de ataques, o ranking por segmento de negócios é liderado pelo setor financeiro, seguido pelo varejo.

Setores mais afetados

Ainda segundo a pesquisa, as principais perdas por volume financeiro estão no setor de saúde, seguido pelo setor de educação.

maiores prejuízos

Relatórios veiculados na imprensa no primeiro semestre de 2020 indicam que os segmentos de Energia Elétrica e Educação estavam sendo bastante visados pelas tentativas de ataques e fraudes.

O CERT.br – Centro de estudos Resposta e Tratamento de Incidentes e Segurança no Brasil, publicou em seus relatórios alguns números apurados no primeiros semestre de 2020. Foram cerca de 318 mil incidentes reportados, assim distribuídos ao longo dos meses:

Incidentes reportados por mês

Por tipo de tentativa de fraude, o pishing dirigido a fraudes financeiras lidera de longe as estatísticas. Nestes números constam as tentativas de fraudes com cobranças, boletos e outros documentos adulterados, além das tentativas de roubo de números de cartões, senhas e acessos. contas bancárias.

Tipos de incidentes

O contexto da segurança

Sob o ponto de vista das organizações, o conceito de segurança sempre envolveu as propriedades básicas da Integridade, Confidencialidade e Disponibilidade. Este conceito tem evoluído, incorporando também as definições de Autenticidade e Legalidade. A autenticidade incorpora o conceito ao não repúdio de uma informação ou transação e a Legalidade define a idéia de que uma informação está em conformidade com as leis do país, implícita e explicitamente.

Os conceitos de estabelecidos pela legislação de proteção e dados, incorporados à GRPD na Europa e à LGPD no Brasil vão além destas definições, estabelecendo que a proteção dos dados das pessoas tem o objetivo de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

O conceito mais amplo de proteção de dados individuais, vai além da proteção de dados financeiros e demográficos, estendendo-se ao direito à privacidade quanto à orientação religiosa e sexual, informações de saúde e outras, que poderiam ameaçar a liberdade e a privacidade dos indivíduos.

Num mundo dominado por bases de informações cada vez maiores, mais complexas e sofisticadas, o desafio das entidades, públicas e privadas para proteger a liberdade e privacidade das pessoas passou a ser um Valor Social. Os riscos de imagem e e financeiros das organizações foi potencializado pelo risco de serem identificadas publicamente desrespeitando os direitos individuais de seus clientes ou da comunidade com a qual interagem.

O perímetro da organização é a credencial de quem a acessa.

As estruturas das organizações se abriram para múltiplos canais, sobre os quais não é mais possível ter controle de quem acessa e com que objetivo. São clientes, funcionários, fornecedores, parceiros, prestadores de serviços e o público em geral, que procuram informações específicas. Cada pessoa precisa ser credenciada e seu direito de acesso confirmado, antes de permitir que elas cheguem às informações.

Numa estrutura onde não existem mais as fronteiras físicas do acesso aos dados, a administração de acessos e a verificação da identidade do solicitante passou a ser baseada em credenciais que precisam ser autenticadas, de acordo com as políticas da empresa, regras de acesso e características situacionais.

O roubo de credenciais passou a ser um dos principais alvos de fraudes, utilizando os mais diversos recursos, desde o simples phishing por email a imitações de sites e a aplicativos.

É importante lembrar que o universo de pessoas que está utilizando informações, nos mais diversos canais e com os mais diferentes objetivos, é extremamente heterogêneo e fluido. Funcionários e prestadores entram e saem da organização todos os dias. Pessoas mudam de atribuições e os direitos de acesso às informações precisam ser alterados de acordo com os novos papéis. A Engenharia Social é cada vez mais sofisticada, mapeando informações, hábitos, costumes e segredos das pessoas.

Perdas com vazamento de informações

Proteger e administrar as credenciais de acessos, num ecossistema cada vez mais complexo, não é uma tarefa trivial. Exige um trabalho permanente de mapeamento, atualização, revisão e principalmente de gerenciamento e ação imediata em casos de alerta. Ainda de acordo com o relatório publicado pela IBM, 60% dos acessos iniciais nas redes das vítimas se aproveitaram de credenciais previamente roubadas ou vulnerabilidades conhecidas do software, permitindo que os invasores utilizem menos outras modalidades de fraudes para obter acessos.

Covid-19 e acesso remoto

Trabalho remoto

A pandemia de Covid-19 estabeleceu o desafio da extensão do acesso remoto em diversos níveis:

  • Para os clientes, que trocaram as compras presenciais pelo e-commerce. Segundo afirma ABComm em artigo publicado pelo portal Terra em 3 de agosto de 2020, mais de 135 mil lojas migraram para o comércio eletrônico após o início da “quarentena”. Segundo Comitê de Métricas da Câmara Brasileira de Comércio Eletrônico (camara-e.net), em parceria com o Movimento Compre & Confie – em artigo publicado na mesma data, as vendas do setor mais que dobraram em junho de 2020. Em comparação ao mesmo período do ano passado, a alta foi de 110,52%.
  • Para os funcionários e colaboradores, a solução foi o trabalho a partir de casa, o home-office. De acordo com um estudo do Centro de Pesquisa Econômica Europeia (ZEW, na sigla em alemão), muitas empresas alemãs pretendem manter o esquema de home office após a crise da covid-19. E não só no setor de serviços, mas também na indústria manufatureira. Segundo esse estudo, antes da pandemia, apenas uma em cada quatro empresas dos setores químico, automotivo e de engenharia mecânica adotava regularmente o trabalho remoto. Atualmente, mais de 50% das companhias do setor manufatureiro e mais de 40% das que atuam no setor de serviços empresariais desejam continuar com o home office no futuro.

Para uma grande quantidade de empresas, particularmente no setor financeiro, o acesso remoto aos serviços de Data Center era restrito a muito poucos. Esta realidade precisou mudar rapidamente, sob risco de paralização das instituições.

Analisar riscos, elaborar processos, adequar a infraestrutura, implantar ferramentas de monitoração e treinar pessoas. Todas estas tarefas foram executadas (?) “para ontem”. Quem já estava em um nível mais evoluído em relação ao processo provavelmente conseguiu executar as mudanças mais rapidamente, incorrendo em menores riscos para o futuro.

Mas experimentar o trabalho remoto em larga escala permite às organizações, inclusive governos, entender a profundidade da mudança em curso e as consequências e oportunidades nos seus processos internos. Artigo publicado pela BBC News em 26/09/2020, baseado em pesquisa realizada pela ENAP, indica que 20% das funções públicas federais poderiam ser automatizadas, o que corresponderia ao trabalho de 1 em cada 5 servidores. Além da redução de custos, esta transformação permitira a desburocratização dos serviços, maior rapidez e qualidade no atendimento e maior facilidade de acesso às informações. Em menor escala, o ambiente empresarial também apresenta oportunidades importantes de revisão dos processos, oferta de produtos e serviços e modelos de negócios inovadores.

A próxima etapa da revolução digital está apenas começando: a era da Internet das Coisas (IoT), que já está apresentando desafios em todos os níveis, inclusive para a segurança dos dados e das organizações. Quais serão as políticas, processos e protocolos para a cadeia de atividades realizadas automaticamente pelas máquinas. Como será gestão deste complexo mundo de relações digitais que começa a se estabelecer?

Proteção dos dados é a próxima linha de defesa

Não basta que a organização possua recursos adequados de identificação de acessos não autorizados e proteção aos dados, sejam eles em uso ou em repouso (bases de dados). Podem ocorrer vazamentos de milhões de informações confidenciais e/ou sensíveis. Os relatórios de ciber segurança identificam os casos mais importantes diariamente. O Facebook foi um dos casos de maior repercussão, mas os incidentes, reportados ou não, ocorrem a cada instante.

Porém, muitos casos nem são descobertos ou demoram meses para ser descobertos e remediados. Segundo o Relatório do Prejuízo de um Vazamento de Dados, edição de 2020, publicado pela IBM, são necessários em médias 280 dias para identificar e conter um vazamento de dados.

Tempo para identificar ameaças

Diante desta realidade, a proteção de dados em ambientes virtualizados e em bases de dados, em uso ou em repouso, passa a ser a próxima fronteira de proteção, criando mais uma linha de defesa contra acessos indevidos.

Afinal, onde estão os dados?

Num passado remoto, todas as atividades de “processamento de dados” estavam concentradas no “Centro de Processamento de Dados”. Em alguns casos, chegava a ser um “bunker” inexpugnável, capaz de resistir até a atos de guerra. Nessa época, imperavam os mainframes, que concentravam toda a capacidade e inteligência de processamento das organizações e também os recursos de segurança necessários para proteger seu ambiente.

Mas o mundo mudou. A tecnologia evoluiu, a Internet chegou, derrubando as fronteiras e os clientes foram convidados a “entrar” nas organizações. As pessoas criaram novos hábitos e estabeleceram novas necessidades. Hoje, todas as instituições privadas ou governamentais, estão presentes na vida dos seus clientes 24 horas por dia e procuram se transformar em algo essencial em suas vidas.

A evolução é tão significativa que não existem mais fronteiras entre mainframes, outros servidores ou simples smartphones. Os antigos “Farms”de servidores dedicados evoluem para ambiente virtualizados, otimizando a alocação de infraestrutura de hardware e software e gerenciamento.

Os bunkers proprietários foram substituídos por serviços prestados na infraestrutura de serviços de terceiros, num modelo que de dominou Serviços em Nuvem.

De nuvens proprietárias para as múltiplas nuvens foi um passo. Cada conjunto de processo de negócios pode estar em um provedor, de acordo com as suas especialidades e as conveniências operacionais e comerciais que pode oferecer. Mas quem administra essa miríade de informações, seus métodos e critérios de acesso e quais as ferramentas estão disponíveis para esta finalidade? Quanto estas ferramentas estão determinado o melhor ou pior desempenho para evitar os erros de configuração e as falhas humanas?

Também são cada vez mais raros os “computadores da empresa”. Cada profissional usa um equipamento – um desktop, um tablet, ou até mesmo um smartphone – muitas vezes de sua propriedade, onde executa tanto as atividades profissionais quanto as pessoais.

Segundo esta lógica, os dados podem estar em uma infinidade de lugares, acessados a todo momento e submetidos às mais diversas condições.

A complexidade de gestão e proteção destes dados cresce geometricamente a cada variável acrescentada ao ecossistema. Proteger dados em múltiplos servidores, de multiplicas nuvens, utilizando múltiplas chaves de criptografia. Este é um dos desafios.

A complexidade e o fator humano

Num ambiente operacional cada vez mais complexo, confiar em processo que dependem da ação das pessoas é criar a oportunidade para a ocorrência de falhas. Segundo o relatório da IBM, 23% dos casos de incidentes de segurança foram causados por falha humana.

Estas falhas podem ocorrer por diversos motivos, tais como:

  • Falha na educação institucional para a segurança
  • Insuficiência de treinamento e reclicagem de pessoal
  • Falta de pessoal qualificado em cada segmento de especialidade
  • Ação fragmentada, heterogênea e não coordenada entre áreas de responsabilidade
  • Sobrecarga de responsabilidades e/ou atividades

A história tem demonstrado que o Ser Humano não é a melhor solução para a realização de atividades repetitivas. Seu maior potencial está nas atividades que permitem a variedade de experiências, vivências e emoções. A denominada Indústria 4.0 está baseada em um altíssimo grau de automação, com soluções robóticas realizando atividades cada vez mais sofisticadas.

Mas a ação humana para desenhar os processos, estruturar os controles e desenvolver os recursos e gestão e monitoração continuam sendo decisivos. cada vez mais o foco se desloca da “eficiência operacional”, garantidas pela estruturação e automação adequada dos processo para a incorporação de camadas de gestão, monitoração e alertas.

Tecnologia, Processos e Pessoas

Uma estratégia eficaz de Segurança da Informação deve se basear nestes 3 fatores.

Tecnologia

O instrumental destinado à segurança das informações tem evoluído em compasso com a evolução tecnológica e a sofisticação das ameaças. Cada vez mais este conjunto de recursos evolui do plano local e operacional para englobar toda a estrutura das organizações. A questão hoje não é mais o gerenciamento e operação dos criptógráfos instalados para proteger os dados mas a gestão dessa miríade de equipamentos para a gestão das milhares de chaves, certificados digitais e conexões utilizados em todas as operações e as ações imediatas em caso de incidentes.

Ciente da complexidade do ambiente, a indústria trabalha para a padronização dos protocolos, utilizando recursos como KMIP, BYOK, HYOK, TDE, PKCS #10, PKCS #11, CSR e outros, com o objetivo de garantir a interoperabilidade entre as diversas plataformas utilizadas.

Dos processos criptográficos tradicionais, a indústria evoluiu para a gestão automatizada de certificados e chaves, sincronização de mecanismos de proteção, integração com consoles de monitoração e alertas, utilizando interfaces SIEM e CEF.

Monitoração

Processos

A implantação de processos estruturados e documentados para a gestão das operações de segurança é um fator diferencial para mitigar as falhas de configuração e os erros humanos. Processos podem ser revisados, melhorados e complementados ao longo do tempo, implementando as melhores práticas e mantendo o conhecimento ao longo do tempo.

As normas da família ISO 27000 estabelecem um conjunto de diretrizes básicas para o estabelecimento de uma “Política de Segurança da Informação”. Este é o ponto de partida conceitual.

A Política de Segurança precisa ser elaborada de acordo com as características de cada negócio, seu público, canais de comunicação e requisitos de integridade, confiabilidade e disponibilidade necessários à proteção e continuidade dos negócios.

Outras diretrizes e normas específicas completam o conjunto de orientações para a definição de uma política consistente. Exemplos destas normas e diretrizes são o PCI-DSS, voltado para a proteção dos dados dos portadores de cartões, a GRPD estabelecida na Europa em 2018 e LGPD, sua equivalente no Brasil, voltadas para de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa.

Quando falamos de processos, é necessário fazer referência à metodologia criada pelo estatístico americano Walter Andrew Shewhart, nos Estados Unidos, na década de 20 e melhorada por William Edwards Deming em 1951, denominada a “Roda de Deming” ou ciclo da melhoria contínua.

Ciclo PDCA

A disciplina na execução de um ciclo de melhorias contínuas é o fator determinante para que a infraestrutura e os recursos de segurança estejam alinhados com as necessidades.

Em muitos momentos, as organizações reagem às ameaças, mas menosprezam as ações planejadas de proteção. A ação baseada apenas no ciclo estímulo/resposta não garante que os processos estejam alinhados de acordo com as necessidades estratégicas. Numa análise mais global, será possível identificar as quebras e descontinuidades entre os diversos níveis da hierarquia organizacional e os “gaps” entre áreas e departamentos.

A experiência tem demonstrado que é exatamente nestas áreas de interseção entre departamentos, processos, hierarquias de gestão, ambientes, sistemas etc. que acontecem as maiores falhas.

Pessoas

A dimensão das pessoas talvez seja a mais complexa e difícil de abordar. Ela se desdobra em múltiplas camadas, que exigem ações específicas.

Uso dos dispositivos móveis

A consciência sobre a segurança das informações não pode ficar restrita a um conjunto de profissionais ou a um departamento específico. Ela precisa ser parte da consciência e do acervo cultural das organizações, se estendendo a todos os gestores, funcionários e colaboradores, parceiros, fornecedores e clientes, como pessoas físicas individuais e membros de uma coletividade.

Pessoas esclarecidas e educadas para a segurança adotarão atitudes mais prudentes em relação a práticas de phishing, páginas suspeitas, aplicativos vulneráveis, sites e documentos falsos e tantas outras ameaças. Munidas de formação, conhecimento e boas ferramentas, as pessoas são a mola propulsora dia segurança.

As administradoras de cartões de crédito aprenderam que quando passaram a enviar SMS para os clientes informando sobre operações realizadas ou transações suspeitas, foi possível identificar as fraudes mais rapidamente e tomar ações preventivas antes que as perdas se avolumassem, oferecendo aos as clientes maior confiança e credibilidade.

Os profissionais envolvidos com tecnologia necessitarão de uma atenção maior no seu preparo para a Segurança. Esta ação não pode ser dirigida para um pequeno público de administradores de redes e analistas e profissionais de Information Security. A formação continuada e as revisões periódicas devem envolver as equipes de software, marketing, operações, telecom, infraestrutura, ou seja, todos. Os ataques podem acontecer em qualquer frente, utilizando qualquer canal. E cada área deve ter sua matriz de risco definida e conhecer as ações ar tomar em face a um incidente.

Mas a principal responsabilidade pela cultura de segurança é da alta administração. Caberá sempre a ela impulsionar este valor e fornecer a dedicação, os recursos financeiros, técnicos, humanos e operacionais para viabilizar uma infraestrutura de segurança cada vez melhor.

4 Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para o topo