INTRODUÇÃOAs ameaças virtuais estão cada vez mais constantes. Deixar de se proteger não é mais possível, sob risco de perder não apenas a privacidade, mas também dados sigilosos, o que pode causar sérios prejuízos financeiros. Conheça as políticas de segurança necessárias para defender sua organização e previna-se.

Armazenamento de informações estratégicas e confidenciais, senhas, dados pessoais, cadastros e de tudo o que pode ser alvo de ataques precisa ser devidamente seguro para garantir a integridade de corporações e pessoas.

Quais as políticas de segurança que um CSO (Chief Security Officer) desenvolve e adota para se prevenir contra o bombardeio desses e de outros fatores?

As respostas estão no seu curso de segurança, com o qual você fica por dentro dos cuidados com as redes sem fio, camadas de segurança e muito mais.

Está cada vez mais difícil manter em segurança as informações referentes às empresas ou pessoas. O descuido nessa área pode causar prejuízos significativos e, muitas vezes, irreversíveis. Mas, felizmente a maior parte das empresas está consciente do perigo, e estamos vivendo um momento em que praticamente todas elas têm alguma política de segurança. 

Aquele que protege os dados de sua empresa e zela para que o protocolo de segurança se cumpra é considerado um ótimo funcionário!

A segurança da informação refere-se à proteção requerida para proteger as informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto às  corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas para definição do nível de segurança existente e requerido. Dessa forma, são estabelecidas as bases para análise da melhoria da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

As principais propriedades que orientam a análise, o planejamento e a implementação de uma política de segurança são: confidencialidade, integridade e disponibilidade.Na medida o uso de transações comerciais em que se desenvolve em todo o mundo, por intermédio de redes eletrônicas públicas ou privadas, outras propriedades são acrescentadas às primeiras, como legitimidade e autenticidade.

O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos estratégicos, regras de mercado, dados operacionais, ou como simplesmente

1

resultado de pesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrência e à velocidade imposta pela modernização das relações corporativas, elevou seu posto na pirâmide estratégica, tornando-se fator vital para seu sucesso ou fracasso.

Entre as inúmeras tendências que explodiram em tecnologia, poucas assumiram o status de imprescindível. Ao fazer uma comparação, ainda que os sistemas de ERP e CRM sejam de vital importância para a rotina corporativa, ou que soluções de Business Intelligence e Balanced Scorecard permitam aos negócios atingir patamares invejáveis de lucratividade, a Segurança da Informação é a única que não pode faltar em hipótese alguma. É ela que protege o bem maior das companhias, ou seja, a informação estratégica.

SEGURANÇA_ESTRATÉGICAPara entender a importância da proteção das informações, basta pensar no prejuízo que causaria para os negócios a posse desses dados pela concorrência ou por alguém mal-intencionado. Atualmente, o momento é de revisão de processos e de avaliação de soluções que protejam cada vez mais as informações corporativas, sem impactar fortemente na produtividade. O fato é que hoje a segurança é considerada estratégica e já encabeça a lista de preocupações de grandes empresas.

 

A Segurança deixou de ser submetida aos domínios da TI para se tornar uma nova área que responde ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio, salas específicas e, logo, prazos e demandas a serem atendidos. Um dos maiores dilemas da Segurança da Informação está relacionado com a proteção dos ativos e a compreensão da amplitude desse conceito dentro da empresa. A idéia de ativo corporativo envolve também uma questão de difícil medição: a marca da companhia e a percepção que ela desperta no mercado. Um grande escândalo, uma falha latente ou uma brecha negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido muito sucesso até então. Outra questão relacionada com a Segurança da Informação, que também causa preocupação, é que se trata de um investimento sem fim, pois à medida em que ela vai se fortalecendo os ataques também se sofisticam cada vez mais.

Qualquer companhia, desde as pequenas empresas com dois ou três PCs até complexas organizações com atuação em diversos países sabem que em maior

2

ou menor grau a tecnologia é essencial para seu negócio. Então, justamente por ser vital é que esse bem não palpável traz consigo uma necessidade básica: segurança.

O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam se esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existência de um problema, como vírus, fraude, invasão, para depois encontrar sua solução, vacina, investigação, correção de vulnerabilidade.

Combate ao Crime EletrônicoPara muitos esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao patamar mais crítico da empresa, tornando-a peça principal do jogo.

Em seguida, vê-se que esse dado, pela forma e processo com que é disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto, que resolveu testar programas hackers disponibilizados na própria Internet ou usurpado por funcionários e passado para a concorrência.

Entretanto, já existem práticas e soluções tecnológicas suficientemente eficientes para comprovar que a digitalização das transações corporativas não transformou os negócios em uma "terra de ninguém".

Especialistas de segurança reconhecem que afirmar ser 100% seguro é algo precipitado e arriscado,  mas apontam que educação profissional, processos e tecnologia formam um tripé resistente no combate ao crime eletrônico.

Pesquisas mostram que aumentam os investimentos na proteção dos dados. A segurança é o maior desafio das soluções em TI para o sistema financeiro.

CONCENTRAÇÃO_DOS_SERVIÇOS_DE_SEGURANÇAOutro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária de as grandes corporações e governos moverem-se em direção a fornecedores sólidos que possam atender as demandas com flexibilidade, inteligência e rapidez. Também, elevando a importância dos fatores de ética profissional, confiabilidade e independência, posicionando-se para o gestor como o security advisor corporativo.

Três Tipos Básicos de RiscoExperiências corporativas demonstraram que apenas softwares não constróem uma muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que todos possam estar à frente de determinadas situações de emergência e riscos com uma postura mais pró-ativa que reativa.

3

Esse plano será responsável por verificar se a corporação está destinando verba suficiente para manter o nível de segurança alinhado às expectativas de negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa sensação de segurança. É muito comum haver grande disparidade entre o cenário que se pensa ter e aquilo que realmente ele é.

De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e operacionais de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo desse curso serão abordadas todas essas variáveis, desde os tipos mais tradicionais de vírus que se disseminam pela rede até as portas mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus profissionais, soluções de TI, gestão e políticas de segurança.

Atenção!

Se apenas uma máquina da empresa estiver infectada com qualquer tipo de invasor e ela estiver conectada à rede da empresa, todo o sistema pode ser

danificado. Então, dados podem ser perdidos e alterados.

Modulo 2 - TecnologiasIntrodução

O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas, foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, capaz de deter determinado vírus. Hoje os vírus de computador não são mais os únicos vilões do crime digital.Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, o qual transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada.

Programa_de_Segurança_da_InformaçãoContudo, essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos três fases principais:

1. Realizar o levantamento e a classificação dos ativos da empresa. 2. Avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a segurança. 3. A infraestrutura de tecnologias, envolvendo tanto aquisição de ferramentas quanto configuração e instalação de soluções, criação de projetos específicos e recomendações de uso. Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo até arriscado,

4

considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças.

No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quanto são críticas são suas operações.

AplicaçõesAlgumas dessas aplicações são:

Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico.

Balanceamento de carga: Ferramentas relacionadas à capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papeis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa.

Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque, etc.

Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede, como servidores e roteadores.

Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados criptografados entre divisões de uma mesma companhia, parceiros de negócios.

Criptografia: Utilizada para garantir a confidencialidade das informações.

Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. O firewall é um software, mas também pode incorporar um hardware especializado.

Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes, certificados digitais) e, em algo que ele seja (leitura de íris, linhas das mãos).

Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito.

Sistemas antispam: eliminam a maioria dos e-mails não solicitados.

Software de backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou

5

incidentes inusitados, a empresa possa recuperá-los. Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos independentes. 

Falsa_SegurançaO maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de segurança, pois pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas. Por isso, os especialistas não confiam apenas em uma solução baseada em software.

Quando se fala em tecnologia é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os três não estejam equilibrados.

Atuação_SeguraNo entanto, ao se analisar a questão da Segurança da Informação, além da importância relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância, pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. A analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

Recursos_de_Proteção

A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de Segurança da Informação com política e normas definidas sem soluções moderníssimas que cuidem da enormidade de pragas que hoje infestam os computadores e a Internet.

Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação.Programas para controlar o acesso de funcionários, que bloqueiem as visitas às páginas suspeitas e evitem sites com conteúdo malicioso, também são destaques. Mas, antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes.Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que

6

demanda urgência e dificilmente está completamente dedicada à segurança?A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança.

Gestor de Segurança da Informação

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da companhia, dentre outras, são atribuições que culminaram na criação da função de  Gestor da Segurança da Informação, CSO –Chief Security Officer. Todas as mudanças importantes ocorridas em segurança da informação demandavam um novo profissional. O gestor de tecnologia não tinha condições nem tempo para assumir toda essa área. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em segurança da informação na busca da eficiência e eficácia no tema.Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de segurança da informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade. Além disso, ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo."Toda empresa precisa de um gestor de segurança."

Responsabilidades:Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo uma pane elétrica ou incêndio.Algumas metas gerais para os gestores de segurança são:

Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO.

Hoje um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios. As qualificações que costumam ser exigidas para esse cargo são:

Geralmente, o CSO possui formação em Ciência da Computação, Engenharia ou

7

Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as consequências positivas. Infelizmente, um profissional tão completo assim não é encontrado facilmente no mercado.

No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência.

Também, estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passou de 647 mil em 2006 para 787 mil em 2009.

GISWSO estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO.

 Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação, e 73% afirmaram que esta tendência se manterá. Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Desse modo, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas.  Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função.Certificação ProfissionalA certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e é bem útil para o desenvolvimento da carreira. As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por exemplo, são meios importantes para conseguir as habilidades necessárias ao cargo. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificaçõesCertified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções. Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é obter certificações de uma associação de segurança profissional para ajudar a impulsionar a carreira.

Ao elaborar o plano de carreira as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para

8

demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

 É importante ressaltar, também, que certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO é necessário saber se comunicar, em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio. O CSO deve ser capaz de explicar os benefícios da segurança, acerca de retorno do investimento (ROI), e seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas.

9