04-05-2012
“Os novos desafios da segurança Informática". Claudio De Paoli, ICT Security Manager
04/05/2012
Em um mundo permeado pelo contínuo progresso tecnológico e a constante evolução dos instrumentos informáticos acessíveis a todos, a segurança das informações, representa um “bem” cuja tutela é cada vez mais importante. Tendo em vista o aumento do grau de criticidade das informações, em caso de danos ou furtos é preciso aprimorar a proteção que tal bem merece e, de consequência, devem-se aumentar as medidas de segurança tanto preventivas como de correção.
Hoje, quando pensamos na evolução tecnológica a que assistimos quase que impotentes durante a guerra fria ou a espionagem industrial para conseguir subtrair informações ao inimigo através dos métodos mais variados, se trata somente de uma longínqua lembrança. Mas, em um mundo em que a informação é o foco central, quer para perseguir objetivos de negócios quer para tutelar a segurança e a defesa dos próprios países, os instrumentos e as atividades de que precisamos predispor para nos defender devem ser plenamente adequadas aos tempos modernos.
No espaço virtual, onde hoje se projetam todos os aspectos da vida cotidiana (político, social, econômico, industrial), é indispensável adotar uma abordagem realmente mirada à proteção das informações. E isso é ainda mais evidente em alguns âmbitos onde a segurança do inteiro “sistema País” possa ser colocada em risco de falha ou, pior, de ataques deliberados: pensemos nas “infraestruturas críticas europeias” identificadas pela Diretriz UE 2008/114/CE, a qual avalia e sustenta a necessidade de se melhorar a proteção de tais infraestruturas.
Em tal sentido, parecer ser oportuno falar de “defesa ativa” quando se entende a adoção de comportamentos, medidas e ações destinadas à prevenção e ao combate a eventos potencialmente prejudiciais ou a ações ilícitas miradas a comprometer o perímetro e a estabilidade das organizações, das empresas, dos países.
Governança da Segurança, Risco e Conformidade
Nestes último anos, vem se reforçando junto às empresas a conscientização de que a segurança eficaz das informações possa valorizar a Organização, reduzindo as perdas causadas por eventos que têm um impacto sobre a segurança e garantindo que acidentes e violações de segurança não provoquemefeitos prejudiciais.
Tal conscientização foi, sem dúvida, se formando também após a introdução, quer em âmbito internacional quer na Itália, de várias normas como, por exemplo: o Decreto-lei 196/2003 ou o Decreto-lei 231/2001, o Sarbanes Oxley Act 2002 e algumas normas de setor como o Data Security Standard emitido pela Payment Card Industry (PCI-DSS), normas essas que obrigam as empresas e as administrações públicas a adotarem medidas técnicas e organizativas em tutela da segurança e da salvaguarda de tipologias especiais de dados.
Gerenciar a conformidade (compliance) com os requisitos impostos por tais normas implica a superação de vários desafios:
- envolver todas as unidades organizativas e a administração na definição de novos processos
- analisar o impacto dos requisitos normativos sobre os sistemas TIC
- identificar e implementar contramedidas aptas a satisfazer, de modo eficaz, os requisitos técnicos
- verificar constantemente a eficácia dos processos de conformidade (compliance) e a correta implementação das contramedidas
- ativar processos de intensificação (escalation) em resposta a eventuais não conformidades de alto risco.
 |
A segurança informática tornou-se, portanto, um dos temas sob a atenção dos dirigentes e da alta gerência das empresas públicas e privadas e requer competências e conhecimentos em vários setores: dos processos de negócios às vulnerabilidades das novas tecnologias, da organização do pessoal aos procedimentos operativos para o gerenciamento de um sistema informativo.
Fraudes, Cybercrime e Infraestruturas Críticas
O fenômeno da comunicação e do intercâmbio de informações e a fruição de novos serviços on-line com base na Internet mudou, de maneira excepcional, não só os nossos hábitos, mas também os cenários de risco ligados à segurança de pessoas, organizações e empresas, assim como o panorama de inteiros países.
O desenvolvimento da Internet também contribuiu para mudar o cenário internacional dos crimes. De fato, os delitos cometidos através do uso de instrumentos informáticos evoluiu totalmente nos últimos dez anos: partindo das atividades de espionagem do início da década de 90 e das ações demonstrativas de umas poucas pessoas com competências técnicas muito verticais, atingiu-se um verdeiro mercado oculto (black market), no qual operam muitas pessoas e organizações criminosas.
As atividades relativas ao mercado negro estão em contínuo crescimento e constituem uma ameaça real para os cidadãos, as empresas, os bancos e os institutos financeiros. Está recebendo umaa atenção por parte de todos os profissionais do setor, a questão sobre o aumento de ataques baseados no uso de simples jogos de ferramentas que podem ser tranquilamente adquiridas na rede por quem quer que seja e a preços extremamente contidos (como, por exemplo, Zeus). Tais ferramentas simplificam a criação de malwares, como os Trojans, e conseguem driblar os equipamentos de autenticação e autorização de sistemas de home banking, mesmo aqueles muito sofisticados. Mas também podem difundir malwares (como, por exemplo, Stuxnet) nos sistemas de controle industrial baseados em PLC (Power Line Communication), aptos a “espiar” uma instalação industrial ou a alterar seu comportamento: trata-se de novas formas de ataque aos sistemas industriais que são, de fato, uma ameaça concreta para a segurança de inteiros países.
Uma outra ameaça incumbente para as empresas públicas e privadas é aquela relativa às fraudes. De fato, vem se registrando um aumento constante no número de acidentes, de furto de informações com o uso de dados recolhidos ilícitamente na rede a fim de se cometerem e “monetizarem” delitos. Estão aumentando também as perdas, em termos econômicos e de imagem, em prejuízo de instituições públicas e de sujeitos econômicos privados.
Recentemente, também o Comitê Parlamentar para a Segurança da República (COPASIR), no “Relatório sobre as possíveis implicações e ameaças para a segurança nacional derivantes da utilização do espaço cibernético”, analisou detalhadamente tais temas e declarou que a defesa do espaço cibernético deve estar ao centro das estratégias de proteção de todos os países, para a defesa de um bem comum, do mesmo modo como está previsto para a proteção de outros “espaços” como, por exemplo, a atmosfera ou as águas internacionais.
É claro que o espaço cibernético pode se tornar o elo fraco da corrente de proteção desenvolvida, no decorrer dos anos, quer pelos órgãos de segurança e defesa dos países quer pelas empresas privadas, em tutela de seus próprios interesses econômicos. Também é claro que todos temos a urgência de desenvolver estratégias de proteção no cyberspace, tendo em vista a absoluta relevância que tal espaço assumiu em nosso mundo.
Evolução das soluções e dos serviços ICT e novas ameaças
Uma outra importante exigência das empresas e das administrações públicas se refere à adequação das estratégias de segurança quanto à contínua transformação do mercado de Tecnologia de Informação e Comunicação (TIC).
O fenômeno dos social networks, a rápida difusão dos smartphones e o advento das tecnologias de cloud computing são um exemplo evidente da rapidez com que o mundo da TIC vem se evoluindo.
A cada um de tais cenários é bastante simples associar uma série de ameaças e suas relativas exigências de segurança:
- a proliferação dos social networks contribuiu notavelmente para a difusão de informações pessoais que muito facilitam o furto de identidade;
- o uso cada vez maior de smartphones está determinando a focalização do mundo do cybercrime no desenvolvimento de ferramentas e instrumentos símiles aos Trojans e aos Malwares aptos a driblar os sistemas de segurança desses novos dispositivos
- o cloud computing, que simplifica significativamente o gerenciamento dos sistemas informativos das empresas, faz surgir uma série de questões importantes quanto às garantias de discrição dos dados, da conformidade com as normas vigentes em um determinado país, da capacidade de os provedores garantirem - de que maneira e com quais níveis de serviços - a continuidade operativa dos processos específicos de um específico setor industrial.
Dessa forma, os desafios da Segurança Informática estão fortemente ligados à evolução das tecnologias do mercado TIC, assim como às mudanças dos paradigmas de oferta desse mesmo mercado: o desafio é conseguir adaptar, de maneira rápida e eficaz, as competências e a organização a essa contínua mutação.
