O impacto político, financeiro, de desempenho da implantação de políticas e métodos de segurança
Por: Airon Fonteles da Silva
Introdução
Gerência de redes. O termo já teve seus altos e baixos, mas se mantém vivo para os profissionais da área. É bem verdade que a maioria esmagadora das empresas utiliza uma técnica bem conhecida para fazer a gerência: a gerência da porta aberta. Basicamente esta técnica se resume ao nosso “gerente de rede” sentado em sua cadeira, com a porta de sua sala aberta, esperando alguém gritar e reclamar por um serviço que deixou de funcionar corretamente.
Mais difícil ainda é a gerência de segurança. Sim, esta é mais uma área de gerência de redes que é pouco conhecida e pouco implementada pelos profissionais da área. Mesmo supondo que a empresa em questão tenha implementado uma política de gerência de redes e existam regras de segurança, a gerência dessas regras ou políticas é feita quase que de forma empírica.
Políticas de segurança
Bem, a gerência de segurança está baseada em regras de segurança, ou seja, temos que ter, antes de tudo, uma política de segurança. Em redes de qualquer dimensão este aspecto deve estar presente desde a concepção da mesma. É um aspecto importante, pois tem impacto direto em escabilidade, desempenho entre outros.
Podemos observar claramente que uma política de segurança consiste em especificar formalmente as regras que deverão ser seguidas pelas pessoas para acessarem os recursos da empresa.
Independente da política de segurança ter sido concebida na parte de projeto da rede em questão, prática altamente recomendada, mas usualmente não seguida, temos os seguintes passos a seguir:
a) Identificar o que você está interessado em proteger;
b) De quem você está preocupado em proteger;
c) Determinar quais as principais ameaças;
d) Implementar as medidas que protegerão os recursos com uma boa relação custo-benefício;
e) Rever este processo continuamente aperfeiçoando e eliminando possíveis falhas.
Impactos econômicos
Entre as atividades necessárias para a implementação de uma política de segurança, encontramos alguns entraves que podem causar problemas relativamente sérios para uma implementação que traga os resultados desejados. Isso acontece porque a implementação de uma política como esta tem vários pontos de contrapartida. Vejamos alguns deles.
Todos os problemas que encontramos aqui podem ser sérios e comprometer a implementação de uma política de segurança. Do ponto de vista econômico, por exemplo, existe um custo para se implementar tal política. A questão que deve ser apresentada é: é economicamente viável sua implementação? Profissionais da área de TI sempre irão dizer que sim, pois segurança é essencial em qualquer empresa. Mas essa não é a maneira de pensar de quem tem o dinheiro pra investir na empresa.
Vejamos, a maneira mais fácil de convencer quem detem os recursos para investimento fazê-lo, é apresentar uma análise de retorno de investimento (Return of Investiment, ROI). A grosso modo, o que deve ser feito é uma análise de em quanto tempo o investimento feito terá o seu retorno e compará-lo com o tempo necessário para que este mesmo investimento tivesse retorno caso fosse feita uma aplicação tradicional. Isto é o que justificaria o investimento na política de segurança. É desta maneira que calculamos se ela será ou não viável. Mas temos um grave problema neste ponto. Como mensurar os ganhos, perdas e custos da política de segurança? Este é realmente um problema complexo onde atualmente temos muitas incertezas e temos que lidar com estimativas. Além disso, temos que lidar com o valor da informação, que costuma ser uma coisa intangível.
Dentro deste mesmo panorama, podemos citar como exemplo, o custo de treinamento de pessoal, o custo de se implantar um firewall ou um sistema de detecção de intrusão. Esses últimos requerem uma análise não apenas de custo de software ou hardware. Temos que analisar também os impactos na utilização dos recursos que a habilitação deste tipo de ferramenta incorre.
Impactos de desempenho
Um estudo interessante é apresentado em [Paulo03]. Nele são apresentados os impactos da utilização de mecanismos de segurança em redes 802.11. O que temos na verdade é um estudo dos impactos de desempenho, que claramente tem forte ligação com a questão econômica, que a implementação deste tipo de ferramenta acarreta. Por exemplo, a utilização de criptografia de chave pública requer um tempo de processamento adicional nos hosts envolvidos.
O sonho dos profissionais de segurança é que toda comunicação seja de feita de forma criptografada, que tenhamos firewalls e sistemas de detecção de intrusão rodando permanentemente, enfim, que sejam implementados todas as ferramentas possíveis para proteger a informação e a infra-estrutura de rede da empresa. Mas tudo isso tem um custo que não pode ser desprezado. Por isso que esta análise, mesmo que subjetiva em alguns aspectos deve ser levada em consideração na elaboração de uma política de segurança.
Nesta questão de desempenho, faltam ainda muitos estudos para que uma melhor gerência de segurança possa ser colocada em prática, mas o caminho já foi iniciado e muito em breve teremos condições de analisar melhor os impactos que cada medida tomada tem nos recursos disponíveis e termos a possibilidade de tomarmos as melhores decisões para a utilização dos mesmos.
Impactos políticos
Adicionar regras de acesso a recursos nem sempre é tarefa das mais fáceis. Este é apenas um exemplo do que podemos esperar com a implementação de uma política de segurança.
Delegar direitos, restrições, obrigações e responsabilidades são políticas fundamentais na elaboração de uma boa política, pois o principal risco de segurança está nas pessoas. Sejam elas administradores que não fizeram uma atualização necessária em um software essencial, ou mesmo um funcionários insatisfeitos que têm acesso a mais informações do que deveria.
Este é um ponto em que a gerência pode ser feita de uma maneira satisfatória pois desta vez estamos lidando com coisas que se pode verificar um pouco mais facilmente. Neste caso, é de suma importância realizar auditorias periódicas para verificar se estas políticas estão sendo de fato obedecidas.
Como gerir tudo isso?
Obviamente não há ferramenta disponível que seja capaz de lidar com tamanho nível de incerteza e abstração. Por isso que a gerência de segurança é um tema as vezes pouco abordado pelos profissionais da área. Uma possível solução para isto é a adoção de ferramentas individuais.
Pode-se, por exemplo, analisar um intervalo de confiança em que se é possível realizar determinada atividade e através de determinada ferramenta individual (um sistema de gerenciamento de chaves, por exemplo), ajustar o nível de segurança para se obter uma melhor qualidade de serviço sempre respeitando o nível mínimo de segurança exigido pela mesma.
Esta não é tarefa das mais fáceis numa rede de grandes proporções. Ainda há muita coisa a se fazer e muita coisa já está sendo feita para melhorar o patamar em que nos encontramos. Mas uma boa política de segurança aliada com a gerência da mesma continua sendo indispensável para qualquer empresa, independente de suas dimensões.
Referências
[Paulo03] Paulo Ditarso M. Júnior, Bruno A. A. Nunes, Carlos A. V. Campos, Luís F. M de Moraes. Avaliando a Sobrecarga Introduzida nas Redes 802.11 pelos Mecanismos de Segurança WEP e VPN/IPSec. WSeg 2003 - XXI Simpósio Brasileiro de Redes de Computadores (SBRC2003)
[rfc2196] RFC 2196 - Site Security Handbook. The Internet Engineering Task Force, September 1997
[Orl91] Eugenio Orlandi. The cost of security. Proceedings 25th Annual 1991 IEEE International Carnahan Conference on Security Technology, 1-3 Oct. 1991 Pages: 192 - 196
[Spy00] Evdoxia Spyropoulou, Timothy E. Levin, and Cynthia E. Irvine, Calculating costs for quality of security service. Proceedings of the 16th Annual Computer Security Applications Conference, New Orleans, Louisiana, USA, December 11-15, 2000, pp. 334–343.
[Ste91] Daniel F. Sterne, On the Buzzword “Security Policy” Proceedings IEEE Computer Society Symposium on Research in Security and Privacy, 20-22 May 1991 Pages: 219 - 230
Abraços,
Ranieri Marinho de Souza
Segurança da Informação