Sistema de Informação Brasileiro – Problemas e Dificuldades na Segurança das Informações de Gestão Estratégica
A Busca pelo acesso a Rede Mundial de Computadores
Em um relatório divulgado no segundo semestre de 2007 pela Symantec, uma das maiores companhias americanas de segurança na internet do mundo, o Brasil concentra 39% de todos os computadores infectados por “bots” na América Latina. Neste relatório também vemos que esse crescimento de bots por PC se da pelo desenvolvimento do mercado.
Segundo essa pesquisa nunca se vendeu tantos micros no Brasil como agora. A desoneração fiscal e o câmbio favorável à importação de componentes derrubaram os preços e abriram as portas do consumo à classe C. Só no primeiro semestre foram 4,33 milhões de unidades, incluindo micros de mesa e portáteis, de acordo com a Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee).
A estimativa para o ano é de que as vendas alcançarão 10,1 milhões de máquinas, 23% a mais que em 2006. Esses volumes animam a indústria, mas representam um risco maior à segurança da rede.
Além do aumento da base de computadores, outros movimentos positivos do mercado acabam apresentando efeitos colaterais. É o caso das conexões de banda larga, que proporcionam acesso mais veloz à internet.
Segundo um levantamento recentemente divulgado pela Cisco Systems, a gigante americana de redes, o país encerrou o primeiro semestre com 6,549 milhões de conexões de banda larga. Essa infra-estrutura melhorada facilita tarefas como transferir arquivos, baixar música e trocar imagens, mas também expõem o usuário a mais riscos. E ameaças mostram o relatório da Symantec, não faltam - em quantidade e sofisticação.
A Organização do Crime na Internet
Nos primeiros tempos da internet, os hackers competiam entre si pela “honra” de disseminar o vírus que causasse a maior destruição possível. Quanto mais estardalhaço, melhor. Mas os tempos mudaram. Hoje os hackers são silenciosos porque o objetivo é financeiro: eles querem roubar informações financeiras das vítimas, vemos que acabou a busca pela “fama”, o objetivo, agora, é ganhar dinheiro.
O total aumentou das 74.482 invasões via internet mapeadas no segundo semestre de 2006 para 212.101 entre janeiro e junho de 2007. Os cavalos-de-tróia respondem pela maior parte desses riscos e essa preponderância mostra uma mudança significativa na área de segurança, afirma a pesquisa.
Nem sempre o hacker rouba as informações para o seu próprio uso, já existe um mercado em que as informações são revendidas a outros criminosos.
Isso significa que o crime on-line está se profissionalizando. O trabalho da Symantec mostra que já existe um mercado negro organizado de informações financeiras. Pela tabela internacional, dados de cartão de crédito - os mais procurados - valem de US$ 0,50 a US$ 5; os de conta em banco variam de US$ 30 a US$ 400; e os de endereços da internet saem por US$ 2 a US$ 4 o megabit.
Sob essa abordagem “profissional”, o tipo de ataque também está mudando radicalmente. Em vez de usar um único tipo de arma, como um cavalo-de-tróia ou uma phishing, os criminosos partiram para ameaças combinadas.
Um caso examinado pela Symantec no Brasil mostra até onde vai à nova geração de hackers. Ao clicar em um spam do tipo ‘você está sendo traído’, o usuário tinha seu computador infectado por um downloader - um programa que baixa outros aplicativos da internet.
Mais tarde, o downloader baixava um cavalo-de-tróia para a máquina. “Como a transferência não era imediata, o software de antivírus entendia que o download era legítimo e não detectava o cavalo-de-tróia” depois disso, o cavalo-de-tróia ficava hibernando.
Só “acordava” quando o usuário entrava no site de um entre cinco bancos pré-determinados pelo vírus. Então, o cavalo-de-tróia abria uma página falsa, em que eram pedidos senhas, números de conta etc, a título de atualização dos dados. Posteriormente, as informações eram transferidas para computadores instalados na Rússia e China, entre outros lugares.
O golpe era tão bem planejado, que o programa só pedia os dados no primeiro acesso. “Se a solicitação se repetisse nas outras vezes, o usuário poderia perceber que algo estava errado”.
Competitividade no Sistema de Informação
O mercado como um todo hoje no século XXI exige que as negociações sejam realizadas na mesma velocidade que as transmissões dos dados, mas para que isso possa acontecer de uma maneira que satisfaça todos os interessados é necessário que a busca pela excelência na gestão seja uma atividade constante e em eterno desenvolvimento.
Muitos modelos de Excelência da Gestão existem no mercado, contudo as peculiaridades existem no mercado e dentro destas necessidades únicas se busca um modelo que contemple a sistematização das praticas de gestão e padrões de trabalho na organização visando o atendimento das necessidades das partes interessadas no negocio.
Para obter sucesso, as organizações devem estabelecer um sistema de segurança das informações que permita entender as demandas do negocio e atuar, de forma competitiva, para o alcance dos seus objetivos e metas de curto e longo prazo, trabalhando desta forma também com a liderança. Os sistemas de informação estruturados podem apresentar como a liderança é exercida na organização de modo a promover o pleno exercício de orientação e direcionamento para os negócios. Esclarece como as principais decisões são tomadas, comunicadas e conduzidas em todos os níveis da organização.
Padrões para Gerenciamento a Tecnologia da Informação
Todos nós sabemos que a informação é uma questão de sobrevivência mercadológica, gestão de ativos de TI desempenha papel central na estratégia de serviços de informação. Especialmente no que diz respeito a ativos de software, ela permite que a organização maneje de forma competente os programas que tenha adquirido ou desenvolvido. Além disso, relacionam-se com idéias importantes no contexto de negócios e de tecnologia, tais como a segurança de estrito cumprimento dos requisitos legais quanto à propriedade intelectual; a otimização do número e do tipo de licenças a serem mantidas e do respectivo custo associado; a padronização de software ao longo do universo de computadores; e a gestão de configuração do sistema computacional, entre outras.
Saber se a plataforma de TI está posicionada estrategicamente com a empresa é uma questão que deve estar na cabeça de cada gestor, mas também os custos, que são comprometidos pela área, devem ser examinados minuciosamente.
Medir esses dados é difícil, pois, de certa forma, a TI é intangível e o conhecimento da atividade, muitas vezes, é restrito. É comum ouvir falar que os investimentos feitos pela empresa X em tecnologia de ponta foram em bilhões de reais, mas é indispensável saber se o valor aplicado supriu as necessidades; se o montante sofrerá modificações posteriores pela falta de conhecimento prévio do negócio ou se apresenta soluções harmônicas com o alinhamento estratégico da empresa e com os seus planos para os próximos 10 ou 20 anos. Essas soluções extremas e rápidas para gestão da área são anunciadas todos os dias, mas buscar meios mais eficientes e de custo acessível, que demonstrem qualidade, são pontos que devem ser considerados, pois nem sempre o serviço com custo mais alto é o ideal para ser utilizado.
ISO IEC 27000 e ISO IEC 20000
Cresce no mercado a percepção de que segurança da informação é um investimento e não uma despesa. No mundo corporativo, a área financeira, onde as empresas centralizam volumes gigantescos de informações estratégicas, se tornou de fundamental importância para a proteção do negócio.
A adoção e o uso da TI trazem diversas vantagens. Uma delas é a otimização dos processos internos, o que proporciona o avanço dos negócios e aumenta a competitividade. Neste sentido, os recursos disponibilizados pela TI devem ser explorados de acordo com o planejamento estratégico e alinhados à proposta da empresa, pois, do contrário, se utilizados apenas de forma emergencial, só geram custos desnecessários.
Hoje obter a certificação ISO 27001 é o caminho para mostrar ao mercado que a sua empresa é absolutamente segura no tráfego de informações. Esse selo garante que sua empresa tem um modelo de gestão de segurança da informação dentro dos parâmetros aceitos internacionalmente para um bom ambiente de negócios. Ter o certificado ISO 27001 dá um diferencial competitivo para a comunicação e relacionamento com seus públicos, mostrando que a sua empresa garante a segurança das suas práticas internas e das informações dos seus parceiros e clientes. A evolução das normas de certificação permitiu que o modelo britânico BS 7799 fosse incorporado pela ISO. Com respaldo de uma instituição internacional que gerencia o estabelecimento de padrões mundiais de certificação em diversas áreas, a empresa que conquistar a ISO 27001 terá a validação mais importante do mundo corporativo para suas práticas de segurança da informação.
Na verdade, a norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC, o ISO/IEC JTC 1, subcomitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.
A ISO IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos estrutura o SGSI (sistema de gestão de segurança da informação), em que são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:
5.Política de Segurança da Informação;
6. Organizando a Segurança da Informação;
7. Gestão de Ativos;
8. Segurança em Recursos Humanos;
9. Segurança Física e do Ambiente;
10. Gerenciamento das Operações e Comunicações;
11. Controle de Acessos;
12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
13. Gestão de Incidentes de Segurança da Informação;
14. Gestão da Continuidade do Negócio;
15. Conformidade.
A segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.
A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informação.
A tríade CIA - Confidencialidade, Integridade e Disponibilidade - Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve. Os conceitos básicos podem ser explicados:
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
O nível de segurança desejado, pode se consubstanciar em uma política de segurança que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido. Para a montagem desta política, tem que se ter em conta: riscos associados à falta de segurança; benefícios; e custos de implementação dos mecanismos.
ISO IEC 20000 - especificações e boas práticas para o gerenciamento de serviços de TI Baseada na antiga BS 15000, a norma apresenta um conjunto de requisitos certificáveis para a gestão de serviços de TI, e uma de suas principais características é a de estar alinhada às recomendações previstas pelo IT Infrastructure Library - ITIL (Biblioteca de Infra-estrutura de TI). A norma foi publicada em duas partes: ISO IEC 20000-1:2005 - especificações, e ISO IEC 20000-2:2005, que aborda o código de boas práticas para a gestão de serviços de TI.
Auto-avaliação para gestão de software
A ISO tem uma ferramenta de definição para 27 processos da gerência de recurso do software, foi publicado pelo ISO em maio de 2006. Com a uma idéia de facilitar a auto-avaliação em CD, para ajudar organizações a assegurar um ambiente de TI de fácil funcionamento durante a implementação da norma ISO IEC 19770-1: 2006 na gestão de softwares.
Esse sistema permitira que os prestadores de serviço melhorassem a qualidade do serviço prestado aos clientes ele contempla uma interface mais agradável, documentação para auto-avaliação de fácil manuseio, preparação mais rápida para certificação facilitando a analise de gaps e registro do progresso e o fornecimento do status da organização com relação aos requisitos da certificação.
A primeira parte do padrão, já divulgada, ataca os processos de gestão dos ativos de software, divididos em seis grandes áreas:
• Ambiente de controle: cobre os processos, procedimentos, políticas, papéis e responsabilidades, declarações de requisitos e comunicações, assim como a avaliação corrente dos processos de software asset management (SAM)
• Planejamento e implementação: mapeia as atividades previstas, os recursos necessários, as estrutura de relatórios, medidas e verificações e um processo de melhoria contínua.
• Inventário: define a seleção de escopo, a confirmação dos ativos incluídos e a monitoração auditável de sua existência, acesso, utilização e armazenamento.
• Verificação e conformidade: cobre os processos de identificação e registro de ativos de software e a validação do inventário contra as licenças existentes, além de outros processos relacionados.
• Gestão de operações: Cobre a política de segurança e evidências documentais de implementação, a gestão de relacionamento com fornecedores e os respectivos contratos, incluindo as relações com clientes e usuários e a manutenção de acordos de nível de serviço (SLAs) para a gestão e manutenção de documentos contratuais e orçamentos.
• Ciclo de vida: cobre o ciclo de vida dos ativos de software, desde a perspectiva de gerência de mudança, passando pela sua seleção, aquisição e/ou desenvolvimento, gerência de incidentes e problemas, até sua cessação de uso, transferência, destruição, etc.
A segunda parte do standard, ainda não publicada, vai definir critérios para a identificação de produtos, com o objetivo de facilitar o processo de inventário.
Conclusão
O processo de certificação ISO 20000 é semelhante ao de outras normas bastante conhecidas, como a ISO 9001:2000. Após a implementação do Sistema de Gestão (que envolve o apoio da alta administração ao longo de todo o processo, a documentação do sistema incluindo o fluxograma de processos, o treinamento dos funcionários, entre outros requisitos), a empresa realizará uma pré-auditoria seguida da auditoria de certificação. As manutenções serão feitas anualmente e após três anos será feita a auditoria de recertificação.
Com a aplicação da norma, o setor de tecnologia da informação, que está sempre em busca de inovações, melhores resultados na prestação de seus serviços e preocupado em garantir a satisfação de todos os seus clientes, passará a ter maior controle de seus processos e os tornará cada vez mais eficazes e alinhados, de acordo com os novos requisitos, garantindo assim o sucesso de suas negociações, em um mercado cada vez mais competitivo e globalizado.
Abraços,
Ranieri Marinho de Souza
Segurança da Informação