190 views 20 mins

Tecnologia 16/06/2016

em Tecnologia
quarta-feira, 15 de junho de 2016

A Segurança Digital e os Perigos Internos

A vulnerabilidade interna da rede combina o risco digital com o acesso de pessoas às áreas físicas do sistema, como discos rígidos, conexões wireless e portas USB

banner03 temporario

Rodrigo Fragola (*)

A preocupação com a segurança digital “dentro de casa” ainda está muito aquém do enorme potencial de dano que o usuário interno representa para o ambiente empresarial, e aqui não me refiro apenas ao indivíduo mal intencionado, mas também ao mal treinado ou comportamentalmente inepto diante dos riscos externos.
Enquanto 92% dos CIOs se dizem altamente preocupados com os riscos de invasões externas, apenas pouco menos que a metade desse contingente vê a ameaça interna como extremamente preocupante, segundo pesquisa da Vormetric. Não se trata, é claro, de se disseminar uma visão hostil dos colaboradores, mas o perigo é extremamente alto, mesmo se considerarmos o caráter ético e benigno da expressiva maioria.
Chega a ser um dado curioso esta aparente displicência com a vulnerabilidade caseira, tendo-se em conta a extensa literatura que faz referência ao problema, como é o caso desse recente estudo da Security Intelligence, mostrando que 46% dos prejuízos à segurança empresarial provém de uso mal intencionado ou inadequado da rede por parte de colaboradores próprios ou visitantes credenciados.
Curioso e surpreendente, mas nem tão difícil de entender em função de alguns aspectos espinhosos. Ocorre que a segurança interna requer um “pequeno” requisito que a maior parte das empresas não tem, que é uma visão sistemática de todo o seu ciclo de informação.
Um negócio bastante complexo, que chega até a desanimar devido a seus diversos requisitos conjugados e de natureza bastante distinta, tais como os listados abaixo:
1 – O mapeamento logístico dos dados e sua classificação por camada, segundo a taxa de criticidade ou valor estratégico para o negócio;
2 – O inventário das aplicações com iguais parâmetros de discernimento, para orientar as políticas de acesso, execução ou configuração;
3 – O código explícito de conduta de segurança da informação, abrangendo o mundo virtual e suas intersecções com o mundo físico (por exemplo, como descartar discos rígidos ou regras para o uso de Bluetooth no ambiente empresarial).
4 – A instauração -via educação continuada e via explicitação de princípios – de um comprometimento ético e responsável no uso dos recursos de TI, incluindo-se aí o compromisso de emprego não recreativo e não promíscuo da Internet.
5 – O mapeamento e monitoração de vigilância do pessoal que acessa o ambiente e, em especial, aquele que se pode classificar como “peopleware”, em face de acesso privilegiado às áreas críticas do sistema.
6 – O mapeamento detalhado da rede física e sua parafernália de dispositivos fixos ou temporários (e aqui entram desde desktops até máquinas de PDV, câmeras web e aparelhos do mundo BYOD).
7 – E por último, mas não menos importante (aliás, até mais importante que o resto), o aparato de tecnologia para prevenção, detecção, resposta e gerenciamento abrangendo todas as seis camadas (domínio, firewall, conexões, dispositivos, usuários e aplicações).
Sem a pretensão de esgotar a lista, acredito que o rol acima já dá uma noção do quanto a segurança interna possui um volume de complicadores muito maior do que a externa, na qual a finalidade essencial (já bem complicada) é mapear as brechas, cercar o ambiente cibernético, isolar os repositórios de dados e gerenciar as conexões e acessos no ambiente.

UM CADEADO PARA CADA PORTA USB
É evidente que boa parte dos elementos acima compilados pertence também às exigências típicas da política de segurança externa, mas pesa muito, na minha avaliação, o diferencial do elemento humano, com sua monumental curiosidade associada ao quase incontrolável livre arbítrio e – o que é pior – à posse de senhas de acesso às aplicações e dados de negócio.
E note que ainda não mencionei a dificuldade de se controlar o acesso físico desses indivíduos a áreas altamente vulneráveis, como a sala do data center ou a porta USB do servidor ou de milhares de laptops conectados ao núcleo nervoso da firma.
É uma quantidade grande e diversificada de fatores que tornam a segurança interna um assunto que ultrapassa bastante o conhecimento do técnico de TI e exige, no mínimo, a troca de experiência entre ele e o pessoal da guarda patrimonial e entre ambos e o setor de RH.
Em corporações maiores, essa interação básica iria exigir até a participação de um setor de inteligência capaz de imergir inclusive sobre propensões sociais dos funcionários ou sobre os antecedentes de free lancers que tenham acesso mais profundo à rede ou aos ambientes físicos.
Em um debate sobre segurança digital reunindo dirigentes do setor financeiro, o chefe de segurança de um grande banco recomendou aos CSOs presentes que a troca periódica dos laptops, ou outros equipamentos processados, não requeira unicamente a formatação profunda de suas memórias digitais, mas a destruição física das mídias e seu descarte unicamente após estarem 100% irrecuperáveis.
Pode parecer paranoia: mas a revista online americana “Which?” comprou oito discos rígidos usados de diferentes ofertantes do eBay e, com um esforço muito pequeno e um aplicativo achado no Google, conseguiu recuperar cerca de 22 mil arquivos que permitiam reconstituir em boa parte a vida e os negócios dos antigos donos.
À parte esses riscos difusos (na fronteira entre o digital e o físico) há estudos a atestar que 75% dos roubos de informação valiosa nas empresas não são aqueles perpetrados por ataques externos de “força bruta” ou qualquer tipo de estratagema hacker. São roubos feitos por pessoal credenciado, que têm em suas mãos a chave do tesouro de dados ou apenas uma permissão bem banal, como a de poder imprimir arquivos.
Assim, o conselho que posso dar é que o homem de segurança de TI comece ao menos a considerar o fator interno como o portador do potencial de dano maior, mesmo sabendo que não conseguirá em médio prazo equacionar toda essa problemática.
Até porque, se conseguir uma boa redução nesses aspectos da vulnerabilidade “em casa”, a consequência vai aparecer também na forma de uma resistência maior em relação aos hackers.
O que não é nem um pouco recomendável é a tão disseminada prática de se estabelecer controles de vigilâncias pouco (ou nada) transparentes, como o monitoramento de email e de hábitos de navegação sem conhecimento explícito (e formalmente reconhecido) por parte dos funcionários.
Ao invés disso, um passo mais profissional, ético e juridicamente seguro seria a criação de um código de transparência (que dá ciência ao funcionário sobre a livre e proativa monitoração de suas atitudes e conteúdos no âmbito da rede empresarial).
Esse patamar mais evoluído de conduta exigirá a adoção de algum aparato inteligente, como uma central de gerenciamento unificado de segurança, por exemplo. A simples implementação de tecnologias dessa natureza já ajuda bastante o corpo técnico a obter uma ótima lista de parâmetros combinados que, em geral, já vêm embutidos no manual e nos requisitos de uso desses próprios sistemas dedicados.
E para concluir, menciono o dado paradoxal de que os controles ostensivos aqui referidos não têm sido objeto de resistência ou antipatia pela maior parte dos funcionários nas empresas.
Pelo contrário, o funcionário se sente mais respeitado e protegido quando o monitoramento se dá de forma explícita e previamente acordada entre ele e o representante da segurança interna. E, a partir desse acordo básico, cada um dos usuários fica apto a ser recrutado pelo homem de TI como mais um responsável não só pelos seus atos, mas pela segurança do ambiente como um todo.

(*) É Presidente da Aker Security, Vice-Presidente de Segurança e Defesa do Sindicato da Indústria da Informação (Sinfor) e Diretor de Segurança e Defesa da Associação Brasileira das Empresas de Software(Assespro-DF).

Wolters Kluwer disponibiliza nova versão de seu sistema de auditoria fiscal

banner03 temporario

Sempre investindo na evolução de seus sistemas para proporcionar credibilidade e precisão aos negócios de seus clientes, a Wolters Kluwer, por meio de sua marca Prosoft, apresenta ao mercado a nova versão do Prosoft Auditor Fiscal. Baseado em nuvem, o software realiza auditoria dos arquivos do SPED, reportando inconsistências por meio de relatórios analíticos, cruzamentos de informações e análise dos riscos fiscais por tributos, para que as empresas certifiquem-se de que as obrigações auditadas estejam em total conformidade com a legislação brasileira.
Desenvolvido para proporcionar maior produtividade na auditoria eletrônica das empresas obrigadas a entregar os arquivos do Sistema Público de Escrituração Digital (SPED), o Prosoft Auditor procura inconsistências na EFD Fiscal, EFD Contribuições, Sintegra, ECD Contábil, ECF, Livros Eletrônicos de Brasília e Pernambuco, baseado nas regras determinadas pela legislação vigente. O software audita os arquivos, em segundos, efetuando desde verificações estruturais até complexas análises fiscais. O usuário precisa apenas acessar a ferramenta e realizar o upload de seus arquivos.
Com interface renovada, mais simples e intuitiva, o software traz novas funcionalidades que proporcionam maior produtividade na auditoria eletrônica de arquivos. O sistema permite a análise de mais de uma empresa e a utilização por mais de um usuário, resultando em maior agilidade nas auditorias de múltiplos arquivos.
Além do armazenamento das informações, a medida que novos arquivos são auditados, o sistema exibe mês a mês comparativos de evolução dos tributos e das divergências de cada empresa. O sistema possui mais de 20 mil auditorias e sua exibição é em formato de gráfico dos riscos fiscais por tributos encontrados nas auditorias realizadas (www.wolterskluwer.com).

Segurança da informação: As lições do vazamento de senhas do Twitter

Abílio Pettenazzi (*)

Os hackers mostraram novamente sua força. Na última semana, foram disponibilizadas, por meio da Deep Web, mais de 32 milhões de senhas de usuários do Twitter

A ideia era vender na internet informações dos usuários afetados, como nome, endereço, e-mail e outras senhas. Deep Web refere-se ao conteúdo da web que não é indexado pelos mecanismos de busca padrão, ou seja, são “invisíveis”.
Esse é mais um caso de sucesso dos cibercriminosos, que cada vez mais invadem sistemas e expõem dados de usuários mundo afora. O site haveibeenpwned.com, por exemplo, traz uma lista com diversos outros casos, como da Forbes, LinkedIn, Myspace, Snapchat, Sony e Vodafone. O portal permite também consultar se sua conta foi afetada.
Quais lições podemos tirar de um caso como este? E por que um roubo de senhas de uma rede social pode trazer insegurança para as empresas?
A partir do momento que os dados foram expostos na Deep Web, um grupo de cibercriminosos que esteja trabalhando em um ataque a uma empresa específica pode se beneficiar desses dados.
Os usuários do Twitter, em sua maioria, estão ligados aos nomes das pessoas físicas que são proprietárias das contas. Por exemplo: a probabilidade da conta do João Silva no Twitter ser @joaosilva ou alguma variante simples desse exemplo como @jsilva ou @silvajoao é bem alta.
Caso esta pessoa trabalhe em uma empresa que está sendo alvo de ataque de cibercriminosos, o acesso a um modelo de senha do usuário irá facilitar o ataque. A probabilidade da senha do Twitter ser igual ou muito parecida à da rede corporativa é alta. É assim que um ataque direcionado para roubar dados de empresa consegue ter sucesso, explorando dados disponíveis dos usuários da empresa na web, seja na Deep Web ou em redes sociais. Por isso, todo cuidado é pouco.
O Cybercrime já virou uma indústria lucrativa que movimenta mais de US$ 1,5 Trilhão de dólares ao ano, de acordo com dados apresentados por empresas do setor de segurança da informação.
Com a chegada do artificio Bitcoin, moeda digital que não possui rastreabilidade em suas transações financeiras, o cibercriminoso agora pode fazer dinheiro virtual e depois trocá-lo por dinheiro real. O Bitcoin acelerou o crime sem fronteira, portanto hoje uma empresa de qualquer tamanho e setor pode ser atacada virtualmente de qualquer lugar do mundo.
Um motivo que aumenta os riscos é o fato de empresas, principalmente de menor porte, possuírem menos investimentos e infraestruturas de segurança, o que facilita o ataque dos cibercriminosos. É como na vida real: é mais fácil invadir uma casa cheia de câmeras, seguranças, cercas elétricas e sistemas de alarme ou uma com uma com apenas portão e grades?
É preciso sempre investir na conscientização de seus usuários, capacitação da equipe de TI e escolher as tecnologias que atendem melhor a necessidade da companhia de acordo com o plano de segurança, sempre levando em conta três fatores: aderência da tecnologia ao ambiente, preço e relacionamento com o fornecedor.
Para o caso da exposição de senhas do Twitter, o ideal seria solicitar a troca de senha de todos os usuários da rede corporativa da empresa, aplicando sempre a regra de senhas padrão com no mínimo oito caracteres, incluindo letras, números e símbolos, que não sejam iguais às últimas 10 senhas gravadas.
E outro ponto importante é divulgar casos como este do Twitter para os colaboradores como forma de alerta tanto para a vida pessoal quanto para prevenção da segurança da informação no ambiente corporativo. Dessa maneira, a empresa pode aprender com o ocorrido e também minimizar os riscos.

(*) É Gerente de Produtos da Brasoftware – Especialista em Segurança, Virtualização e Disponibilidade