Queira o Sr. Perito comentar a importância da segurança da informação e a prevenção “in-house”

Em tempos de vazamento de informações de sites de encontros[1] e com a constante exposição de fotos íntimas de celebridades,[2] muitas pessoas tem se perguntado se casos de ataques cibernéticos, crimes eletrônicos e principalmente vazamento de informações são assuntos exclusivos de governos e autoridades. Na verdade, esses assuntos estão mais próximos do nosso dia-a-dia corporativo do que possa parecer.

No nosso país, os vazamentos de informações corporativas têm crescido constantemente nos últimos anos. Esses incidentes geram prejuízos enormes, tanto em termos financeiros quanto de reputação. Pesquisas do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) mostram que os gastos das empresas com vazamento de dados pode ultrapassar a cifra d R$ 9 milhões. Ainda segundo o CERT.br o número de incidentes de perda ou roubo de dados vem crescendo nos últimos anos.[3]

Dois interessantes exemplos internacionais aconteceram na agência americana de benefícios para veteranos de guerra: “US Department of Veterans Affairs” (VA). Um laptop e um Hd externo da entidade foram roubados e milhares de informações pessoais vazaram[4]. Os dispositivos continham milhares de dados médicos e informações pessoais. Em decorrência disso, muitos dos afetados processaram a organização. Em um segundo caso,[5] uma falha em uma atualização no website da entidade permitiu que um usuário acessasse dados de outras contas. Uma série de falhas de segurança e de controle ocorreram permitindo o incidente.

Mesmo com todos os procedimentos de segurança disponíveis, muitas empresas, órgãos públicos e inclusive militares têm dificuldade de evitar que esse tipo de evento aconteça. Outro exemplo aconteceu com a clínica de transfusão de sangue irlandesa “The Irish Blood Transfusion Service” (IBTS), onde milhares de dados ficaram expostos após o roubo de um dos computadores[6]. Como o IBTS usava em suas análises dados reais e não de teste, acharam melhor contatar as 170.000 pessoas diretamente e explicar como seus dados foram roubados, embora os dados estivessem criptografados.

Exemplos nacionais também não faltam. Em um caso recente, o Metrô se viu em uma situação difícil com possível vazamento de informação de um de seus altos executivos[7]. Um ex-secretário que liderava algumas Parcerias Público-Privadas (PPP) foi acusado de enviar informações sobre os investimentos do Metrô a uma consultoria antes de eles se tornarem públicos.

Normalmente os incidentes mencionados ocorrem com a ajuda de pequenos dispositivos externos [HD externos, CD-ROM’s, Laptops]. Atualmente, dispositivos bem menores como celulares, cartões de memória e pendrives podem armazenar muitos GB ou TB de dados e estão à disposição de centenas de usuários.

Independente se uma empresa já foi alvo de um incidente de segurança ou vazamento de informação, tem aumentado no mercado a preocupação com a internalização e centralização das informações, com a falsa sensação de que essa medida evitaria possíveis incidentes. De fato, uma medida que tem grande valor para as empresas é a cultura interna de segurança da informação. Já estamos habituados com posições como o “in house counsel”, soluções de TI “in house”, mas ainda sentimos falta de uma cultura de segurança “in house”.

É importante separar o conceito de “cultura de segurança in-house” de manter os dados empresarias “in-house”. É fato que hoje em dia, empresas de cloud computing e outsourcing investem massivamente em dispositivos de segurança e controle de acesso e certamente farão uma gestão dos seus dados de forma adequada. Ao escolher um bom fornecedor, muito provavelmente os dados da sua empresa estarão seguros.

O problema que existe tanto nas empresas que mantem os dados internamente ou nas que optam por terceirizar esse serviço é a falta de cultura interna de segurança. Não adianta ter todos os controles e senhas complexas, por exemplo, se o usuário anotar a senha ao lado do teclado. É muito importante que as áreas de segurança da informação, TI e recursos humanos trabalhem juntas para efetivamente explicar aos funcionários sobre os riscos existentes e as implicações de suas atividades. Não só no uso de senhas e acesso à rede, mas também os tipos de ataques existentes. Casos de ataques utilizando engenharia social[8] por exemplo, são cada vez mais comuns. É muito importante, portanto que as empresas invistam em políticas de conscientização, treinamentos e normas internas para reforçar o assunto e efetivamente criar uma cultura de preocupação com o tema.

Independente da cultura bem implantada, está cada vez mais difícil para as empresas terem o controle sobre seus dados e os das atividades executadas por seus funcionários. Nossa realidade de horários de trabalho mais extensos, constantes viagens com acesso a internet em locais públicos, uso de laptops, entre outros contribuem para a dificuldade de controle. Trabalhar remotamente, por exemplo, já é realidade em muitas empresas, mas acarretam em alguns riscos. A boa notícia é que já existem algumas medidas padrões difundidas por organismos internacionais como as do “National Institute of Standards and Technology” (NIST)[9] que visam diminuir esses riscos. Algumas delas incluem treinamentos e campanhas de conscientização que certamente irão ajudar os usuários a entender melhor seus deveres e responsabilidades. Mas, além de aculturar os usuários outras medidas podem ser adotadas. Mesmo se a empresa tiver suas bases de dados centralizados, deve-se ter muita atenção com o controle de acesso as pastas e arquivos. As famosas ACL (Access Control Lists) e as trilhas de auditoria/logs ajudam a ter o correto rastreamento das atividades dos usuários e existem outras formas que devem ser levadas em consideração. Vamos a algumas delas:

Para os dados que permanecerem internos ou não puderem ser migrados para ambientes de Data Center ou Cloud, existem algumas opções técnicas que podemos utilizar. No caso do US Department of Veterans Affairs” (VA), a solução foi armazenar dados sensíveis utilizando técnicas de ofuscação que consistem em transformar o código ou base de dados em outro menos legível para o ser humano. Entretanto, deve-se ter muito cuidado, pois alguns dados [especialmente públicos] podem relacionar-se com outras bases que precisarão “enxergar” os dados ofuscados, e se não houver uma boa integração poderá haver perda de desempenho e integridade. Um exemplo clássico é o utilizado na indústria de cartões de crédito que armazena somente os 04 últimos dígitos dos cartões de crédito. Esse é um requisito do padrão da indústria PCI-DSS que inclui, também, não armazenar os códigos de verificação. Nesse sentido, outras empresas de outros mercados também poderiam desenvolver novas formas de armazenagem segura de dados eletrônicos.

Outro conceito importante a ser considerado como forma de proteção de dados é o da criptografia e existem diversos softwares pagos e gratuitos capazes de fazer isso. Entretanto, deve-se dar atenção a alguns pontos. O primeiro deles é a respeito do padrão de criptografia escolhido, é recomendável dar preferência aos padrões reconhecidos como o “Advanced Encryption Standard” (AES). Outro ponto importante é o fato de que a criptografia é baseada em senhas definidas pelos usuários e, portanto, eles devem entender a importância da criação da senha fortes, do não compartilhamento da senha e da possibilidade de um invasor utilizar técnicas de força bruta para descobrir sua senha. É fundamental que a empresa crie, também, políticas com definições específicas para a criação de senhas (tamanho, complexidade, duração etc.). Além disso, é importante manter os tokens e dispositivos de segurança separados [normalmente os usuários mantêm ambos juntos em suas malas e mochilas]. Se descobrirmos que um disco criptografado e a senha/token sumiram juntos, seria o mesmo que ter os dados desprotegidos em estado original. Existem algumas novidades nesse campo, como os tokens baseados em leitores biométricos, mas já existem alguns tipos de ataques que capturam esse tipo de dado e os laptops por si só são uma boa fonte para se conseguir impressões digitais.

Uma informação que às vezes é esquecida é que muitas formas de armazenamento temporário, como o armazenamento do navegador e logs de firewall, também podem conter dados confidenciais. É importante que as equipes de TI atentem para esses detalhes, por exemplo, ao reportar um problema para o suporte do fabricante do seu firewall e ao enviar dados e logs para o diagnóstico do problema.

Outro ponto que deve ser levado em conta são os dados de credenciais. São aqueles preenchidos em formulários na internet quando nos autenticamos em algum serviço e colocamos nosso código de usuário e senha. Essa informação pode ficar armazenada no navegador e com técnicas adequadas pode cair nas mãos erradas. Embora esse seja um ponto de atenção, se ocorrer algum tipo de violação de credenciais é possível bloquear o código de usuário impedindo acessos indevidos. Além disso, se houver bons sistemas de controle de acessos e se os logs estiverem armazenados adequadamente, pode ser possível rastrear a origem do acesso indevido. Deve-se ter atenção especial quando se utiliza recurso “single-sign-on” (SSO) onde com uma mesma senha o usuário consegue acessar diversos sites dentro da empresa.

Novas tecnologias e conceitos também têm preocupado as empresas. Alguns exemplos são o crescente uso de dispositivos tecnológicos pessoais como celulares e tablets nas empresas [conhecido como BYOD], aumento da facilidade de uso de dados armazenados em nuvem, a popularização de proxies, o aumento das redes wi-fi disponíveis, entre outros. Todas essas novas tecnologias que estão à disposição de praticamente todos os usuários aumentam a dificuldade de se obter uma boa segurança interna de dados.

Em linhas gerais, as empresas devem estar prontas para responder rapidamente e combater a perda/vazamento de dados. As áreas de compliance e de relação com investidores devem estar atentas as normas e regras de guarda de dados de clientes [compliance] e qual a melhor maneira para informar os clientes sobre possíveis falhas ou violações [assessoria de imprensa e relação com investidores]. Ainda que se tenha políticas de segurança e se utilize tecnologia para proteção de dados e controles, sempre existe a possibilidade de haver uma pequena vulnerabilidade que, uma vez explorada, pode acarretar no vazamento de dados ou na violação de informações confidenciais. Lidar com perdas de dados faz parte de uma matéria maior que é a resposta a incidentes – O NIST tem um bom guia sobre isso também.[10]

Sabemos por experiência que no mundo real a conveniência e a facilidade sempre vencem a segurança, portanto, se os dispositivos seguros não oferecerem a mesma facilidade dos “inseguros”, os usuários não irão utilizá-los e, portanto, não teremos sucesso em mitigar os riscos de vazamento.

Existem diferenças entre os níveis de segurança que uma empresa pequena, uma multinacional e um órgão ou agência de governo podem utilizar, principalmente quando falamos de bons recursos internos. No caso da pequena empresa que não tem os recursos necessários dentro de casa, existem diversas empresas nesse setor que com certeza poderão ajudar.

Já encerrando, 4 recomendações para lidar com perdas de dados:

  • Ter um bom planejamento para lidar com incidentes;
  • Identificar os dados confidenciais e reforçar os controles – Atenção especial com parceiros e envio de computadores para reparo, manutenção etc.;
  • Utilizar criptografia de nível de objeto e disco sempre que possível, e com um bom gerenciamento de chaves;
  • Criar políticas de segurança, treinamentos sobre o tema. –Efetivamente validar se os funcionários conhecem todos os riscos e estão cientes das medidas necessárias.

Um último conselho é que os desenvolvedores e responsáveis pela TI considerem a segurança desde o inicio de um desenvolvimento de sistema ou escolha de serviço/software. Somente dessa forma, poderemos diminuir os já altos riscos que enfrentamos.

Certamente temos muitos desafios na matéria de prevenção de dados, mas a tecnologia, se utilizada corretamente, certamente será uma aliada nessa difícil missão.


[1] http://gizmodo.uol.com.br/ashley-madison-oferece-mais-de-r-1-milhao-por-informacoes-que-levem-aos-responsaveis-pelo-vazamento/

[2] http://www.brasilpost.com.br/2014/09/01/bug-apple_n_5749278.html

[3] Mais em:http://economia.ig.com.br/empresas/2013-08-13/gasto-de-empresas-com-vazamento-de-dados-pode-chegar-a-r-9-mi-no-brasil.html

[4] Mais em: http://www.scmagazine.com/us-veteran-affairs-department-settles-data-breach-case/article/126518/

[5] Mais em: http://www.legion.org/veteransbenefits/218278/vas-ebenefits-suffers-data-breach

[6] Mais em: http://blogs.ics.ie/itlaw/2010/03/08/data-protection-security-breaches-in-ireland-%E2%80%93-are-we-reaching-a-turning-point/

[7] Mais em:http://www1.folha.uol.com.br/poder/2013/09/1347560-cai-suspeito-de-vazar-dados-do-metro.shtml

[8] Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

[9] User’s Guide to Securing External Devices for Telework and Remote Access, NIST special publication 800-114, Nov. 2007; http://csrc.nist.gov/publicat ions/nistpubs/800-114/SP800-114.pdf.

[10] Computer Security Incident Handling Guide, NIST special publication 800-61,revision 1, Mar. 2008; http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s