Blog Nuno Perry :: Por uma questão de segurança

Li recentemente numa revista da especialidade que os profissionais de Tecnologias de Informação (TI) mais procurados no mercado, a curto prazo, serão os especialistas em segurança e bases de dados.

A segurança está muito na moda. Deixou de ser apenas uma preocupação, que normalmente consistia em ter apenas um software anti vírus actualizando. A segurança passou a ser uma componente fundamental da estratégia, não só de TI, mas global da empresa.

Imagine-se a entrevistar um candidato para o departamento de TI da sua empresa. Fale-me de segurança, é o desafio colocado ao entrevistado. Um desafio aparentemente “simples”, mas que é extremamente complexo. Sou capaz de apostar que a maioria dos candidatos falaria apenas sobre típicos aspectos tecnológicos, como cópias de segurança, permissões no acesso às pastas, antivírus, etc. Esquecem-se quase sempre da segurança física (colegas, instalações, documentos em papel, etc.) e não é comum falarem numa política de segurança.

Agora suponhamos que estamos numa organização que leva a segurança a sério. Esta organização começa por ter uma política de segurança, onde define os recursos que pretende defender, os níveis de risco/importância para cada recurso, procedimentos e regras para os seus colaboradores. Procedimentos para recuperação em caso de desastre são de grande importância e que poucas vezes vi serem implementados. Mas aqui estão definidos.

Esta organização possui mecanismos de defesa física e digital. A segurança física envolve alarmes (intrusão e incêndios), controlo na distribuição de chaves, cofres, salas e armários trancadas, acompanhamento de visitas e de trabalhos subcontratados a terceiros que necessitem de acesso físico às instalações, etc.

Em termos digitais, podemos pensar em várias camadas de defesa, com uma primeira barreira de prevenção (Intrusion Prevention System), um segundo nível de detecção e mitigação (Intrusion Detection System), Firewall, DMZ, VPN, Secure Socket Layer (SSL), Access Control Server (ACS), Network Admission Control (NAC), infra-estrutura PKI, antivírus, palavras passe, níveis de permissões de acesso, e a lista poderia continuar… ufa!

Esta empresa aposta claramente na segurança dos seus recursos, reservando para isso uma boa fatia do seu orçamento de TI. Não é para qualquer empresa, reconheço. Mas é precisamente por isso que se faz uma análise de risco para cada recurso, determinado o impacto em termos do prejuízo que causará à empresa, deixar que esse recurso caia nas mãos de terceiros. Afinal, é para isso que serve a segurança digital.

Cada organização define o que é importante para si. Não é uma questão tecnológica. Não vale a pena investir num mecanismo de defesa tecnologicamente avançado e naturalmente dispendioso se o que vai defender não é assim tão importante. A não ser que haja muito dinheiro para gastar…

Mas há um factor que considero nuclear e que é muitas vezes negligenciado: o factor humano. É comum ler-se nas revistas de especialidade que os principais problemas de segurança são criados por más práticas dos utilizadores. Vêm de dentro da organização e não de fora.

Eu tenho uma perspectiva ligeiramente diferente. Eu adicionava a responsabilidade que os profissionais das TI têm, em fazer com os utilizadores percebam os riscos. Cabe-nos a nós (eu sou profissional das TI) mostrar os riscos, definir regras e procedimentos, alertar para a importância e para todos os problemas de segurança que podem ocorrer. Não basta dizer que é preciso comprar um antivírus. Como exemplo, vi muitas vezes instalações a serem efectuadas com palavras passe temporárias que acabaram por ficar permanentemente.

Dou um exemplo prático do tipo de trabalho que é necessário efectuar pelos profissionais das TI em relação aos seus colegas de trabalho.
Imaginemos de novo, que estamos na tal empresa que tem todas as tecnologias que mencionei alguns parágrafos atrás. Essa empresa até tem uma política de segurança definida. Tem inclusive procedimentos muito bem documentados e revistos periodicamente com toda a organização.

Acontece que um colega troca regularmente informação sensível para o negócio, via e-mail com um parceiro de negócio. Isto parece-me perfeitamente normal e acontece em todas as organizações. O que este colega se calhar não sabe, porque ninguém lhe explicou, é que o percurso que o e-mail faz é completamente inseguro. Isto quer dizer que, qualquer pessoa com a motivação suficiente para se dar ao trabalho (alguém da concorrência?) pode interceptar a informação e fazer dela o que quiser. Pode aparecer nos jornais ou pode ser usada para minar negócios.

Os mais atentos e conhecedores destas questões de segurança terão reparado que nas tecnologias que referi, incluí uma que se chama PKI (Public Key Infrastructure) ou infra-estrutura de chaves publicas/privadas. Esta tecnologia resolve este problema, porque permite a encriptação de um e-mail, garante que quem o enviou é realmente o verdadeiro emissor e que quem o recebeu é o verdadeiro destinatário. Mas só funciona se o parceiro de negócio também a aplicar, o que neste caso não acontece porque sou eu que estou a dar o exemplo. Isto é um problema!

A culpa desta situação não é do colaborador que envia o e-mail, a não ser que tenha sido alertado previamente para isso. Quando disponibilizamos ferramentas de trabalho e incentivamos as pessoas a usá-las, é natural que pensem que são seguras, que as podem utilizar sem problemas. São os profissionais das TI que têm de estar atentos a estas situações e em conjunto com as suas equipas de trabalho, alertar para os problemas e trabalhar para resolvê-los.

No caso particular do e-mail, se não for encriptado, pode ser lido não só por alguém que o intercepta na Internet, como por qualquer administrador de sistema de e-mail, da nossa organização, num intermediário ou no destino. E se utilizarmos dispositivos móveis como o PDA e o telemóvel, adicionamos mais intermediários ao processo…

Mas este exemplo serve também para ilustrar, que não deixamos de pensar na segurança da informação da nossa organização quando esta passa a nossa fronteira. Temos também de pensar no que acontece do outro lado… passa a ser importante conseguir responder a perguntas como: podemos obrigar os nossos parceiros de negócio a adoptar uma infra-estrutura de PKI? O que fazem os nossos parceiros de negócios com a nossa informação? Os computadores onde essa informação é processada são sempre utilizados para fins profissionais? Quando os computadores dos meus parceiros de negócio vão para reparação, tomam cuidados especiais com a nossa informação? Isto faz com que a fronteira da segurança não seja linear…

Como podem ver, a segurança é um tema cada vez mais quente, ainda mais em plena economia do conhecimento. Há ainda muito que fazer e não devem pensar na segurança como um projecto concluído. É um processo contínuo, evolutivo, que requer uma constante atenção. Pensem nisso…

Keywords: sistemas, informacao, seguranca

Posted to:

Main Page