A difícil opção pela proteção da informação

[vltm]

Infelizmente muitas organizações no Brasil não despertaram para a prática da proteção da informação. Muitas afirmam que o assunto é importante. Porém, a declaração fica muito distante de ações práticas que permitam uma efetiva proteção do recurso informação.

Não acredito que as organizações e seus dirigentes ajam assim apenas por implicância. Ao longo da minha experiência em segurança e proteção da informação nas empresas, exercendo funções nos diferentes lados do problema, identifiquei alguns motivos que fazem com que as pessoas não dêem a devida importância a esse tema. Destaco:

Falta de conscientização

As pessoas não estão cientes da verdadeira importância da informação para a realização do negócio. Algumas organizações dependem da informação mais que outras, porém, atualmente todas as organizações precisam da informação para realizar seu processo de negócio. Uma indisponibilidade no uso da informação acarreta prejuízos financeiros, perda de mercado e desgaste na imagem institucional.

Crença: não é preciso controlar o acesso à informação

Muitas pessoas acham que só pelo fato da informação estar no ambiente computacional já está protegida. O nível de proteção da informação armazenada e processada no ambiente computacional depende de como estão implementados os controles de acesso a essa informação. Cada usuário deve ter o acesso somente às informações que necessita para o desempenho das suas funções profissionais e que foram autorizadas para o seu uso, considerando os diversos níveis de uso da informação: leitura, alteração, remoção e criação.

Crença: todos os usuários são honestos

Provavelmente a grande maioria dos usuários são realmente honestos. Ou até todos eles são realmente honestos. Porém a questão básica não é essa. Devemos tratar a segurança da informação com menos emoção e com uma abordagem mais profissional. Semelhante à proteção do recurso financeiro. Aliás, se o usuário não é honesto, ele não deveria nem mais ser usuário.

Crença: a organização vai gastar dinheiro

Essa crença é verdadeira e além do recurso financeiro a empresa vai gastar tempo, esforço e paciência. Não existe milagre que crie uma proteção da informação sem se gastar esses recursos. Evidentemente que os recursos gastos com a segurança da informação devem ser compatíveis com as características, com o porte e com o negócio da organização.

Crença: o pessoal de informática resolve tudo.

Com certeza eles resolvem quase tudo. Quem trabalhou na área de informática, na época da mudança da moeda para o cruzado, se lembra do esforço sobre humano que todos da área de tecnologia e da área de negócio fizeram para converter a moeda em três ou quatro dias. Porém, existem situações que o pessoal de informática não conseguirá resolver. Por exemplo, a perda de um arquivo sem cópia de segurança.

Crença: nunca vai acontecer um desastre com a nossa organização

Muitas vezes ficamos perguntando qual a probabilidade de um desastre ou de uma outra situação acontecer em nossa organização. Normalmente ela é pequena, mas por causa disso não devemos fazer nada? O certo não é perguntar a possibilidade disso acontecer. O correto é questionar, e se isso acontecer?

Crença: não precisamos de mais nada, contratamos um firewall

Provavelmente o software de firewall adquirido é um bom produto e um item necessário. Porém, ele é apenas um produto. Um processo de segurança é muito mais que produtos.

Crença: segurança é para grandes organizações.

Errado. Proteger informação é uma obrigação de toda a organização, independente do seu tamanho. O que será diferente será o volume dos recursos envolvidos.

Instituir um processo de segurança e da informação é uma responsabilidade dos executivos da organização. É uma responsabilidade perante os acionistas. Proteger a informação não é uma questão técnica. É uma questão de negócio da organização.

A organização deve agir de forma profissional e proteger a informação de forma compatível com a sua criticidade para a realização dos negócios da organização.



Por Edison Fontes

[hackingsnake]

Caros colegas,

- Admirável a visão sobre o assunto no texto abordado acima, porém posso lhe afirmar que o cenário atual do mercado brasileiro de hoje, está realmente mudando. Por exemplo, a cada dia, as empresas estão enxergando a necessidade de proteção, temos um cenário onde hardware custa muito dinheiro, porém é algo mensurável, já os dados custa muito dinheiro e é algo imensurável, é impossível você estipular um valor para os dados de uma empresa de grande porte, sendo assim também cabe a nós Profissionais da área conscientizar as corporações, referente a grande importância da proteção, temos a cada dia que passa profissionais novos na área, criando assim uma certe competição pelo mercado, empresas estrangeiras estão vindo para o mercado brasileiro a fim de pegar um pedaço desse delicioso bolo, enquanto isso nossa parte é crescer cada dia mais e todos os aspectos, porque teremos tempos de árdua competição de mercado, as informações estão ficando cada dia mais publicas, os ataques estão de certa fora mais freqüentes, porem causando menos estragos, isso mostra que realmente o governo de seu lado "*Comitê gestor da Internet", e as empresas estão se preocupando com proteção, “Estáticas estão disponíveis aqui”, temos atualmente um consórcio novo “Projetos *Honeypots Distribuídos”, que tem como foco principal policiar os incidentes de segurança gerados nos IPS de range 200 (Brasil), temos congressos espalhados pelo pais referente à segurança, minha agenda de 2003 não chega a ser 1/10 do que é hoje, isso me faz ter a certeza que segurança dos dados hoje em dia está se tornando prioridade, uma empresa do ramos de (Esponja de Aço) a maior do mercado brasileiro, chamou eu e minha equipe, juntamente com uma empresa parceira nossa que presta consultorias e é famosas por ministrar cursos de software livre, porque queria implantar a migração do sistema MS para *Q-mail, sendo assim, logo quando surgiu a idéia o 2º passo foi calcular o risco e projetar a segurança, tanto quanto a migração sem traumas, quanto à segurança continua do sistema, em outros tempos isso nem seria levado em consideração, e lá está ela funcionando perfeitamente, com uma lista Gigante de ocorrências de segurança, mais nada que faça o sistema funcionar de forma instável, isso porque a empresa priorizou a segurança.
- os quadros são parecidos, quando falamos de médias empresas, e também de pequenas empresas com até 4 – 10 computadores, que se preocupam em comprar soluções com Firewall – IDS – Proxy, instalados, com sistemas funcionais de roteamento, tudo a fim de fazer o bom uso da Internet comercial, quanto proteger realmente os dados lá contidos.!
- Sendo assim caros colegas, se preparem tempos competitivos se aproximam, empresas renomadas querem o nosso mercado, e cabe a nós tornar essa competição difícil pra eles e favorável para nós.!

Luiz Fabiano Marques.

• Nome apenas citados, sem fazer nenhum tipo de comercial ou propaganda dos mesmos, Softwares comentados, sem fazer reverencia aos mesmos, usado meramente como exemplo.
================================================== ========
Campanha.: Complete seu Perfil, vamos colaborar para que seja possível, fazer o ISTF DAY !!!... Obrigado.
Detalhes.: http://www.istf.com.br/vb/showthread.php?t=6140
================================================== ========

[mmachado]

(...) já os dados custa muito dinheiro e é algo imensurável, é impossível você estipular um valor para os dados de uma empresa (...)

Por que você acha que é impossível?

[]s, MM

[E.Lima]

"A segurança deverá ser proporcional ao valor do que se está protegendo."
T.A. Wadlow, 2000

Se não se quantifica e qualifica os valor dos dados, pode-se gastar simplesmente muito para proteger coisas sem valor. É preciso ter claro o valor das informações contidas nos sistemas de informação, sob pena de uma percepção de falsa segurança.
É como a história do firewall contada no começo: "nós temos firewall e portanto não temos nada a temer".
Implantar segurança sem conhecer o objeto a ser protegido (o que inclui o seu valor) é o primeiro passo para a perder algo de valor.
A natureza deste ativo (a informação) é complexa e complexa também é a sua valorização. Mas sem uma mira certeira e um alvo definido, vamos acabar atirando uns nos outros.
O problema básico da segurança é o custo. Custo caro (custa mesmo?) a segurança de TI. Mas esta percepção se dá pois não colocamos valor no que estamos protegendo e gastar $10.000 para proteger um servidor (que custou $8.000) pode parecer absurdo. Em toda a TI, a informação é o ativo MAIS valioso e temos que começar a segurança colocando valor ($$$) na mesma.

[hackingsnake]

Por que você acha que é impossível?

- Caro MM, vamos colocar nosso exemplo em uma instituição bancária que perde todas as informações referentes há apenas 1 dia útil, vamos imaginar o seguinte cenário.:

- Um banco perde todas as informações referente a todas as operações bancárias referente há apenas 1 dia útil de imediato o prejuízo é milionário, a partir deste ponto começamos a investir tudo que está ao nosso alcance “Me imaginando dono ou administrador desse banco” para estabilizar o sistema novamente para o mesmo voltar a funcionar, a partir daí teremos o 2º grande colapso os correntistas iriam tirar todo o dinheiro disponível porque aquela instituição já não seria mais confiável, o 3º colapso seria os processos diretos e indiretos que o banco sofreria, ou seja o prejuízo seria muito maior que a falência completa do banco, nunca ninguém poderia estabelecer ou simplesmente apresentar um numero real ao prejuízo.
- Podemos elevar um colapso desta proporção a um aeroporto, ou a sistemas de uso (utilização de benefícios) públicos como por exemplo o serviço social “Previdência”, sistemas de identificação como o Baco de dados da justiça, e assim por diante, em alguns casos é possível estabelecer o valor referente a um prejuízo em relação a sistemas e banco de dados, mais se o assunto é terrorismo, as proporções são inimagináveis, e sempre tento viajar ao máximo quando o assunto é segurança, eu sempre sinto que tem alguma brecha, quando o assunto é sistema não existe nada indestrutível, por isso que acho que o monitoramento constante é o melhor remédio.

Luiz.

================================================== ========
Campanha.: Complete seu Perfil, vamos colaborar para que seja possível, fazer o ISTF DAY !!!... Obrigado.
Detalhes.: http://www.istf.com.br/vb/showthread.php?t=6140
================================================== ========

[Dirty Vader]

Quando o assunto é segurança da informação eu gosto de fugir um pouco do aspecto de redes ou de Internet porque a matéria é tão abrangente que o pessoal tem a tendência de esquecer outros aspectos importantíssimos de um sistema de segurança da informação.
Quer saber quanto vale a informação? Simples (pero no mucho): identifique primeiro quais os riscos envolvidos para a empresa se esta informação ficar indisponível, for adulterada ou ser exposta a concorrência.
Por exemplo, se a folha de pagamento dos funcionários sumir da base de dados, quais as consequências imediatas e a médio e longo prazo? Logo de cara já dá para listar alguns riscos:
1) possível atraso no pagamento de salário e benefícios dos funcionários;
2) possível atraso no pagamento de tributos trabalhistas;
3) queda de produtividade da área de RH, que vai ter que recadastrar todos os funcionários no sistema;
4) queda de produtividade dos demais funcionários em função do pânico gerado pelo desatre;
5) a REPUTAÇÃO de sua empresa ficará manchada se a história vazar (e normalmente vaza).
Os itens 2 e 3 fornecem imediatamente valores para cálculo pois envolvem dinheiro diretamente. Os itens 3 e 4 serão baseados em estimativa de homens/hora. O item 5 pode ser tratado como worst case scenario, ou seja, a empresa perde a confiança dos fornecedores e do mercado e vai à falência. Logo, já dá para ter um custo estimado do ativo de informação em questão (base de dados de folha de pagamento).
Uma vêz identificados os riscos, vamos identificar as vulnerabilidades. O que poderia causar a perda dessa informação? Algumas vulnerabilidades plausíveis:
1) a base de dados está rodando em um servidor que também é servidor de arquivos, servidor de impressão, servidor web e domain control. Mesmo que seja um servidor parrudo, uma hora vai abrir o bico pelo excesso de serviços que tem que fornecer;
2) o servidor acima não tem RAID;
3) não é feito backup do servidor;
4) o servidor está localizado em ambiente hostil, ou seja, não está em sala isolada com acesso restrito. Com isso, um funcionário (geralmente a tiazinha da limpeza) pode "sem querer querendo" esbarrar no cabo de força ou derrubar a máquina no chão;
5) por não estar em um ambiente com temperatura controlada, o servidor pode pifar de uma hora para outra;

Wow! Parece que gastar alguns milhares de Reais com HW/SW para dividir a carga entre 3 ou mais servidores, instalá-los em uma sala com ambiente apropriado (ar condicionado, sistema de combate a incêndio, acesso restrito, etc.) e implantar um sistema de backup ou mesmo de full redundancy não é má idéia, certo?

[]s,

Dirty Vader

[hackingsnake]

- Perfeita colocação “Sem Maldade Plx"
===> O que afirmei nos posts anteriores é que não é possível calcular o prejuízo causado por perda no sistema, em alguns casos p prejuízo vai muito além da falência da empresa, e pode chegar a casos de não existir números exatos para calcular isso, porque podem causar uma cadeia sem fim de processos, perdas, etc..
- Realmente a venda da solução de segurança tem o seu preço, ele deve ser calculado na mesma proporção do tesouro o qual você guarda ou protege, porém o ponto que parti, é que mesmo que tenhamos uma solução de custo relativamente alto, o mundo começa a dar o devido valor para a segurança da informação, pois em todos os casos de perda o prejuízo é elevado, e em alguns casos é incalculável.
- Só estou postando esse, pois parece que minha exposição de opinião não tinha ficado clara até para meus olhos numa 3ª lida, porém espero que todos tenham entendido, também tenho os meus critérios para chegar a um valor para a venda e manutenção da solução do fator segurança. !

Obrigado.

Luiz Fabiano Marques

================================================== ========
Campanha.: Complete seu Perfil, vamos colaborar para que seja possível, fazer o ISTF DAY !!!... Obrigado.
Detalhes.: http://www.istf.com.br/vb/showthread.php?t=6140
================================================== ========

[mmachado]

Luiz,

Quando fazemos uma análise dos riscos para indicarmos uma solução de segurança, devemos levar em consideração a propabilidade de acontecer uma catástrofe desse tamanho. Se não fosse assim, um banco que pode ter um prejuízo maior do que a própra falência caso um banco de dados deixe de funcionar, JAMAIS teria seu negócio viabilizado, pois nenhum investidor colocaria dinheiro nisso.

Se um ativo possui uma lista de riscos associados a ele, junto deste risco deve estar associada também a propabilidade de ocorrer esse risco e seu respectivo impacto para a organização. Titio Marcos Sêmola que me ensinou. Adorava aqueles slides com um bolequinho pulando um buraco.

Se você vai calcular o risco de pular um burado, você tem quatro cenários diferentes:

• O buraco é estreito e raso: neste caso o a propabilidade de você cair no buraco é pequena e, mesmo que caia, não vai sofrer muito.
• O buraco é largo e raso: aqui a chance de você não conseguir pular e cair é alta, mas ainda assim você não vai sofrer muito se cair.
• O buraco é estreito e fundo: a chance de você cair no buraco é baixa, mas se você der mole e cair mesmo assim, vai se arrebentar todo.
• O buraco é largo e fundo: aqui, meu amigo, você vai suar frio só em pensar em pular esse buraco. Mas vai ter que pular mesmo assim.

Como você pode ver, temos a fórmula: Risco = Impacto X Probabilidade

Em alguns casos, como o que você citou do banco que perde 1 dia de negócio, não conseguimos reduzir o impacto, temos que reduzir a probabilidade. Como?

Neste caso, por exemplo, podemos implementar redundância nos sistemas, formalizar processos de crash recovery, e dividir o sistema de forma que sejam eliminados os pontos únicos de falha.

Isto não nos diz, diretamente, qual o valor da informação que estamos protegendo, mas vai nos permitir identificar a melhor estratégia de proteção e investir somente o necessário para manter o negócio funcionando.

Segurança a qualquer custo não existe.

[]s, MM

[E.Lima]

... O que afirmei nos posts anteriores é que não é possível calcular o prejuízo causado por perda no sistema, em alguns casos p prejuízo vai muito além da falência da empresa, e pode chegar a casos de não existir números exatos para calcular isso, porque podem causar uma cadeia sem fim de processos, perdas, etc..

Eu entendi seu ponto no entanto volto a afirmar que tem que ser possível a valorização do ativo (no caso a informação) e por conseguinte, o valor de sua perda.
Claro que é difícil. Uma das "modas" atuais são os BIA e BCPs da vida. Uma das premissas destes planos é que se deve dar o devido valor aos ativos. Por exemplo, "quanto impactaria a área de faturamento a perda dos pedidos de hoje feitos pela Internet?"
Falar em catástrofe fica mais difícil. Colocar valor na perda total é mais difícil: "Quanto impactaria a empresa a perda do data center e a sua indisponibilidade por 3 dias?". Geralmente a resposta é: Falência. Mas nem sempre é assim. Muitas vezes, analisando-se parte por parte, é possível se saber exatamente (ou próximo disso) quanto cada tipo de evento afeta uma determinada área de negócio. Daí em diante é só questão de agregação.
Muitos problemas do pessoal de segurança é não saber analisar corretamente ou mesmo expor o problema corretamente. De nada adianta assustar os diretores da empresa com dados aterrorizantes como "50% das empresas que ficam mais de 5 dias sem seu data center vão à falência". O diretor simplesmente não entende e "paga para ver".
Agora se desmonstrarmos que uma falha de segurança no servidor de internet, que pode ser usada por qualquer moleque por aí, pode sumir com o cadastros de clientes lá presente e que isso vai impedir que ele fature por 12 horas - aí é só fazer a conta:
(diretor): hum, eu faturo uns $10.000 por hora no horário de pico, que vai das 08 ás 20
(diretor): se estes "hackers" fizerem o que você falou posso perder uns $120.000 em um dia só
(diretor): Mas qual é a probabilidade de isso acontecer?
(você, engasgando): Olha, este tipo de "ataque" apareceu há uns 4 meses, e o número de empresas comprometidas cresce à uma taxa de 50% ao mês.
Para se ter uma idéia na nossa área de atuação, mais de 20 empresas no Brasil foram afetadas e cerca de 450 no mundo todo. Os diversos organismos de segurança internacionais (aí você cospe um monte de siglas nele) estão mencionando que isto pode ser tornar um crise. A recomendação geral é que se instale nas empresas um (coloque aqui aquele troço que você quer comprar e custa uma fábula) que custaria hoje para nossa empresa cerca de $80.000 para aquisisição e mais $4.000/mês para manutenção
(diretor): barato assim? então manda pau.
Claro que a maior parte das vezes o diretor não fala esta última frase e usa essa "hum, vou pensar". :)
Isso só foi para demonstrar como se dá valor a um determinado conjunto de informações. Realmente as vezes á mais fácil colocar o valor pelo impacto da perda.