A ALPHA SOLUÇÕES atua com elaboração de projetos, serviços, consultoria e treinamento da Gestão da Segurança da Informação, acreditamos que o diferencial entre a competitividade empresarial e seus resultados, a de ser paralelo aos dados e aos valores de suas informações contingentes e oriundas, desta forma agregamos as informações com o conhecimento e subsidiando iniciativas empreendedoras de sucesso.

Através deste pensamento, temos de advir que, a necessidade em resguardar informações organizacionais, é algo fundamental, para a estabilidade efetiva dentre as organizações.

Pegando alguns cases, temos empresas das quais as informações como o maior valor organizacional é claramente visível e palpável, por exemplo, se fizermos um comparativo no setor de bebidas, pegando duas grandes empresas, de um lado a PEPSI e de outro a Coka-Cola, duas empresas de grandes renomes, podemos ver que, por muito tempo se ouviu falar no segredo formulado pela receita da Coka-Cola, o que hoje de certa forma por visões cientificas já se garante que isso não é um segredo milenar.

Porém a resguarda da segurança das informações diante desses potenciais competitivo, ainda encontra-se nas informações, sejam elas em receitas, em gestão de negócios ou em ações de marketing e mercado.

A segurança da informação é uma gestão voltada a processos e tecnologias, que prezam e vislumbram a importância de resguardar informações, pois em mercado de ações de negócio, podemos dizer que em meados a era do conhecimento, a informação é o principio de toda uma cadeia na tomada de decisões.

“Se eu sei o numero que irá cair na mega-sena amanhã, eu mudo toda a minha história!”

                Sun Tzu considerado um dos maiores estrategistas militar e também um dos primeiros realistas no campo das ciências políticas dizia:

“Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória obtida sofretá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas.” (Sun Tzu)

                Se equipararmos, um campo de batalha, em meados a uma guerra e o campo comercial e de negócios, podemos ver que em ambos os aspectos a informação é a base e a doutrina do conhecimento, ao mesmo tempo a arma de nossos rivais.

                As características básicas da segurança da informação são os atributos gerados por confiabilidade, integridade e disponibilidade, não sendo apenas elevados a sistemas computacionais e sim em todos os aspectos dentro das proteções de dados organizacionais ou pessoais.

A Segurança da Informação é algo preocupante e já era difundida há muitos anos, dados diz-se que dês da pré-história, porém, na época era simples a difusão e o conhecimento de nossos rivais, pois era uma competição entre tribos, então eu sabia mapear e proteger criando táticas e métodos para descobrir por aonde meu inimigo iria me atacar.

Porém hoje não sabemos mais, por onde, como e de que forma seremos atacados.

Restam então obtermos o conhecimento de si mesmo, sabermos nossos limites, nossos pontos fracos e nosso nível crítico, traçar planos e métodos em gestão de riscos.

Posteriormente assim como na pré-história dispor de mecanismos que possam monitor e precaver de problemas que podem advir dos aspectos internos/externos.

Mais do que a tecnologia, temos que ter processos, capacitação e colaboração, pois a integridade das informações independe apenas da tecnologia, mas sim dum conjunto entre os processos a tecnologia e as pessoas.

                Existem inúmeros locais onde se difundem informações e padrões diante a segurança da informação, como por exemplo, a ISO/IEC 17799:2005, as normas da ISO/IEC 27000 que relatando os padrões da Segurança da Informação contemplando o trabalho original da ISO/IEC 27002:2005.

                No Brasil tem-se associado ao CGI (Comitê Gestor da Internet) a elaboração de planilhas e conscientização de segurança dentro dos portais do CERT (Centro de Estudos e Tratamento de Incidentes de Segurança no Brasil) e do próprio CGI, na expectativa das empresas, organizações e os próprios usuários em adquirir um padrão em prol à adesão da gestão da segurança da informação.

                Através da base e dados extraídos, dizem-se na maioria dos livros de gestão da tecnologia da informação, que a grande maioria dos ataques organizacionais hoje estão relacionada ao mundo interno das organizações, visando isso, podemos perceber que existem falhas humanas e processos de criação de algo que vá além de um cultura de segurança.

Pragas Virtuais

Existem hoje inúmeras pragas virtuais, criadas no intuito geralmente de obter informações acessos a dados privilegiados.

As pragas virtuais criadas por hackers e programadores de alto-nível que estudam vulnerabilidades de softwares computacionais, geralmente são instalada pela  falta da cultura dos seus usuários, ou disseminação em redes computacionais no caso dos worms.

Podemos classificar as pragas virtuais como sendo:

Vírus – Criados particularmente no intuito de se proliferar internamente, consumindo processos e loteando a memória e recursos computacionais.

Vírus de Macro – Criados para infiltrar e contaminar documentos de textos, suítes de offices em planilhas, apresentações e textos propriamente ditos.

Spam – Emaills maliciosos contendo propagandas indesejáveis, e links para download de outras pragas virtuais, os spans além de serem indesejados acabam de certa forma consumindo banda e trafego de internet na rede global.

Worms – Semelhante a um vírus, porém os worms é uma de suas sucessão, uma evolução digamos assim, que ele além da capacidade de infecção e proliferamento, tem a capacidade e autonomia de infectar automaticamente novas vitimas, vulneráveis através falhas nas aplicações rodando sobre uma plataforma operacional.

Torjan Horse (Cavalo de tróia) – Os Trojans mais comuns nos dias de hoje, são constituído e baseado na mitologia do Cavalo de Tróia, onde assim como o cavalo de tróia é chegado ao usuário como uma palicação convencional, onde ele infecta a máquina liberando acessos e criando vínculo de comunicação com o atacante, facilitando o acesso remeto ou recolhimento de informações.

Keylogger – Vírus utilizado para recolher dados digitados dos usuários, gravar e enviar informações que o usuário digitou para o atacante, pela qual é a sua principal funcionalidade, os keylogger são utilizado no roubo de senhas ou monitoramento da gestão da informação.

Screenloggers – Com o passar do tempo os keyloggers deixaram de ser tão ativos, pois se criaram métodos de defesa, como por exemplo, os teclados virtuais, eliminando o digito de senhas do teclado e atribuindo esta ao mouse. Porém novamente a engenharia social, a capacidade de pensamento e raciocínio das pessoas superou a tecnologia e a gestão da informação, entãou começou a capturar as imagens das telas diante de clics onde surgiram os screenloggers.

Applets e Scripts Hostis – São rotinas desenvolvidas em scripts de páginas, que se usufrui da vulnerabilidade dos navegadores.

Hoaxis (Boatos) – Trotes que induzem o usuário a acessar uma praga virtual.

A Engenharia Social

                A Engenharia Social é a pratica adotada pelos Engenheiros Sociais no âmbito de obter acesso as informações organizacionais, geralmente relevantes enganando as pessoas (usuários).

                A Engenharia Social consiste em, através da comunicação e da expressão, convencer um indivíduo ou grupo a executar uma tarefa ao seu mérito, seja ela fornecer informações, abrir uma porta ou em termos computacionais executar alguma aplicação.

                Kevin Mitdnik, autor do livro “A Arte de Enganar” e um dos maiores engenheiros sociais da história da humanidade, consequentemente um dos maiores hackers, relata em um trecho de seu livro.

“Todos os que trabalham na organização precisam ter conhecimento das ameaças e vulnerabilidades da segurança da informação.” (Kevin Mitdnik)

                Para isso os processos de treinamento e a política de segurança devem, contemplar planos de contingência e abordar possíveis situações, deve ser elaborados e estruturados, coerentemente e de  forma clara e objetiva.

“Cada empresa também precisa ter políticas e procedimentos que orientem os empregados para responder às solicitações para executar alguma ação com computadores ou equipamento relacionado com computador.” (Midtnik)

                O colaborador deve entender a real preocupação com a informação, e participar ativamente sobre a atuação das melhores práticas de segurança, não apenas dentro de seu ambiente de trabalho, mas também de seu dia-a-dia.

                Também extraído do livro de Mitdnik, um questionário a se filosofar.

“Um engenheiro social recebeu a atribuição de obter os planos do seu novo produto que deve ser lançado em dois meses. O que vai impedi-lo?

O seu firewall? Não.

Dispositivos avançados de autenticação? Não.

Sistemas detectores de invasão? Não.

Criptografia? Não.

Acesso limitado aos números de telefone de discagem por modems? Não.

Nomes de código nos servidores para dificultar que um estranho determine qual servidor pode conter os planos do produto? Não.

A verdade é que não existe uma tecnologia no mundo que evite o ataque de um engenheiro social.”(Mitdnik)

A Tecnologia

Para contornar problemas providos da segurança da informação, o auxilio da tecnologia é fundamental e indispensável, pois qualquer processo requer um alto nível de habilidade, seja na transmissão de informações como no gerenciamento, pois qualquer pessoa é falha de erros naturalmente humanos.

A informação hoje digitalizada requer segurança, requer controle de acesso, falar para um grupo de pessoas que a pasta de arquivos gerenciais pertence somente à gerência, não funciona, a ética e as boas maneiras, deixaram de existir se é que realmente um dia elas existiram em um contexto geral.

Acreditar na boa fé e acreditar em papai Noel são sinônimos, quando tratamos de informações contendo valores organizacionais subestimáveis, devemos nos munir de segurança.

Então existem inúmeros aplicativos que promovem a segurança, para os vírus os anti-vírus, para as invasões os Firewalls, para obeter informações de invasão os IDS (Sistemas de Detecção de intrusão) e para precaver os IPS (Sistemas de prevenção de intrusão).

E para aspectos internos, Proxys e sistemas de gerenciamentos de políticas de acesso por grupos de usuários como por exemplos Active Directory.

                Além disso, temos mecanismos onde podemos garantir confiabilidade, integridade e disponibilidade, soluções como senhas, criptográficas, certificados digitais e inúmeras soluções tecnológicas.

                Porém não existe afiramos que estamos 100% seguro. Além da segurança deve e obviamente irão existir internamente processos altamente detalhado, rígidos e analisados.

Os Processos

                Os processos da segurança da informação devem basear-se no primórdio da idéia em que onde, o nível crítico da segurança está relatada em 3 principais características entre elas:

- Perda de Confiabilidade, quando, por exemplo, há uma quebra de sigilo, a descoberta da senha do administrador da rede por exemplo.

- Perda de Integridade, ocasionado quando o acesso de terceiros as informações alteram os dados presentes no mesmo conjunto.

- Perda de disponibilidade, resultada na inacessibilidade das informações, mudança de senha por fator externo, exclusão da informação ou derivados.

                Diante destes problemas, temos inúmeros processos, que são oriundos dês da implementação de Tecnologia, quando a difusão desses entre as pessoas do corpo organizacional, planos e processos de riscos, desastres e continuação.

                Mais que elaborar processos concisos é preciso ter mapeamento dos mesmos, organização estrutural destes processos, para isso o rotina e manutenção se torna complexo e é necessário fragmentar etapas para alcançar os objetivos, nos caso prover das melhores táticas e soluções diante a segurança da informação.

                E sem a aliança entre a tecnologia e o feeling das pessoas, processo algum será ativo e eficaz.

As Pessoas

                Seriamos parvos se desconsiderássemos este fator como um fator altamente delicado e integro, todos os processos de gestão da segurança da informação, tal como a implementação de tecnologias, dependem diretamente da ação e atividade de pessoas, afinal quem quer nos invadir? É uma máquina ou uma pessoa por trás dela? De quem e de onde são geradas as informações? Quem tem acesso as informações?

Não precisamos mais nos perguntar, acho que é mais do que visto a presença do fator pessoa dentro dos processos, quando tratamos de segurança, e de processos, vendo como base a engenharia social, notamos o quão importante é a valorização do quadro funcional dentro da uma organização, a competência e o grau de até onde podemos dizer que pessoas são substituíveis ou não.

Peculiarmente o conceito de reciclar as pessoas (facialmente substituir), está fora de um contexto que seja ele relacionado a ações de informações, pois diante da organização até a equipe de limpeza se faz presente e ativa neste processo.

Soluções

Encontra-se sobre uma solução mais bem elaborada, a consolidação dos três aspectos citados anteriormente, associado a uma conscientização e re-conscientização freqüentemente diante a estas relações, que envolvem aspectos de segurança.

A criação de políticas através de normativos baseado dentro da RFC 2169, normativos como a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira), reforça o grau de periodicidade em manter “a casa limpa”.

Dentre a estes processo podemos dizer que existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Conclusão

Devemos manter conscientização dentro desses aspectos funcionais e muito mais, além disso, dispor de tecnologias e sempre tendo em mente que a Segurança da Informação não requer apenas tecnologia, e sim da fusão entre processos, pessoas e tecnologias, mas as ferramentas tecnológicas são essenciais para a existência da Segurança da Informação.