A Computerworld reproduz um importante estudo da CA no qual empresas diversas reconhecem ser negligentes na implementação de controles de segurança para seus ambientes virtualizados. Falta de conhecimento do novo ambiente e custo são alguns dos motivos apresentados. A matéria completa está no link abaixo:
http://computerworld.uol.com.br/seguranca/2010/12/06/virtalizacao-empresas-conhecem-ricos-mas-sao-negligentes/
Apesar de ser um estudo específico para a virtualização, podemos tomar a liberdade de generalizar o seu conteúdo, porque essa é a realidade na maior parte das empresas: elas são negligentes na hora de implementar controles de segurança. É claro que implementá-los com eficiência é algo complexo e custoso. Em minha experiência o que vi muitas vezes foram correrias e desespero para resolver um problema de segurança - uma invasão por exemplo - e depois esquecer tudo e voltar à rotina comum, querendo o máximo de proteção com o minimo de esforço e gasto. Lamentável!
O que ocorreu com a Receita Federal e a comunicação diplomática dos Estados Unidos pode acontecer com qualquer empresa. Vazamento de dados é uma das poucas ameaças que fatalmente acabam em "pescoços cortados" ou, no caso americano, em prisão perpétua. E mesmo assim, com esses exemplos, empresas de grande porte continuam a não contar com uma estratégia decente para DLP.
Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.
terça-feira, 7 de dezembro de 2010
segunda-feira, 6 de dezembro de 2010
Web 2.0 Report Card (de Errata Security)
Estou reproduzindo tabela de post de Robert Graham na Errata Security. O link completo do post está aqui: http://erratasec.blogspot.com/2010/11/web-20-report-card.html
Em seu post Robert faz alusão a uma tabela criada pela Digital Society em que uma série de sites nos Estados Unidos é classificado de acordo com seu nivel de segurança. Muito interessante!
Em seu post Robert faz alusão a uma tabela criada pela Digital Society em que uma série de sites nos Estados Unidos é classificado de acordo com seu nivel de segurança. Muito interessante!
sexta-feira, 5 de novembro de 2010
Os dois lados do Metadata para Segurança
Cada vez que um documento é criado ou alterado no MS Word o programa registra de maneira invisivel dados sobre a pessoa que o editou, data e hora, entre outros. Ele também registra as alterações efetuadas, inclusive os comentários adicionados ao texto, mesmo que apagados. Esses dados armazenados automaticamente são o metadata, ou metadados, e não são exclusivos do MS Office. Adobe Acrobat, Open Office e praticamente todos os programas os criam. São os dados sobre os dados, ou o conjunto de dados que armazena informações diversas sobre outro dado, informação ou arquivo. Quem o criou, data de criação e atualização, formato e permissões são exemplos comuns. Alguns tipos de arquivos podem ter metadados específicos, como uma imagem (localização geográfica, resolução) ou um arquivo de música (autor, interprete, gênero musical). Além de exercer função importantissima no armazenamento e manuseio de dados, influenciam a segurança da informação, para o bem e para o mal.
Os metadados são de grande valia para sistemas de administração de segurança de arquivos, já que é uma forma de estruturar a segurança de dados não estruturados. O funcionamento desses sistemas consiste basicamente em extrair, armazenar e processar as informações relevantes para sua proteção, em uma maneira estruturada de tratar a proteção do dado não estruturado. Estes seriam alguns metadados relevantes para segurança:
Os metadados são de grande valia para sistemas de administração de segurança de arquivos, já que é uma forma de estruturar a segurança de dados não estruturados. O funcionamento desses sistemas consiste basicamente em extrair, armazenar e processar as informações relevantes para sua proteção, em uma maneira estruturada de tratar a proteção do dado não estruturado. Estes seriam alguns metadados relevantes para segurança:
- Criador e proprietário
- Data de criação
- Permissões de acesso por individuos e grupos
- Dados de acesso, que seriam úteis para auditoria
- Grau de confidencialidade
- Requerimentos legais ou de conformidade – que associa um determinado dado com uma determinada norma
- Negócio – aque associa com um determinado produto ou negócio da empresa, e portanto com seus requerimentos
- Requerimentos de descarte – que detectaria se um documento foi eliminado antes do prazo de validade
Paradoxalmente os metadados criados automaticamente por programas como o MS Office ou Acrobat representam um risco de confidencialidade. Documentos publicados ou compartilhados com clientes e parceiros de negócios carregam diversas informações invisiveis que podem causar vazamento de dados ou mesmo constrangimentos. Imagine uma proposta preparada por diversos departamentos de uma empresa, em que um deles fez comentários a respeitos de falhas nos produtos da empresa. No final do processo a área de vendas remove todos os comentários e envia o documento ao cliente. Mesmo removidos, os comentários, todas as alterações e identificação dos editores continuam lá, disponiveis para visualização.
É possivel também o uso dos metadados na coleta de informações na preparação de invasão de um site. Entre os possíveis dados anexados a arquivos publicados em um site estão nomes de usuários, indicações de plataformas e sistemas usados e até mesmo endereços MAC de pessoas que o editaram. De acordo com o site Metadatarisk, 33% dos sites das empresas listadas no Fortune 1000 contém planilhas Excel, que podem ou não conter metadados com informações confidenciais. Já arquivos Acrobat estão presentes em quase todos os sites. As informações coletadas podem fornecer subsidios valiosos para o hacker planejar seu ataque ou realizar ações de engenharia social para obter mais informações.
sexta-feira, 10 de setembro de 2010
Testes de Invasão
A contratação de serviços de teste de invasão, como se era de esperar, continua muito em voga atualmente. No entanto a desinformação sobre o que é um teste de invasão permanece até hoje, e isso eu realmente não esperava. Achava que houvesse mais maturidade no assunto. Mais quais os problemas?
O principal a meu ver é que muita gente ainda considera um teste de invasão como um teste definitivo de segurança, e não uma parte - pequena, por sinal - de um processo maior de análise de segurança. Considero o teste de invasão um retrato do momento que irá adicionar mais algumas infomações aos gestores de segurança. Além disso vejo três limitações que não podem ser ignoradas:
O principal a meu ver é que muita gente ainda considera um teste de invasão como um teste definitivo de segurança, e não uma parte - pequena, por sinal - de um processo maior de análise de segurança. Considero o teste de invasão um retrato do momento que irá adicionar mais algumas infomações aos gestores de segurança. Além disso vejo três limitações que não podem ser ignoradas:
- Habilidade do consultor. O sucesso do teste está diretamente relacionado com a habilidade e experiencia da pessoa que o executa.
- Qualidade das ferramentas utilizadas. Sejam comerciais ou privadas, boas ferramentas ajudam o consultor a realizar um bom trabalho. No entanto considero um erro apoiar-se completamente em ferramentas. Por melhor que sejam elas não substituem um consultor.
- Tempo. Diferentemente dos hackers "de chapéu negro", que tem todo o tempo do mundo, um consultor terá um determinado número de dias para executar seu trabalho.
quinta-feira, 9 de setembro de 2010
A Internet das Coisas e a Segurança das Pessoas
Pergunte a qualquer pessoa o que é Internet e ela certamente dirá que é a rede mundial que conecta pessoas e empresas para que se relacionem e façam negócios. Pergunte a um especialista de segurança o que é segurança de redes e ele certamente dirá que são os dispositivos que protegem servidores e sistemas conectados em redes das ameaças da Internet. Essas duas definições são cem por cento verdadeiras e atuais, mas há duas (r)evoluções a caminho, como sempre iniciadas há alguns anos, que as mudarão totalmente. Ambas são diferentes, sem relação, mas curiosamente chegarão juntas ao mundo real. Uma delas é a Internet das Coisas. A outra é a Segurança das Pessoas.
Internet das Coisas foi o nome dado por pesquisadores à conexão de objetos e equipamentos diversos à rede ou à Internet, seja para controle de inventário ou para acesso remoto, nos casos mais sofisticados. Para o primeiro caso a tecnologia mais promissora, já usada largamente, é o RFID. Para o segundo, estamos falando de equipamentos genéricos, como elevadores e até uma geladeira doméstica, com um sistema operacional embutidos, do termo embedded operating system em inglês. O primeiro efeito é claro: o aumento substancial do volume de dados trafegado, exigindo uma infraestrutura mais robusta, o que inclui os dispositivos de segurança de rede. O outro efeito é o aumento da complexidade, com a agregação de novos sistemas e protocolos de comunicação, o que invariamente significa novas vulnerabilidades a explorar. Já os sistemas operacionais embutidos adicionam ainda um nível extra de complexidade. São sistema especialistas, muitos baseados em Linux, outros em plataformas proprietárias, que na verdade já existem há muito tempo, e estão presentes em nosso dia. Mas a situação muda quando começam a receber endereçamento IP e a ser acessíveis remotamente. O primeiro risco advém do fato que os usuários normalmente desconhecem os riscos associados e expõem o equipamento. O segundo risco é o da dificuldade em mantê-los atualizados com correções de segurança. Da mesma forma que os usuários desconhecem riscos, eles não sabem da importância de manter atualizado o sistema.
Eu espero uma explosão desses sistemas com a instalação de fato do endereçamento IPv6. Hoje o IPv4 acaba sendo um limitador, porém com o IPv6 não haverá limites para a quantidade de equipamentos que se queira conectar. O maior exemplo do que representa isso são os telefones celulares. Os smart-phones estão tão presentes em nossa vida, tornaram-se algo tão normal, que nos esquecemos que eram apenas telefones, equipamentos usados para falar. Para quem se lembra, há mais ou menos dez anos sairam os primeiros celulares com acesso WAP. Eram os telefones que também acessavam a Internet. Agora, a cada nova geração de aparelhos, eles se parecem muito mais com um computador portátil que também pode ser usado como telefone. Mas, na prática, o que significa isto? Em dezembro de 2009, de acordo com estudo da Ericsson, o volume de dados trafegado nas redes das operadoras de celular ultrapassou o tráfego de voz, computando modens e smart-phones. Pela primeira vez, o uso do telefone para falar tornou-se algo secundário em uma rede de telefonia. Os cálculos apontam também para um crescimento de 66 vezes no tráfego de dados entre 2008 e 2013, e que, em 2015, 98% do tráfego de smartphones será dados, e desses, a maior parte será video. Não é fácil duvidar dessas previsões. O uso de chamadas com vídeo tornou-se algo corriqueiro para milhares de pessoas com o Messenger, Skype e similares. Alguém acha que não ocorrerá o mesmo com os celulares, quando os aparelhos, a exemplo do novo iPhone 4, trouxerem a câmera para chamadas com vídeo?
Proteger uma rede com tal volume de dados e em crescimento constante será um grande desafio. Não estou falando apenas de throughput, mas de milhões de sessões simultâneas, abertas por milhões de usuários conectados o tempo todo. Uma grande operadora móvil dos Estados Unidos editou uma concorrência para compra de firewall no final de 2008 prevendo um crescimento de 10 vezes no volume de dados trafegados em apenas dois anos. Mas esse não será o único desafio de segurança de redes para os próximos cinco anos. Há ainda um desafio maior: o de migrar do modelo de segurança de sistemas para o de segurança de pessoas.
Hoje, quando instalamos um firewall (e um IPS, etc) nos preocupamos em proteger os equipamentos centrais da rede, os servidores e computadores nela conectados, além é claro dos dados e informações lá armazenados. Apesar dos problemas, essa tarefa hoje é realizada de maneira satisfatória. Surgiu no entanto outras questões para os administradores de segurança, o que fazer com as redes sociais? Não só elas podem trazer ameaças para as redes, via downloads involuntários, como são também um elemento de perda de produtividade. Muitas empresas já decidiram bloquear o acesso à redes sociais e a comunicadores instântaneos. Mas a vida nunca é simples. As redes sociais se tornaram ferramentas de marketing, e é necessário que profissionais de marketing tenham acesso ao Facebook e Twitter, apenas para citar os mais famosos. Por outro lado, fabricantes de equipamento estão usando ferramentas de streaming de vídeo, para publicar vídeos promocionais ou de treinamento, e as mesmas ferramentas podem ser também utilizados pela própria empresa para suas atividades de marketing. Aqui está o desafio, personificar a segurança para que ela possa identificar as pessoas e dar-lhes o acesso que necessitam ao mesmo tempo que protege usuários, sistemas e dispositivos das ameaças da Internet. Esse nível de acesso personificado e seguro incluiria também a proteção dentro da ferramenta social, onde o acesso de um usuário ao Facebook, por exemplo, seria monitorado para bloquear um download de código malicioso.
Há varias respostas hoje disponiveis para esse problema, como as ferramentas de perfil de acesso que concedem um desktop personalisado ao usuário, e os agentes instalados no próprio computador. Mas nenhuma delas pode monitorar o tráfego de dados que deixa e chega à rede desde a Internet. O que se está discutindo é como agregar mais inteligência e discernimento ao gateway de rede, da mesma maneira que foi feito para que protocolos fossem reconhecidos e analisados por sistemas de detecção de intrusos, mas desta vez para o reconhecimento dos usuários da rede. Ao invés de se definir regras para um grupo de IPs, se definiria para um grupo de pessoas, ou para um individuo em particular. Como isso poderá ser feito com eficiência ainda é um tema em discussão na indústria, e pouco a pouco produtos irão despontar com essa idéia em mente, a exemplo dos produtos para DLP, a prevenção de perda/vazamento de dados, hoje facilmente encontrados. Ambas aliás – segurança focada nas pessoas e nas informações – será o modelo a ser seguido no futuro.
Internet das Coisas foi o nome dado por pesquisadores à conexão de objetos e equipamentos diversos à rede ou à Internet, seja para controle de inventário ou para acesso remoto, nos casos mais sofisticados. Para o primeiro caso a tecnologia mais promissora, já usada largamente, é o RFID. Para o segundo, estamos falando de equipamentos genéricos, como elevadores e até uma geladeira doméstica, com um sistema operacional embutidos, do termo embedded operating system em inglês. O primeiro efeito é claro: o aumento substancial do volume de dados trafegado, exigindo uma infraestrutura mais robusta, o que inclui os dispositivos de segurança de rede. O outro efeito é o aumento da complexidade, com a agregação de novos sistemas e protocolos de comunicação, o que invariamente significa novas vulnerabilidades a explorar. Já os sistemas operacionais embutidos adicionam ainda um nível extra de complexidade. São sistema especialistas, muitos baseados em Linux, outros em plataformas proprietárias, que na verdade já existem há muito tempo, e estão presentes em nosso dia. Mas a situação muda quando começam a receber endereçamento IP e a ser acessíveis remotamente. O primeiro risco advém do fato que os usuários normalmente desconhecem os riscos associados e expõem o equipamento. O segundo risco é o da dificuldade em mantê-los atualizados com correções de segurança. Da mesma forma que os usuários desconhecem riscos, eles não sabem da importância de manter atualizado o sistema.
Eu espero uma explosão desses sistemas com a instalação de fato do endereçamento IPv6. Hoje o IPv4 acaba sendo um limitador, porém com o IPv6 não haverá limites para a quantidade de equipamentos que se queira conectar. O maior exemplo do que representa isso são os telefones celulares. Os smart-phones estão tão presentes em nossa vida, tornaram-se algo tão normal, que nos esquecemos que eram apenas telefones, equipamentos usados para falar. Para quem se lembra, há mais ou menos dez anos sairam os primeiros celulares com acesso WAP. Eram os telefones que também acessavam a Internet. Agora, a cada nova geração de aparelhos, eles se parecem muito mais com um computador portátil que também pode ser usado como telefone. Mas, na prática, o que significa isto? Em dezembro de 2009, de acordo com estudo da Ericsson, o volume de dados trafegado nas redes das operadoras de celular ultrapassou o tráfego de voz, computando modens e smart-phones. Pela primeira vez, o uso do telefone para falar tornou-se algo secundário em uma rede de telefonia. Os cálculos apontam também para um crescimento de 66 vezes no tráfego de dados entre 2008 e 2013, e que, em 2015, 98% do tráfego de smartphones será dados, e desses, a maior parte será video. Não é fácil duvidar dessas previsões. O uso de chamadas com vídeo tornou-se algo corriqueiro para milhares de pessoas com o Messenger, Skype e similares. Alguém acha que não ocorrerá o mesmo com os celulares, quando os aparelhos, a exemplo do novo iPhone 4, trouxerem a câmera para chamadas com vídeo?
Proteger uma rede com tal volume de dados e em crescimento constante será um grande desafio. Não estou falando apenas de throughput, mas de milhões de sessões simultâneas, abertas por milhões de usuários conectados o tempo todo. Uma grande operadora móvil dos Estados Unidos editou uma concorrência para compra de firewall no final de 2008 prevendo um crescimento de 10 vezes no volume de dados trafegados em apenas dois anos. Mas esse não será o único desafio de segurança de redes para os próximos cinco anos. Há ainda um desafio maior: o de migrar do modelo de segurança de sistemas para o de segurança de pessoas.
Hoje, quando instalamos um firewall (e um IPS, etc) nos preocupamos em proteger os equipamentos centrais da rede, os servidores e computadores nela conectados, além é claro dos dados e informações lá armazenados. Apesar dos problemas, essa tarefa hoje é realizada de maneira satisfatória. Surgiu no entanto outras questões para os administradores de segurança, o que fazer com as redes sociais? Não só elas podem trazer ameaças para as redes, via downloads involuntários, como são também um elemento de perda de produtividade. Muitas empresas já decidiram bloquear o acesso à redes sociais e a comunicadores instântaneos. Mas a vida nunca é simples. As redes sociais se tornaram ferramentas de marketing, e é necessário que profissionais de marketing tenham acesso ao Facebook e Twitter, apenas para citar os mais famosos. Por outro lado, fabricantes de equipamento estão usando ferramentas de streaming de vídeo, para publicar vídeos promocionais ou de treinamento, e as mesmas ferramentas podem ser também utilizados pela própria empresa para suas atividades de marketing. Aqui está o desafio, personificar a segurança para que ela possa identificar as pessoas e dar-lhes o acesso que necessitam ao mesmo tempo que protege usuários, sistemas e dispositivos das ameaças da Internet. Esse nível de acesso personificado e seguro incluiria também a proteção dentro da ferramenta social, onde o acesso de um usuário ao Facebook, por exemplo, seria monitorado para bloquear um download de código malicioso.
Há varias respostas hoje disponiveis para esse problema, como as ferramentas de perfil de acesso que concedem um desktop personalisado ao usuário, e os agentes instalados no próprio computador. Mas nenhuma delas pode monitorar o tráfego de dados que deixa e chega à rede desde a Internet. O que se está discutindo é como agregar mais inteligência e discernimento ao gateway de rede, da mesma maneira que foi feito para que protocolos fossem reconhecidos e analisados por sistemas de detecção de intrusos, mas desta vez para o reconhecimento dos usuários da rede. Ao invés de se definir regras para um grupo de IPs, se definiria para um grupo de pessoas, ou para um individuo em particular. Como isso poderá ser feito com eficiência ainda é um tema em discussão na indústria, e pouco a pouco produtos irão despontar com essa idéia em mente, a exemplo dos produtos para DLP, a prevenção de perda/vazamento de dados, hoje facilmente encontrados. Ambas aliás – segurança focada nas pessoas e nas informações – será o modelo a ser seguido no futuro.
sábado, 31 de julho de 2010
Treinando seus Usuários em Segurança
Preparando-se para uma apresentação na antesala de reunião, o engenheiro de pré-vendas abre seu laptop e é brindado pela fatídica tela azul do Windows, que entre mensagens e bytes, informa “olá amigo, seu disco rígido se foi”. Imediatamente pensa: “terei que mudar o plano da reunião já que não poderei mas fazer a apresentação” e “quando foi a última vez que fiz backup?”. Um consultor de segurança da informação janta com um amigo, consultor de segurança patrimonial para grandes corporações que, no meio da conversa, pergunta “você acha que as informações dessas empresas estão protegidas? Digo isso porque já vi várias falhas no manuseio e transporte de computadores pessoais, além de roubo de laptops dos escritórios”. Um funcionário desavisado (ou negligente) envia a um parceiro de negócios uma apresentação com os dizeres “confidencial” em cada slide. Quando chamado para dar explicações, o funcionário alega que todo mundo na empresa ignora a palavra “confidencial” nas apresentações, já que os slides, mesmo aqueles com informações públicas, sempre trazem o termo.
Esses três casos, sem nenhuma ligação aparente, mostram o problema mais presente nas empresas. Todas, permitam-se generalizar, sem exceção: o da segurança pessoal em informática, ou, o cuidado do usuário com a segurança de seus dados. Acredito que a grande maioria das grandes empresas já incorporou em seus treinamentos de RH, principalmente para novos empregados, instruções para manuseio de informações, e mantém campanhas internas de conscientização. Mas por que será, que o final dos casos que citei seriam que o laptop não tinha backup, que os dados confidenciais armazenados nos laptops roubados não estavam criptografados e que realmente todo mundo escreve “confidencial” em qualquer coisa sem ter a mínima noção do que está fazendo?
Eu ousaria dizer que o motivo é que segurança da informação ainda é um negócio complicado, e que as áreas de segurança falham em torná-lo mais fácil e acessível. Tomemos o exemplo do backup. Os discos rígidos dos computadores pessoais são cada vez maiores. Novos computadores chegam com no mínimo 250GB de capacidade e, é razoavel supor, que ano após ano os arquivos irão se acumular nos discos dos usuários. É claro que espaço em disco centralizado para backups torna-se a cada nova leva de computadores um problema literalmente maior, mas quero chamar a atenção para outra questão: que usuário quer perder uma hora por semana, no minimo, para fazer backup de seus dados? O que é melhor: esperar o backup acabar ou ir logo para casa na sexta-feira? Quem é que quer dizer ao chefe irritado: “não posso te enviar o email agora porque estou fazendo backup”. Ninguém gosta de fazer backup. Eu mesmo odeio ficar 40 minutos (faço um backup semanal) olhando a barra avançar.
Mas vamos olhar nosso backup com mais atenção: por que fazemos backup de dados que baixamos de servidores de intranet? Ou da cópia local do inbox de correio? Ou dos arquivos que criamos há cinco anos atrás e que não acesso a quatro anos e meio? Precisamos desses arquivos? Eu diria que não. Eu mesmo tive uma experiência interessante quando mudei de computador da última vez. Ao invés de migrar todos os arquivos de uma só vez, decidi por falta de tempo copiar apenas os arquivos dos últimos meses e deixar o resto no backup do computador velho, para ir pegando conforme a necessidade. Se eu disser que precisei de 5% do que estava lá estarei exagerando. A resposta para o dilema do backup é que não precisamos fazer backup de tudo. Talvez seja apenas necessário quinze minutos por semana para copiar o que realmente importa.
O mesmo se aplica à classificação dos dados. Por que dados de dominio público aparecem com a tarja de confidenciais? Por que informações de produtos continuam como confidenciais mesmo depois de terem sido lançados? Por que essa é uma missão que parece impossível? Certamente porque tentamos classificar tudo, agravado pelo fato de que é uma tarefa subjetiva, afinal é feita por seres humanos. É impossível mesmo uma empresa classificar todas as suas informações, mas também é desnecessário. As informações confidenciais são uma parte pequena do acervo de dados. O primeiro passo em um projeto deve ser definir sem paixões o que deve ser resguardado. Informações de faturamento, capital intelectual, segredos industriais, propostas e estratégias comerciais, por exemplo. Notem que cada tipo de informação pode ser associado imediatamente a uma área criadora e/ou mantenedora. Se não está claro quem é o criador, então aquele tipo de informação não deve ser classificado.
Outro complicador é tentar definir muitos níveis. Para mim só são necessários dois níveis: uma para informações que não podem sair da empresa, e outra para informações que só podem ser divulgadas para outras empresas com contratos de confidencialidade firmados. No máximo se poderia criar um terceiro nível para informações que só podem ser divulgadas para algumas pessoas dentro da empresa. O resto é público. Para que complicar? Mas ainda falta um elemento à classificação: data. Imaginem que uma empresa irá lançar um novo produto e realiza um treinamento interno, que seria classificado como “confidencial”. Esta é uma prática comum, no entanto é igualmente comum que as informações continuem classificadas de “confidencial” meses depois do lançamento. Por que? Porque faltou a informação de data. Qualquer restrição deveria trazer um prazo de validade. Para segredos industriais seria indefinido, para novos produtos a data de seu lançamento. Mas não complica ainda mais? Não se restringirmos a classificação a algumas áreas muito específicas, e a algumas informações ainda mais específicas. No final teremos poucas pessoas que criarão informações classificadas, um público capaz de ser treinado.
E ai chegamos a criptografia. O que deve ser criptografado em um laptop? Isso mesmo, as poucas informações que são classificadas. O resto é bobagem. Vejam que muitas vezes algumas informações que achamos ser confidenciais na verdade são públicas de fato. Listas de preço por exemplo. Qualquer fabricante publica suas listas para centenas ou milhares de parceiros. Não dá para controlar, tanto que elas são facilmente achadas na Internet. Mas quem dá bola para listas de preços? Elas são apenas referenciais porque no final o que conta é o desconto, que depende de outros fatores e é autorizado muitas vezes caso a caso. Então para que classificar e criptografar uma lista de preços?
Descomplicar a segurança deveria ser um objetivo básico de todas as áreas que tratam de políticas e programas de conscientização. Muitas vezes queremos que o usuário leia e aceite manuais de segurança longos demais. A maioria aceita sem ler. É tedioso ficar lendo normas. E é inútil ter muitas normas. Por que? Porque nos esquecemos delas. Já poucas são lembradas. Uma página no máximo, com letras grandes. Nenhum usuário precisa de mais de meia duzia de ações para manter seus dados seguros. Mas a gente gosta de adicionar conhecimentos, fazer com que o usuário “aprenda”. Faltou perguntar se ele quer aprender alguma coisa. Normalmente não.
(publicado na revista RTI em Junho/2010 - acesse aqui a edição digital)
Esses três casos, sem nenhuma ligação aparente, mostram o problema mais presente nas empresas. Todas, permitam-se generalizar, sem exceção: o da segurança pessoal em informática, ou, o cuidado do usuário com a segurança de seus dados. Acredito que a grande maioria das grandes empresas já incorporou em seus treinamentos de RH, principalmente para novos empregados, instruções para manuseio de informações, e mantém campanhas internas de conscientização. Mas por que será, que o final dos casos que citei seriam que o laptop não tinha backup, que os dados confidenciais armazenados nos laptops roubados não estavam criptografados e que realmente todo mundo escreve “confidencial” em qualquer coisa sem ter a mínima noção do que está fazendo?
Eu ousaria dizer que o motivo é que segurança da informação ainda é um negócio complicado, e que as áreas de segurança falham em torná-lo mais fácil e acessível. Tomemos o exemplo do backup. Os discos rígidos dos computadores pessoais são cada vez maiores. Novos computadores chegam com no mínimo 250GB de capacidade e, é razoavel supor, que ano após ano os arquivos irão se acumular nos discos dos usuários. É claro que espaço em disco centralizado para backups torna-se a cada nova leva de computadores um problema literalmente maior, mas quero chamar a atenção para outra questão: que usuário quer perder uma hora por semana, no minimo, para fazer backup de seus dados? O que é melhor: esperar o backup acabar ou ir logo para casa na sexta-feira? Quem é que quer dizer ao chefe irritado: “não posso te enviar o email agora porque estou fazendo backup”. Ninguém gosta de fazer backup. Eu mesmo odeio ficar 40 minutos (faço um backup semanal) olhando a barra avançar.
Mas vamos olhar nosso backup com mais atenção: por que fazemos backup de dados que baixamos de servidores de intranet? Ou da cópia local do inbox de correio? Ou dos arquivos que criamos há cinco anos atrás e que não acesso a quatro anos e meio? Precisamos desses arquivos? Eu diria que não. Eu mesmo tive uma experiência interessante quando mudei de computador da última vez. Ao invés de migrar todos os arquivos de uma só vez, decidi por falta de tempo copiar apenas os arquivos dos últimos meses e deixar o resto no backup do computador velho, para ir pegando conforme a necessidade. Se eu disser que precisei de 5% do que estava lá estarei exagerando. A resposta para o dilema do backup é que não precisamos fazer backup de tudo. Talvez seja apenas necessário quinze minutos por semana para copiar o que realmente importa.
O mesmo se aplica à classificação dos dados. Por que dados de dominio público aparecem com a tarja de confidenciais? Por que informações de produtos continuam como confidenciais mesmo depois de terem sido lançados? Por que essa é uma missão que parece impossível? Certamente porque tentamos classificar tudo, agravado pelo fato de que é uma tarefa subjetiva, afinal é feita por seres humanos. É impossível mesmo uma empresa classificar todas as suas informações, mas também é desnecessário. As informações confidenciais são uma parte pequena do acervo de dados. O primeiro passo em um projeto deve ser definir sem paixões o que deve ser resguardado. Informações de faturamento, capital intelectual, segredos industriais, propostas e estratégias comerciais, por exemplo. Notem que cada tipo de informação pode ser associado imediatamente a uma área criadora e/ou mantenedora. Se não está claro quem é o criador, então aquele tipo de informação não deve ser classificado.
Outro complicador é tentar definir muitos níveis. Para mim só são necessários dois níveis: uma para informações que não podem sair da empresa, e outra para informações que só podem ser divulgadas para outras empresas com contratos de confidencialidade firmados. No máximo se poderia criar um terceiro nível para informações que só podem ser divulgadas para algumas pessoas dentro da empresa. O resto é público. Para que complicar? Mas ainda falta um elemento à classificação: data. Imaginem que uma empresa irá lançar um novo produto e realiza um treinamento interno, que seria classificado como “confidencial”. Esta é uma prática comum, no entanto é igualmente comum que as informações continuem classificadas de “confidencial” meses depois do lançamento. Por que? Porque faltou a informação de data. Qualquer restrição deveria trazer um prazo de validade. Para segredos industriais seria indefinido, para novos produtos a data de seu lançamento. Mas não complica ainda mais? Não se restringirmos a classificação a algumas áreas muito específicas, e a algumas informações ainda mais específicas. No final teremos poucas pessoas que criarão informações classificadas, um público capaz de ser treinado.
E ai chegamos a criptografia. O que deve ser criptografado em um laptop? Isso mesmo, as poucas informações que são classificadas. O resto é bobagem. Vejam que muitas vezes algumas informações que achamos ser confidenciais na verdade são públicas de fato. Listas de preço por exemplo. Qualquer fabricante publica suas listas para centenas ou milhares de parceiros. Não dá para controlar, tanto que elas são facilmente achadas na Internet. Mas quem dá bola para listas de preços? Elas são apenas referenciais porque no final o que conta é o desconto, que depende de outros fatores e é autorizado muitas vezes caso a caso. Então para que classificar e criptografar uma lista de preços?
Descomplicar a segurança deveria ser um objetivo básico de todas as áreas que tratam de políticas e programas de conscientização. Muitas vezes queremos que o usuário leia e aceite manuais de segurança longos demais. A maioria aceita sem ler. É tedioso ficar lendo normas. E é inútil ter muitas normas. Por que? Porque nos esquecemos delas. Já poucas são lembradas. Uma página no máximo, com letras grandes. Nenhum usuário precisa de mais de meia duzia de ações para manter seus dados seguros. Mas a gente gosta de adicionar conhecimentos, fazer com que o usuário “aprenda”. Faltou perguntar se ele quer aprender alguma coisa. Normalmente não.
(publicado na revista RTI em Junho/2010 - acesse aqui a edição digital)
segunda-feira, 7 de junho de 2010
Advanced Persistent Threat é uma bobagem
Conhecer o significado dos termos frequentemente esclarece muito sobre eles. Por exemplo, espresso (do café) é um termo em italiano que significa "preparado na hora especialmente para você". Podemos aplicar a mesma regra à última moda em segurança: Advanced Persistent Threat. Conhecer os termos esclarece o seu significado, que é nada.
Vejamos:
- Advanced: um ataque realizado com técnicas avançadas. Ora, avançado ou não depende do ponto de vista. Para um advogado ou para um especialista em pen test?
- Persistent: ataque persistente, prolongado. Não oportunistico.
- Threat: realizado por um grupo organizado de hackers.
Agora imaginem a cena: o CSO se apresenta ao CEO.
(CSO) - Chefe, todos os dados de nossos clientes foram roubados, mas não se preocupe pois não sofremos um APT.
(CEO) - Como assim?
(CSO) - Descobrimos que o ataque foi realizado por um hacker amador, que oportunisticamente invadiu nosso banco de dados. A boa noticia é que ele usou SQL Injection, uma técnica antiga que não consideramos avançada. O senhor não tem com o que se preocupar.
Vejamos:
- Advanced: um ataque realizado com técnicas avançadas. Ora, avançado ou não depende do ponto de vista. Para um advogado ou para um especialista em pen test?
- Persistent: ataque persistente, prolongado. Não oportunistico.
- Threat: realizado por um grupo organizado de hackers.
Agora imaginem a cena: o CSO se apresenta ao CEO.
(CSO) - Chefe, todos os dados de nossos clientes foram roubados, mas não se preocupe pois não sofremos um APT.
(CEO) - Como assim?
(CSO) - Descobrimos que o ataque foi realizado por um hacker amador, que oportunisticamente invadiu nosso banco de dados. A boa noticia é que ele usou SQL Injection, uma técnica antiga que não consideramos avançada. O senhor não tem com o que se preocupar.
SPAM nos comentários?
Depois de um bom tempo distante dos posts, estou retomando com algo que ainda não conhecia. Talvez autores de blogs mais populares já lidem com isso faz tempo. Estou falando de spam nos comentários.
Pelo menos uma vez por semana recebo comentários como o abaixo:
Hello people,
What online fanzines do you read and would recommend? etc etc [http:// ... ]
Obviamente o alvo são blogs cujos comentários são automaticamente aceitos, o que não é o meu caso. Mas não deixo de pensar que se entrei em alguma lista dessas é porque meu blog deve estar ficando mais interessante... (é só uma ilusão, mas ilusões são boas de vez em quando)
Pelo menos uma vez por semana recebo comentários como o abaixo:
Hello people,
What online fanzines do you read and would recommend? etc etc [http:// ... ]
Obviamente o alvo são blogs cujos comentários são automaticamente aceitos, o que não é o meu caso. Mas não deixo de pensar que se entrei em alguma lista dessas é porque meu blog deve estar ficando mais interessante... (é só uma ilusão, mas ilusões são boas de vez em quando)
terça-feira, 6 de abril de 2010
IPS já é um commodity?
A mensagem de marketing dos fabricantes de IPS são também bem parecidas, eficiência aliada com facilidade de uso, o que nos dá a sensação de commodity e dificulta a comparação. Mas diferenças podem ser encontradas no último relatório do NSS Labs. Pois a última versão do teste de IPS (Network Intrusion Prevention Group Test) em 2009, dessa vez com todos os fabricantes que constam nos quadrantes de Leaders e Challengers do último relatório de Quadrante Mágico de IPS do Gartner, e de quebra também os líderes de mercado na maioria dos relatórios, apontou alguns datos inquietantes:
• A diferença do nível de detecção entre o último e o primeiro colocado no teste foi de espantosos 72,2%. E lembrem que estamos falando de líderes de mercado;
• A diferença da detecção antes e depois de ajustes (tuning) chega a 18%, o que significa que todos os produtos exigem configurações para atender as expectativas de proteção;
• A diferença entre o throughput suportado nos datasheets e o aferido no teste chegou a 50% em alguns casos, e realmente este é um dos problemas mais relatados nas implementações;
• A maioria dos produtos apresentou problemas nos testes de evasão. Em outras palavras, são bons em detectar ataques tradicionais porém deficientes na detecção de ataques mais bem elaborados com técnicas que enganam produtos de segurança.
O relatório pode ser obtido na NSS Labs. Eu posso também enviar o sumário executivo para aqueles que se interessarem e me pedirem por email.
• A diferença do nível de detecção entre o último e o primeiro colocado no teste foi de espantosos 72,2%. E lembrem que estamos falando de líderes de mercado;
• A diferença da detecção antes e depois de ajustes (tuning) chega a 18%, o que significa que todos os produtos exigem configurações para atender as expectativas de proteção;
• A diferença entre o throughput suportado nos datasheets e o aferido no teste chegou a 50% em alguns casos, e realmente este é um dos problemas mais relatados nas implementações;
• A maioria dos produtos apresentou problemas nos testes de evasão. Em outras palavras, são bons em detectar ataques tradicionais porém deficientes na detecção de ataques mais bem elaborados com técnicas que enganam produtos de segurança.
O relatório pode ser obtido na NSS Labs. Eu posso também enviar o sumário executivo para aqueles que se interessarem e me pedirem por email.
quarta-feira, 10 de março de 2010
Blackberry
O Blackberry e os smartphones em geral estão sendo responsáveis por malentendidos corporativos e alguns pequenos vazamentos de segurança. A grande maioria dos usuários de smartphone tem o hábito (por alguma necessidade inexplicada) de responder o mais rápido possivel qualquer mensagem, seja a hora que for. O sujeito está as 11 da noite na cama, pronto para dormir, decide dar uma última olhadilha e ...feito. Em segundos responde ou encaminha a mensagem sem ler todo o histórico (que alias é mais dificil nas telas pequenas) ou pensar com cuidado.
Tenho dois bons exemplos reais. Uma vez recebi um email que era direcionado a outro Marcelo, com informações que com certeza não deveria nunca ter recebido. Em outra ocasião enviei um email com informações de uso restrito, com o devido alerta, e a pessoa deu simplesmente um "forward" para um destinatário externo. Disse que não viu o alerta de confidencialidade. São casos que poderiam ocorrer também em um PC, mas que são potencializados pela loucura do acesso instantâneo.
PS. Escrevi esse post em meu BB (blackberry para os íntimos).
Tenho dois bons exemplos reais. Uma vez recebi um email que era direcionado a outro Marcelo, com informações que com certeza não deveria nunca ter recebido. Em outra ocasião enviei um email com informações de uso restrito, com o devido alerta, e a pessoa deu simplesmente um "forward" para um destinatário externo. Disse que não viu o alerta de confidencialidade. São casos que poderiam ocorrer também em um PC, mas que são potencializados pela loucura do acesso instantâneo.
PS. Escrevi esse post em meu BB (blackberry para os íntimos).
terça-feira, 9 de março de 2010
Comparando Produtos de Segurança de Redes
Adquirir produtos de segurança de rede nem sempre é uma tarefa fácil. Há múltiplas opções, o que é ótimo para todos, e que requer que o comprador compare muito bem os produtos para adquirir aquele que melhor se adapte ao seu uso – perfil de rede, aplicações e negócio. Algumas grandes empresas possuem o privilégio de contarem com laboratórios internos de testes, ou recursos para contratar um terceiro para fazê-los de maneira personalizada. Mas a realidade da maior parte das empresas brasileiras é diferente, precisando tomar sua decisão baseados em datasheets, comparações de terceiros e referências de clientes.
Para todos a comparação de produtos de segurança envolve três partes básicas: a eficiência do mecanismo de proteção, o desempenho de rede e a usabilidade. Para aqueles que podem testar produtos internamente, os testes de eficiência devem ser realizados com ferramentas apropriadas, como o MetaExploit, um framework aberto disponível em http://www.metasploit.com/, e o BreakingPoint - http://www.breakingpointsystems.com. O principal cuidado é que o teste possa realmente medir a capacidade de proteção do produto, sobretudo para ataques mais sofisticados. Não vale executar scripts manjados ou simples demais, pois qualquer produto irá detectá-los. Uma alternativa para os testes internos, e a única para quem não pode testar, é confiar em comparativos de publicações especializadas ou órgãos independentes. Mas cuidado! É importante ler com atenção e entender como o teste foi realizado, e não ir diretamente ao famoso quadro do “Editor’s Choice”. Recomendo os testes do NSS Labs, http://www.nsslabs.com/. O NSS é sempre independente, e obtém sua receita pela venda de seus relatórios. Há, claro, outros órgãos que realizam seus testes e devem ser consultados.
O desafio é ainda maior ao comparar o desempenho de rede. Não há regras que a serem seguidas pelos fabricantes, apenas o bom senso e honestidade. A maior parte dos erros ocorrem por falha na interpretação dos datasheets de informações dos produtos. Para quem for testar em laboratório, recomendo a adoção das RFPs abaixo:
Throughput é com certeza o mais mal interpretado, e o que causa maior desapontamento. Primeiramente, devemos evitar a confusão de throughput com largura de banda, a capacidade nominal da rede. Não é dificil encontrar redes com largura de banda de 1Gbps mas com volume real muito menor, abaixo de 500 Mbps. Portanto, o thoughput requerido de um produto deve se basear no volume real existente. Outro problema é não associar o valor de throughput com o perfil da rede (protocolos e tamanho do pacote) usado para a medição. Todos os fabricantes, por motivos de marketing, publicam seus dados de performance em condições ótimas, o que significa transmissão de pacotes de 1518 bytes. Apesar de servir como comparação, esse valor não quer dizer quanto o equipamento irá render em uma situação de rede real. Algumas pessoas então pedem o throughput com pacotes de 64 bytes, o que também não quer dizer nada, já que também não representar um perfil real de rede. O meio termo, 512 bytes, tampouco representa a realidade.
Para cobrir esse lacuna a indústria adotou um padrão de fato, denominado de iMIX (Internet Mix), criado em 2001. O iMIX é a representação de um perfil de tráfego real, e é o melhor perfil a ser utilizado para comparar produtos. A grande maioria dos fabricantes publica índices de desempenho em relação ao iMIX, e muitos seguem a RFC2544 na hora de executarem seus testes. Essa padronização permite que possamos comparar “bananas com bananas”. Como exemplo, um IMIX para TCP compreende a seguinte combinação:
O terceiro elemento é a usabilidade, ou o nível exigido de conhecimento para configurar e operar o produto. Mais uma vez a melhor fonte de informação vem de análises de terceiros e referências de clientes. Esse critério tem que ser analisado com base no perfil dos operadores do produto e irá impactar os custos na parte de treinamento. Vale lembrar que não há regras, logo um fabricante pode publicar seus dados da maneira que achar melhor. O papel do comprador, portanto, será de questionar, questionar e questionar.
Para todos a comparação de produtos de segurança envolve três partes básicas: a eficiência do mecanismo de proteção, o desempenho de rede e a usabilidade. Para aqueles que podem testar produtos internamente, os testes de eficiência devem ser realizados com ferramentas apropriadas, como o MetaExploit, um framework aberto disponível em http://www.metasploit.com/, e o BreakingPoint - http://www.breakingpointsystems.com. O principal cuidado é que o teste possa realmente medir a capacidade de proteção do produto, sobretudo para ataques mais sofisticados. Não vale executar scripts manjados ou simples demais, pois qualquer produto irá detectá-los. Uma alternativa para os testes internos, e a única para quem não pode testar, é confiar em comparativos de publicações especializadas ou órgãos independentes. Mas cuidado! É importante ler com atenção e entender como o teste foi realizado, e não ir diretamente ao famoso quadro do “Editor’s Choice”. Recomendo os testes do NSS Labs, http://www.nsslabs.com/. O NSS é sempre independente, e obtém sua receita pela venda de seus relatórios. Há, claro, outros órgãos que realizam seus testes e devem ser consultados.
O desafio é ainda maior ao comparar o desempenho de rede. Não há regras que a serem seguidas pelos fabricantes, apenas o bom senso e honestidade. A maior parte dos erros ocorrem por falha na interpretação dos datasheets de informações dos produtos. Para quem for testar em laboratório, recomendo a adoção das RFPs abaixo:
- RFC 2544 Benchmarking Methodology for Network Interconnect Devices - http://www.ietf.org/rfc/rfc2544.txt -
- RFC 1242 Benchmarking Terminology for Network Interconnection Devices - http://www.ietf.org/rfc/rfc1242.txt -
- Throughput: é o mais solicitado, usado e malinterpretado. Trata-se da taxa de transmissão de pacotes da porta de entrada para a porta de saída do equipamento. Está totalmente relacionado com o tamanho dos pacotes. Deve ser considerado em todas as situações.
- Pacotes por segundo: Mede a quantidade de pacotes de 64 bytes (o menor tamanho considerado na RFC 2544) que o equipamento pode processar sem perdas. Medido em milhões, serve para demonstrar a capacidade do equipamento em sua pior situação de uso, e é um bom elemento de comparação.
- Latência: Mede o atraso sofrido pelos pacotes ao passarem pelo equipamento. Muito se fala de latência, mas na verdade poucas redes tem exigências rígidas. Não há um número mágico em latência, já que depende da rede e suas aplicações, mas valores de 100 a 150 microsegundos atendem à maior parte dos casos.
- Conexões simultâneas: Mede a quantidade de conexões abertas e simultâneas suportadas nos sistemas orientados à conexão, como os firewalls e IPS. Deve ser considerado como algo meramente informativo a não ser que seja realmente necessário, e há poucos tipos de rede, como as das operadoras de celular, que realmente exigem valores muitos altos, na base dos milhões. Uma rede de empresa tipicamente não irá passar de alguns milhares, atendido pela totalidade dos produtos hoje existentes.
- Novas conexões por segundo: Como o nome fala, trata-se da capacidade do equipamento em suportar novas conexões. É uma grande bobagem solicitar valores altos, como 50 mil, a não ser que seja realmente necessário. Em outras palavras, que aquele número de usuários ou transações irá simultaneamente conectar-se em um segundo e passar pelo equipamento. Uma alta capacidade de novas conexões por segundo ou mesmo conexões simultâneas não significa que throughput e latência sejam os melhores.
Throughput é com certeza o mais mal interpretado, e o que causa maior desapontamento. Primeiramente, devemos evitar a confusão de throughput com largura de banda, a capacidade nominal da rede. Não é dificil encontrar redes com largura de banda de 1Gbps mas com volume real muito menor, abaixo de 500 Mbps. Portanto, o thoughput requerido de um produto deve se basear no volume real existente. Outro problema é não associar o valor de throughput com o perfil da rede (protocolos e tamanho do pacote) usado para a medição. Todos os fabricantes, por motivos de marketing, publicam seus dados de performance em condições ótimas, o que significa transmissão de pacotes de 1518 bytes. Apesar de servir como comparação, esse valor não quer dizer quanto o equipamento irá render em uma situação de rede real. Algumas pessoas então pedem o throughput com pacotes de 64 bytes, o que também não quer dizer nada, já que também não representar um perfil real de rede. O meio termo, 512 bytes, tampouco representa a realidade.
Para cobrir esse lacuna a indústria adotou um padrão de fato, denominado de iMIX (Internet Mix), criado em 2001. O iMIX é a representação de um perfil de tráfego real, e é o melhor perfil a ser utilizado para comparar produtos. A grande maioria dos fabricantes publica índices de desempenho em relação ao iMIX, e muitos seguem a RFC2544 na hora de executarem seus testes. Essa padronização permite que possamos comparar “bananas com bananas”. Como exemplo, um IMIX para TCP compreende a seguinte combinação:
- 58% dos pacotes com 90 bytes
- 2% com 92 bytes
- 23% com 594 bytes
- 17% com 1518 bytes
O terceiro elemento é a usabilidade, ou o nível exigido de conhecimento para configurar e operar o produto. Mais uma vez a melhor fonte de informação vem de análises de terceiros e referências de clientes. Esse critério tem que ser analisado com base no perfil dos operadores do produto e irá impactar os custos na parte de treinamento. Vale lembrar que não há regras, logo um fabricante pode publicar seus dados da maneira que achar melhor. O papel do comprador, portanto, será de questionar, questionar e questionar.
quarta-feira, 17 de fevereiro de 2010
Equilibrando Segurança e Inovação
Os profissionais de segurança somos por natureza conservadores. Atuamos em uma área na qual inovações trazem, líquido e certo, novas vulnerabilidades que podem afetar todo um trabalho de segurança e prevenção. No entanto essa mesma área, TI, é a mais dinâmica e inovadora de todas. O conflito é óbvio, assim como as pressões sobre a área de segurança também. No fundo todos gostariamos que redes sociais, comunicação instantânea, computação em nuvem, virtualização, web 2.0 e wireless estivessem bem longe de nossas empresas. Mas não, muito pelo contrário, e precisamos manter os negócios seguros e as informações protegidas, apesar delas.
Citei algo que não é novidade, wireless, de propósito. As redes wireless davam uma enorme dor de cabeça há alguns anos atrás em termos de segurança, e não raro sua utilização era negada. No entanto, mesmo sem evoluir muito em termos de tecnologia de proteção, passou a ser adotada e hoje o seu uso é comum. A imprensa falava o tempo todo das vulnerabilidades e riscos, mas hoje o assunto é outro, e não se comenta mais nada. O que ocorreu? Achou-se um ponto de equilibrio ou a área de segurança abriu a guarda? Ouso dizer que os dois, e as empresas nas quais se abriu a guarda estão hoje vulneráveis a invasões.
Na minha opinião as áreas de segurança não devem se opor às inovações, sob o risco de serem atropeladas por elas, mas tampouco devem permitir que sejam adotadas sem um estudo criterioso e medidas preventivas. Conheci uma empresa de grande porte que trabalha muito bem esse equilibrio. Nela há politicas muito claras para a utilização de cada ferramenta, mas nenhuma tecnologia é proibida, até pelo contrário, novas ferramentas como redes sociais são até estimuladas, porém de uma determinada maneira. Todos os anos cada funcionário assina (digitalmente) um termo dizendo que segue as políticas, e cada gerente assina outro termo dizendo que seus funcionários realmente as seguem. Nas auditorias ele será coresponsável pelos desleixos de sua equipe. Ao mesmo tempo um software instalado em cada PC fiscaliza o mínimo recomendado para configuração do Windows e personal firewall. Há regras específicas para conectar equipamentos à rede cabeada, e controles para o acesso à rede sem fio. Aqueles que querem conectar outros equipamentos ou necessitam de tipos de acesso não previstos recebem um tratamento especial. Podem até instalar um pequeno segmento de rede, porém sem conexão à rede corporativa. Há claro um custo para isto, em pessoal e software, e a autorização para acessos ou conexões pode demorar. Por outro lado a área responsável pelas políticas é dinâmica e ágil em acompanhar as tendências.
Essa necessidade de achar um ponto de equilibrio só tende a crescer. Há especialmente duas ondas que estão vindo. Nenhuma é nova, mas as ondas virão com mais força a partir de 2010. Uma é a da virtualização e consolidação de datacenters. É um fato que o modelo de servidores e redes mudou. E quem não virtualizar acabará migrando para estruturas compartilhadas de computação em nuvem. O oposto da virtualização é a segmentação física de rede e serviços. Para que fique claro, segmentar será sempre mais seguro que virtualizar. Diferentes equipamentos permitem um nível de segurança maior que um equipamentos com múltiplas instâncias. Mas há dois fatores que estão contribuindo para a adoção da consolidação/virtualização: (1) Os produtos de consolidação e virtualização evoluiram e fornecem um nível de segurança muito próximo ao dos equipamentos individualizados; e (2) Consolidar/virtualizar reduz custos, o que hoje é uma necessidade. Não é um cenário aceitável para um executivo que os servidores cada vez mais se concentrem enquanto os de segurança continuam individualizados. No exterior até que cunhou um termo para isso: "appliance sprawl", ou proliferação de appliances. Então temos que seguir a onda. Primeiro protegendo a informação onde ela está. Se está virtualizada, então que se proteja os servidores virtuais. Segundo, virtualizando e consolidando também a segurança. A diferença se dará em como será realizado essas duas tarefas.
A outra onda, e essa é mais preocupante, é o fenômeno das redes sociais e comunicação instantânea nas empresas. A comunicação instantânea preocupa mais porque já é um problema real. Colaboradores de empresas já usam infraestruturas públicas, portanto fora do controle de suas empresas e sem garantias explícitas de segurança, para realizar negócios. Não raro trocam informações confidenciais de negócios. Mas já existem software e serviços privados. Adotá-los ou não é uma questão de análise de custos. O ideal é que a empresa adote um serviço privado. Se não quiser, ou não puder, que instrua seus funcionários a como utilizar serviços públicos da melhor maneira.
Já as redes sociais nas empresas ainda é uma tendência. Por um lado as redes sociais podem ser um grande instrumento para melhorar produtividade e compartilhar informação, e até fazer negócios. Imagine o sujeito que diz em seu perfil que está trabalhando, digamos, com o software tal; e um de seus contatos está justamente procurando empresas com aquela experiência. Mas, pelo outro lado, o Twitter foi invadido no ano passado por conta de informações de um funcionário pesquisadas em redes sociais. Os hackers estão se aproveitando do fato que a confiança é algo implícito nas redes sociais. Estamos lá para compartilhar e acessar o que é compartilhado. É uma pena que a Internet é feito por pessoas, que são as mesmas fora e dentro da rede, e que esta é um ótimo refúgio para hackers, criminosos ou não. Nesse cenário, em que o campo de batalha é transferido ao computador pessoal, torna-se cada vez mais importante o treinamento de conscientização de funcionários e colaboradores. Afinal a decisão acaba mesmo sendo deles.
Citei algo que não é novidade, wireless, de propósito. As redes wireless davam uma enorme dor de cabeça há alguns anos atrás em termos de segurança, e não raro sua utilização era negada. No entanto, mesmo sem evoluir muito em termos de tecnologia de proteção, passou a ser adotada e hoje o seu uso é comum. A imprensa falava o tempo todo das vulnerabilidades e riscos, mas hoje o assunto é outro, e não se comenta mais nada. O que ocorreu? Achou-se um ponto de equilibrio ou a área de segurança abriu a guarda? Ouso dizer que os dois, e as empresas nas quais se abriu a guarda estão hoje vulneráveis a invasões.
Na minha opinião as áreas de segurança não devem se opor às inovações, sob o risco de serem atropeladas por elas, mas tampouco devem permitir que sejam adotadas sem um estudo criterioso e medidas preventivas. Conheci uma empresa de grande porte que trabalha muito bem esse equilibrio. Nela há politicas muito claras para a utilização de cada ferramenta, mas nenhuma tecnologia é proibida, até pelo contrário, novas ferramentas como redes sociais são até estimuladas, porém de uma determinada maneira. Todos os anos cada funcionário assina (digitalmente) um termo dizendo que segue as políticas, e cada gerente assina outro termo dizendo que seus funcionários realmente as seguem. Nas auditorias ele será coresponsável pelos desleixos de sua equipe. Ao mesmo tempo um software instalado em cada PC fiscaliza o mínimo recomendado para configuração do Windows e personal firewall. Há regras específicas para conectar equipamentos à rede cabeada, e controles para o acesso à rede sem fio. Aqueles que querem conectar outros equipamentos ou necessitam de tipos de acesso não previstos recebem um tratamento especial. Podem até instalar um pequeno segmento de rede, porém sem conexão à rede corporativa. Há claro um custo para isto, em pessoal e software, e a autorização para acessos ou conexões pode demorar. Por outro lado a área responsável pelas políticas é dinâmica e ágil em acompanhar as tendências.
Essa necessidade de achar um ponto de equilibrio só tende a crescer. Há especialmente duas ondas que estão vindo. Nenhuma é nova, mas as ondas virão com mais força a partir de 2010. Uma é a da virtualização e consolidação de datacenters. É um fato que o modelo de servidores e redes mudou. E quem não virtualizar acabará migrando para estruturas compartilhadas de computação em nuvem. O oposto da virtualização é a segmentação física de rede e serviços. Para que fique claro, segmentar será sempre mais seguro que virtualizar. Diferentes equipamentos permitem um nível de segurança maior que um equipamentos com múltiplas instâncias. Mas há dois fatores que estão contribuindo para a adoção da consolidação/virtualização: (1) Os produtos de consolidação e virtualização evoluiram e fornecem um nível de segurança muito próximo ao dos equipamentos individualizados; e (2) Consolidar/virtualizar reduz custos, o que hoje é uma necessidade. Não é um cenário aceitável para um executivo que os servidores cada vez mais se concentrem enquanto os de segurança continuam individualizados. No exterior até que cunhou um termo para isso: "appliance sprawl", ou proliferação de appliances. Então temos que seguir a onda. Primeiro protegendo a informação onde ela está. Se está virtualizada, então que se proteja os servidores virtuais. Segundo, virtualizando e consolidando também a segurança. A diferença se dará em como será realizado essas duas tarefas.
A outra onda, e essa é mais preocupante, é o fenômeno das redes sociais e comunicação instantânea nas empresas. A comunicação instantânea preocupa mais porque já é um problema real. Colaboradores de empresas já usam infraestruturas públicas, portanto fora do controle de suas empresas e sem garantias explícitas de segurança, para realizar negócios. Não raro trocam informações confidenciais de negócios. Mas já existem software e serviços privados. Adotá-los ou não é uma questão de análise de custos. O ideal é que a empresa adote um serviço privado. Se não quiser, ou não puder, que instrua seus funcionários a como utilizar serviços públicos da melhor maneira.
Já as redes sociais nas empresas ainda é uma tendência. Por um lado as redes sociais podem ser um grande instrumento para melhorar produtividade e compartilhar informação, e até fazer negócios. Imagine o sujeito que diz em seu perfil que está trabalhando, digamos, com o software tal; e um de seus contatos está justamente procurando empresas com aquela experiência. Mas, pelo outro lado, o Twitter foi invadido no ano passado por conta de informações de um funcionário pesquisadas em redes sociais. Os hackers estão se aproveitando do fato que a confiança é algo implícito nas redes sociais. Estamos lá para compartilhar e acessar o que é compartilhado. É uma pena que a Internet é feito por pessoas, que são as mesmas fora e dentro da rede, e que esta é um ótimo refúgio para hackers, criminosos ou não. Nesse cenário, em que o campo de batalha é transferido ao computador pessoal, torna-se cada vez mais importante o treinamento de conscientização de funcionários e colaboradores. Afinal a decisão acaba mesmo sendo deles.
Assinar:
Postagens (Atom)