Artigo: Sociedade digital e proteção são inconciliáveis?

Author Photo
8:24 am - 07 de julho de 2011

A segurança digital tem sido um grande desafio para empresas, governos, e instituições. O número de casos de invasões envolvendo bancos, corporações e entidades governamentais que aparecem na mídia tem crescido ultimamente. Nestes ataques, dados de clientes, fornecedores, colaboradores e parceiros são expostos por hackers para uma comunidade de agentes maliciosos com objetivos diversos. E o número de incidentes que envolvem perdas financeiras diretas e indiretas é incalculável. O fato é que nossa sociedade está baseada irremediavelmente no mundo digital. Hoje, compras, negócios, relacionamentos, dados e valores são transacionados pela internet. E quanto mais a sociedade se baseia no mundo digital, mais a criminalidade foca nesse meio.

Para se ter uma ideia, o levantamento da F/Nazca com apoio do Datafolha dá conta que atualmente 54% dos brasileiros acessam a internet, ou seja, 81,3 milhões de pessoas, e este número cresce a cada dia com a expansão de serviços de acesso de banda larga. Segundo o Ibope Nielsen, em 2009, eram 232 milhões de sites. Vivenciamos a transmutação de atividades e negócios, que antes eram feitos pessoalmente ou por telefone, para o mundo virtual. Transações bancárias como pagamento de contas e transferências são feitas via internetbank; compras são realizadas em verdadeiros magazines eletrônicos; notícias são lidas e assistidas em sites de conteúdo, e pesquisas de todo tipo começam no Google como se fosse um “oráculo”. Os números mostram essa realidade. Em 2010, quase um terço (33,2%) das transações comerciais B2C, entre varejo e consumidores, foram feitas eletronicamente. As transações B2B, entre empresas, alcançaram a casa dos 65,25% do total realizado, segundo dados da 13ª edição da Pesquisa FGV-EAESP.

Na mesma proporção crescem os ataques virtuais. Com tantos valores e dados sigilosos circulando pela internet, os ataques também se profissionalizaram. A imagem do hacker adolescente que invadia sites para mostrar como era bom foi sendo substituída pela dos crackers, criminosos virtuais que atacam para obter vantagem econômica ou acesso a dados sigilosos, que vão de senhas e dados pessoais, a pesquisas corporativas e roubo de informações confidenciais do negócio. Há quem diga que a única maneira de não ser invadido é desconectar-se. Mas há outros caminhos para se proteger do risco de ataques que surgem no mundo web.

Estamos falando de uma sociedade digital e, por analogia, se em casa usamos cercas, alarmes, cachorro, vigilantes, grades, portões altos, câmeras etc., na Web não é diferente. Dependendo do valor do patrimônio que se tem a proteger, é necessário associar vários recursos para alcançar o grau de proporção que reduz o risco de perdas. Deste modo, na sociedade digital também é preciso integrar recursos de segurança diversos. Dispositivos tecnológicos de segurança precisam estar em sintonia com o risco que se deseja mitigar e, para isso, é preciso, antes de tudo, conhecer onde estão as vulnerabilidades dos sistemas, para antecipar-se aos riscos e garantir uma proteção maior.

A área mais crítica, vista como “bola da vez” pelo setor da segurança da informação, mas que ainda tem sido posta para debaixo do tapete por algumas empresas, é a camada de aplicação web. Devido à forma como se contratam projetos de desenvolvimento com foco em requisitos funcionais e integração de tecnologia, enquanto a segurança é considerada assunto de infraestrutura, as aplicações web apresentam naturalmente um grande número de brechas de segurança, e é por aí que acontecem os primeiros passos do caminho dos ataques. A experiência mostra que é preciso lançar mão de algo mais que segurança de infraestrutura e de acesso à rede.

Segurança na era da sociedade digital não pode mais ser tratada como um problema da área de infraestrutura, e que se resolve com a aquisição de dispositivos de alta tecnologia. Os processos de desenvolvimento das aplicações precisam também estar em conformidade com as políticas de segurança. Para isso, o projeto de segurança precisa alcançar todos os “stakeholders” envolvidos nos sistemas que sustentam os negócios na web, agora como um processo integrado, contínuo, e dinâmico, capaz de enfrentar o cenário atual do risco de ataques.  Com a necessidade de fechar as novas brechas na segurança do ambiente web, é preciso integrar todos os participantes das áreas de tecnologia que suportam estes sistemas, o que inclui a equipe de infraestrutura, a de desenvolvimento de aplicações, e a de segurança da informação, em torno de um processo de melhoria contínua da segurança.

É interessante considerar algumas sugestões para ampliar o escopo de um projeto de segurança que de fato proteja o ambiente web:

  • Implementar práticas capazes de antecipar falhas de segurança exploráveis pelas aplicações web e que indiquem melhorias que reduzam os riscos de ataques.

  • Investir em um framework de segurança adequado à realidade de seu negócio, e do patrimônio que se pretende proteger, considerando a melhor cobertura possível:
    ­ – Pessoas e identidade: as pessoas não possuem hábitos seguros, logo, é preciso definir políticas duras de senhas, acesso restrito, e gerenciar identidades;
    ­ – Rede e Infra-estrutura de TI: adotar dispositivos de proteção como IDS/IPS, DLP, Firewall, WAF, e Banco de Dados, Servidores, end-points etc.
    ­ – Infra-estrutura física: controlar o acesso ao seu ambiente de servidores e rede.
    ­ – Processos de Negócio: garantir que informações sensíveis estejam armazenadas em locais seguros, dados criptografados, e acesso restrito;
    ­ – Aplicações que sustentam o negócio: implementar um processo de segurança desde o ciclo de desenvolvimento.

  • Exigir que o desenvolvedor comprove a qualidade da segurança nas suas entregas, cada vez que uma alteração for realizada no código das aplicações;

  • Treinar todos os participantes de seu projeto, desde os usuários dos sistemas, até os agentes solucionadores dos problemas (infraestrutura, segurança e desenvolvimento).

  • Aprender a especificar e contratar projetos seguros: envolva também o pessoal de compras, gestores de projetos e desenvolvimento. Pior que uma entrega ruim do desenvolvedor, é uma contratação baseada apenas em custos, sem critérios de segurança como requisito relevante.

  • Medir e qualificar o grau de risco: fazer varreduras regulares no ambiente web, interna e externamente, identificar as brechas na segurança e tratá-la, ações preventivas de defesa que atuem em conjunto com as demais práticas de segurança de rede e de infraestrutura, antes que um ataque aconteça.

Um processo de segurança abrangente, centralizado, e de sucesso é o que integra as áreas de tecnologia da empresa, conduz ao desenvolvimento de competências internas e à otimização de processos, o que promove um avanço no grau de maturidade na gestão da segurança. A organização neste ponto está melhor preparada para enfrentar os desafios e os riscos contemporâneos da sociedade digital. Tudo isso é possível alcançar a partir de ações preventivas consistentes.

Na sociedade digital, portanto, não basta investir em segurança de infraestrutura com dispositivos IDS/IPS, sistemas DLP, Firewall de rede e WAF. Se houver brechas de segurança exploráveis pela camada das aplicações, é por ali que se darão os ataques. Adicionalmente, a segurança de aplicações web baseada em um processo de gerenciamento de vulnerabilidades não substitui as outras melhores práticas, mas é um complemento indispensável no conjunto de esforços da empresa para melhorar sua gestão da segurança. O uso de dispositivos de Web Application Firewall (WAF) na rede, por exemplo, tem sido recomendado por vários especialistas em conjunto com o processo de gerenciamento de vulnerabilidades de aplicação web, pois permite configurar bloqueios de ataques específicos sobre falhas identificadas na camada das aplicações (virtual patching) enquanto a área de desenvolvimento ou de infraestrutura trabalham para reparar aquelas falhas.

Deve-se ressaltar que o “cybercrime” tem peculiaridades que estimulam, de certa forma, novas formas de ataque a cada dia. A sensação de impunidade no mundo virtual é maior, primeiramente por não ser necessário estar fisicamente no local do crime, pois é possível atacar websites em qualquer parte do mundo, e a rastreabilidade e a identificação do autor enfrentam, de um lado, formas criativas de uso de identidades falsas no mundo virtual (roubo de identidades válidas), e de outro, entraves legais criados para garantir o sigilo e os direitos individuais dos usuários.  Como não se pode barrar os que atacam, nem impedir todas as formas de ataque, a melhor saída é se proteger também de diversas formas, e, agora, muito mais que antes, incluir a camada das aplicações web nos esforços para melhorar continuamente a segurança neste novo ambiente de negócios, a sociedade digital.

* Eduardo Lanna é diretor comercial da Rede Segura Tecnologia, especializada em segurança de aplicações web. E-mail para contato com o autor:[email protected]

**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação

 

ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.  

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.