Escrito por:
Debra Banning
[email protected]
Sebastião Burin
[email protected]
Gabriel dos Santos
[email protected]
Segurança da Informação: A
Necessidade de Ser Pró-Ativo
Desafios de segurança da informação
Em tempos de terrorismo e "hackers", a
segurança da informação volta a ser uma
preocupação fundamental para as empresas
ganhando, inclusive, maior espaço na mídia.
Há vários casos internacionais já famosos
por terem causado prejuízos vultosos,
principalmente para empresas do setor
financeiro.
Dentre alguns dos vários exemplos dos riscos de
falta de segurança, destacamos:
• Invasor Acessa Milhões de Contas
de Três Bancos: Analista de software,
durante acesso à sua conta bancária
de e-banking encontra facilidades para
manipular milhares de contas, abrindo
dados como PIN e transferência de
fundos. O sistema, operado por
empresa terceirizada, responsável
pelo e-banking de 12 instituições, foi
violado em apenas cinco minutos
• "Hacker" Obtém Dados de Um
Milhão de Cartões: NIPC/FBI
divulgam relatório sobre ataque
criminoso a 40 websites, no qual o
invasor consegue acesso a mais de
um milhão de cartões de crédito
• Banco Europeu Tira Serviço OnLine do Ar por Várias Horas:
Clientes estavam recebendo
informações detalhadas de outros
clientes quando realizavam o log-in
• Estudo Forrester Revela Caso de
US$ 106 Milhões: Quadrilha transfere
criminalmente fundos de mil contas
para uma conta off-shore. O banco
gasta US$ 106 milhões com ações
resultantes da fraude – cobertura de
saldos, auditoria de emergência em
250 mil contas, sistema fora do ar por
48 horas, maior seguro, etc..
Casos semelhantes tem ocorrido no Brasil, por
exemplo, clonagem de cartões de crédito. Muitos
destes casos explicam a relutância de
consumidores em utilizar a Internet para efetivar
transações financeiras.
De fato, segurança da informação é um
problema já antigo que tem adquirido uma
conotação maior face ao avanço do uso da
tecnologia e ao acesso "universal" proporcionado
pela Internet.
Conforme mostrado no Quadro I abaixo, os
custos associados à falta de segurança da
informação têm crescido quase que
exponencialmente.
É importante salientar que a segurança da
informação é um tema abrangente – muito além
dos casos mais conhecidos de fraude financeira
-- que envolve, entre outros, roubo de
informação proprietária, sabotagem de redes de
dados, penetração de sistemas por pessoas de
fora da empresa, abuso no uso da Internet por
pessoas da empresa, "denial of service", vírus,
roubo de laptops, etc. Cada um destes
problemas tem um custo associado: nos Estados
Unidos, de acordo com pesquisa realizada pelo
Computer Security Institute, os valores variam de
2
QUADRO I Custos Associados à Falta de Segurança
Banco virtual global
registrou invasores que
usarem a internet para
vender “securities” falsos -perda de US$3.9 Bilhões
8
Perdas
Totais
Incorridas
(Mundo)
em Bilhões
(US$)
6
4
AOL perde
US$57.5MM
devido à falta
de energia por
3 horas
Microsoft perde
US$90MM em um
dia devido à
interrupção causada
pelo vírus Melissa
1998
Perdas de
Faturamento
Custos de Reparos em
Infraestrutura
2
0
1997
Perdas Estimadas de
Mercado
1999
2000
Fonte: Análises Booz Allen Hamilton
SEGURANÇA DA INFORMAÇÃO: UM
PROBLEMA ANTIGO COM NOVOS DESAFIOS
Desde a década de '70, quando os ambientes
computacionais eram baseados exclusivamente
em mainframes, os problemas de segurança da
informação já existiam e eram essencialmente
de três naturezas distintas:
• Garantia da continuidade das
operações da empresa em casos de
sinistro
• Garantia da inviolabilidade ou
prevenção de "espionagem" através
da cópia de informações confidenciais
• Prevenção de fraudes através de
sistemas e programas computacionais
Curiosamente, desde então, a atitude da maior
parte das empresas em relação à segurança da
informação pode ser considerada quase como
"complacente". Muitas desenvolveram planos de
contingência em casos de sinistro mas,
infelizmente, não dão o peso necessário ao
problema, como evidenciado abaixo:
•
"A probabilidade de sinistro é tão pequena
que, se ocorrer, daremos um jeito"
•
"Sei que meu departamento de marketing
pode comprar cadastros de pessoas
físicas e jurídicas facilmente, mas quem
iria se interessar por minhas informações"
•
"Se fraudes forem descobertas, deve-se
abafá-las, para que a empresa não perca
credibilidade"
Em um recente estudo entre grandes empresas,
a Booz Allen constatou a percepção de
confiança destas empresas em relação à
segurança da informação. O Quadro II mostra o
resultado desta pesquisa.
Este estudo nos permite inferir que a percepção
de confiança está, em grande parte, associada à
proximidade das pessoas ("posso confiar nos
meus funcionários …") e no relacionamento
entre empresas ("posso confiar nos meus
parceiros …"). Infelizmente esta percepção não
está calcada em fatos concretos, tais como:
• Sabe-se que existe, em vários casos,
o envolvimento de funcionários de
serviços ativamente envolvidos em
clonagem de cartões
• Em várias de suas edições, a revista
ComputerWeekly citava,
semanalmente, casos de fraude
através de programas de computador.
Apesar disso, raras empresas têm um
processo de Garantia de Qualidade
para programas envolvendo códigos,
visando assegurar que não ocorram
fraudes
QUADRO II Percepção de Confiança em Relação à
Segurança da Informação
B2C
B2B
Companhia
Alta
Confiabilidade de
Computador/Rede
centenas a milhões de dólares. Alguns
problemas, tais como roubo de informação
proprietária e fraudes, têm mostrado valores
crescentes ano a ano.
Usuários confiáveis
Redes confiáveis
Funcionários
Fornecedores
Parceiros do
Negócio
Usuários confiáveis
Redes não-confiáveis
Clientes
Potenciais
clientes
Fornecedores
de Serviço
Usuários não-confiáveis
Redes não-confiáveis
Baixa
Baixa
Confiabilidade de Pessoas
Alta
Este estudo nos permitiu também identificar um
ambiente complexo, com comunicação eletrônica
com entidades de diversas naturezas, sendo que
os usuários acessam a rede corporativa a partir
de ambientes computacionais com grau de
proteção desconhecido. Além disso, nota-se que
o grau de conhecimento e de confiança varia
muito conforme a situação, havendo uma
3
demanda crescente por políticas e tecnologias
robustas de autenticação e autorização.
De fato, a evolução tecnológica torna a situação
mais complexa e os riscos cada dia maiores,
posto que a vulnerabilidade das empresas está
diretamente relacionada com a abrangência das
redes de comunicação de dados:
• Canais Eletrônicos: Companhias
estão estendendo seu alcance além de
firewalls internos por causa das
tendências Business to Business
(B2B), em um mercado que deve
experimentar um crescimento de
mais de 400% (US$ 406 B a US$
1,825B) nos próximos quatro anos
Fonte: Forrester Research, Análise BAH
• Operações Automatizadas:
Implementações de softwares de
grande abrangência, tais como ERPs,
gerenciamento da cadeia de
suprimentos (SCM), e de
gerenciamento do relacionamento com
clientes (CRM) estão se tornando
comuns em T/I
• Operações Contínuas: Companhias
vão migrar para canais eletrônicos
com operações 24x7 precisando para
isso de garantia de desempenho em
operações contínuas
• Mais Dados Digitais: Companhias
vão ter de gerenciar e proteger quase
cinco vezes mais informação (350
petabytes a 1600 petabytes)
Fonte: IDC, Análise BAH
Todos estes fatores contribuem para um
aumento significativo do grau de risco:
Recentemente, 85% das corporações e das
agências governamentais pesquisadas
relataram falhas de segurança e prejuízo que
ocorreram em 2000 devido a essas falhas
Fonte: FBI CSI
COMO ABORDAR A SEGURANÇA DA
INFORMAÇÃO
Em nossa visão, as empresas mais ativas em
termos de segurança da informação estão
tomando medidas básicas para mitigar seus
riscos. Essas medidas, em geral, são voltadas à
implementação de mecanismos de segurança já
tradicionais. O Quadro III mostra tais
mecanismos.
Com base em nossa significativa experiência
nesta área, estas medidas não são suficientes.
Elas são, sem dúvida, necessárias, pois
protegem as empresas contra ataques "triviais",
mas não são suficientes, per se, para evitar
dolos intencionais e dirigidos. Ou seja,
ferramentas tradicionais tais como firewall,
criptografia, controle de acesso, etc., são
necessárias, mas não suficientes.
QUADRO III Mecanismos Tradicionais para
Segurança da Informação
Mecanismo
Definição
Controle de Acesso Proteção contra utilização ou manipulação
não autorizada dos recursos de rede
Autenticação
Garantia da autenticidade da identidade da
pessoa, do sistema ou processo que está
interagindo com o sistema
Confidencialidade
Proteção contra abertura ou distribuição de
informação a pessoas ou sistemas não
autorizados
Integridade de Dados Proteção contra mudança ou eliminação de
informação sem autorização
Não Reconhecimento
Proteção contra a negação posterior de
uma operação por uma contraparte
Disponibilidade
Garantia de disponibilidade do serviço sem
afetar as funções de segurança
A experiência de cerca de trinta anos da Booz
Allen em projetos de segurança para o governo
norte-americano nos ensinou que essas medidas
tem que ser acompanhadas de uma forte
estrutura organizacional para que as empresas
possam se antecipar aos potenciais problemas
de segurança. É imperativo que se estabeleçam
mecanismos eficientes e pró-ativos de
Operações e Administração de Segurança.
Assim sendo, acreditamos que uma abordagem
mais robusta para questões de segurança da
informação requer não somente que se
identifiquem os riscos e se desenvolvam
soluções para os mesmos, mas que também se
desenvolvam capacitações e processos
organizacionais que possam atuar de forma
preventiva, conforme indicado no Quadro IV.
4
QUADRO IV Abordagem para Segurança da
Informação
• Ambiente, Perfil de
Avaliação de Riscos
•
Soluções
(Minimização dos Riscos)
informações, sistemas e
operacional
Ameaças, vulnerabilidade
e penetração
• Políticas
• Arquitetura & Engenharia
de Segurança
• Capacitação e Perfil
Organização
•
(Operações & Administração)
Detecção e Resposta
Fonte: Booz Allen Hamilton
Na maioria dos casos, as empresas focam em
Avaliar seus Riscos, buscando estabelecer quais
são os riscos existentes e potenciais aos quais a
empresa está sujeita, e Desenvolver Soluções,
visando mitigar os riscos em função da
importância das vulnerabilidades.
Acreditamos que estas duas etapas devam ser
complementadas pelo desenvolvimento e
estabelecimento de uma organização que, próativamente, gerencia a segurança das
informações. O desenvolvimento desta
organização é multi-facetado, envolvendo
desenvolvimento de capacitações, mudança no
perfil do pessoal de informática, etc.
EXEMPLOS DE CASOS
Apresentamos, a seguir, três exemplos de
trabalhos que executamos para nossos clientes
em indústrias distintas.
Instituição Financeira Internacional: Essa
instituição desenvolveu um amplo sistema de
"Banco via Internet" e estava muito preocupada
com a susceptibilidade desse canal a ameaças
internas e externas. Identificamos, no projeto e
na implantação piloto, importantes pontos de
vulnerabilidade a fraudes e desenvolvemos
soluções para mitigação dos riscos, viabilizando
sua implantação com segurança. Para isso,
utilizamos ferramentas de avaliação de
vulnerabilidades, determinamos o impacto e
priorizamos cada fator de risco, simulamos
quebra de segurança para funcionalidades de
alto risco, desenvolvemos planos de ação a curto
e longo prazo e auxiliamos a equipe do cliente
na implementação das soluções.
Grande Indústria Farmacêutica: Este cliente
estava preocupado com a proteção de sua
informação de alto valor competitivo, resultante
de altos investimentos. Já havia estabelecido um
Grupo de Segurança de Informação, porém
necessitava reforçar uma postura de segurança
na empresa. Em conjunto com o CISO ("Chief
Information Security Office"), desenvolvemos
instrumentos para conscientizar a importância da
gestão da segurança de informação,
identificamos os ativos de informação de alto
valor, diagnosticamos o cumprimento de políticas
de segurança e recomendamos medidas para
melhorar a gestão da segurança. Como
resultado, cresceu a conscientização na
empresa e maiores recursos financeiros foram
alocados para fundear os programas de
segurança de informação.
Operadora de Turismo: O cliente implementou
um novo sistema de reservas via Internet, e
estava preocupado com a possibilidade de
reservas e pagamentos fraudulentos. Mapeamos
a pulverizada rede de acessos, identificamos as
proteções implementadas, simulamos e
detectamos pontos de risco, formulamos planos
para reforçar a segurança, especificamos
alterações no sistema, imediatamente
contornamos as possibilidades de alto risco de
fraude e implementamos processos de negócio
que asseguraram a conformidade com as
políticas de segurança estabelecidas.
O DESAFIO DA SEGURANÇA DA
INFORMAÇÃO: RESUMO
É claro que os riscos associados à falta de
segurança da informação são cada dia maiores e
suas conseqüências bastante significativas: da
perda de credibilidade a despesas para correção
de problemas.
É também claro que as empresas necessitam
adotar uma postura mais pró-ativa em relação à
esta questão, melhor entendendo a crescente
complexidade do ambiente em que operam.
Esta postura pró-ativa demanda não apenas um
processo de avaliação de riscos – medidas
tradicionais nestas situações--, mas também o
desenvolvimento de capacitações
organizacionais para que as empresas
instaurem, de maneira obsessiva, políticas de
segurança e formem brigadas especializadas
para evitar intrusões, descobrir constantemente
os novos pontos falhos e zelar pelo cumprimento
estrito das normas e processos de segurança.■
5
A Experiência da Booz Allen
A Booz Allen Hamilton é uma empresa global de
consultoria gerencial e tecnologia. Em mais de
cem países, a nossa equipe de 11.000
consultores serve as empresas líderes em
indústria, serviços e organizações
governamentais.
Fundada em 1914, a Booz Allen combina
estratégia e tecnologia e experiência com ação,
trabalhando com clientes para obter resultados
hoje que perdurem no futuro.
A Booz Allen tem ampla experiência em
trabalhos de Segurança da Informação, tendo
trabalhado extensivamente para vários órgãos
governamentais e empresas privadas neste
tema.
Para mais informações sobre a nossa
experiência em Segurança da Informação,
contate qualquer membro do time da Booz Allen:
McLean
Richard J. Wilhelm
Vice Presidente
1-703-902 5000
[email protected]
Debra Banning
Diretora
1-703-902 5000
[email protected]
Buenos Aires
Alejandro Stengel
Vice Presidente
54-11-4-325 7403
[email protected]
Jorge Forteza
Vice Presidente Sênior
54-11-4-325 7403
[email protected]
São Paulo
Santiago
Sebastião Burin
Diretor
55-11-5501 6200
[email protected]
Gabriel dos Santos
Diretor
55-11-5501 6200
[email protected]
Patrick Meynial
Diretor
56-2-290 0500
[email protected]
www.boozallen.com
© Booz Allen & Hamilton Inc.