Escrito por: Debra Banning [email protected] Sebastião Burin [email protected] Gabriel dos Santos [email protected] Segurança da Informação: A Necessidade de Ser Pró-Ativo Desafios de segurança da informação Em tempos de terrorismo e "hackers", a segurança da informação volta a ser uma preocupação fundamental para as empresas ganhando, inclusive, maior espaço na mídia. Há vários casos internacionais já famosos por terem causado prejuízos vultosos, principalmente para empresas do setor financeiro. Dentre alguns dos vários exemplos dos riscos de falta de segurança, destacamos: • Invasor Acessa Milhões de Contas de Três Bancos: Analista de software, durante acesso à sua conta bancária de e-banking encontra facilidades para manipular milhares de contas, abrindo dados como PIN e transferência de fundos. O sistema, operado por empresa terceirizada, responsável pelo e-banking de 12 instituições, foi violado em apenas cinco minutos • "Hacker" Obtém Dados de Um Milhão de Cartões: NIPC/FBI divulgam relatório sobre ataque criminoso a 40 websites, no qual o invasor consegue acesso a mais de um milhão de cartões de crédito • Banco Europeu Tira Serviço OnLine do Ar por Várias Horas: Clientes estavam recebendo informações detalhadas de outros clientes quando realizavam o log-in • Estudo Forrester Revela Caso de US$ 106 Milhões: Quadrilha transfere criminalmente fundos de mil contas para uma conta off-shore. O banco gasta US$ 106 milhões com ações resultantes da fraude – cobertura de saldos, auditoria de emergência em 250 mil contas, sistema fora do ar por 48 horas, maior seguro, etc.. Casos semelhantes tem ocorrido no Brasil, por exemplo, clonagem de cartões de crédito. Muitos destes casos explicam a relutância de consumidores em utilizar a Internet para efetivar transações financeiras. De fato, segurança da informação é um problema já antigo que tem adquirido uma conotação maior face ao avanço do uso da tecnologia e ao acesso "universal" proporcionado pela Internet. Conforme mostrado no Quadro I abaixo, os custos associados à falta de segurança da informação têm crescido quase que exponencialmente. É importante salientar que a segurança da informação é um tema abrangente – muito além dos casos mais conhecidos de fraude financeira -- que envolve, entre outros, roubo de informação proprietária, sabotagem de redes de dados, penetração de sistemas por pessoas de fora da empresa, abuso no uso da Internet por pessoas da empresa, "denial of service", vírus, roubo de laptops, etc. Cada um destes problemas tem um custo associado: nos Estados Unidos, de acordo com pesquisa realizada pelo Computer Security Institute, os valores variam de 2 QUADRO I Custos Associados à Falta de Segurança Banco virtual global registrou invasores que usarem a internet para vender “securities” falsos -perda de US$3.9 Bilhões 8 Perdas Totais Incorridas (Mundo) em Bilhões (US$) 6 4 AOL perde US$57.5MM devido à falta de energia por 3 horas Microsoft perde US$90MM em um dia devido à interrupção causada pelo vírus Melissa 1998 Perdas de Faturamento Custos de Reparos em Infraestrutura 2 0 1997 Perdas Estimadas de Mercado 1999 2000 Fonte: Análises Booz Allen Hamilton SEGURANÇA DA INFORMAÇÃO: UM PROBLEMA ANTIGO COM NOVOS DESAFIOS Desde a década de '70, quando os ambientes computacionais eram baseados exclusivamente em mainframes, os problemas de segurança da informação já existiam e eram essencialmente de três naturezas distintas: • Garantia da continuidade das operações da empresa em casos de sinistro • Garantia da inviolabilidade ou prevenção de "espionagem" através da cópia de informações confidenciais • Prevenção de fraudes através de sistemas e programas computacionais Curiosamente, desde então, a atitude da maior parte das empresas em relação à segurança da informação pode ser considerada quase como "complacente". Muitas desenvolveram planos de contingência em casos de sinistro mas, infelizmente, não dão o peso necessário ao problema, como evidenciado abaixo: • "A probabilidade de sinistro é tão pequena que, se ocorrer, daremos um jeito" • "Sei que meu departamento de marketing pode comprar cadastros de pessoas físicas e jurídicas facilmente, mas quem iria se interessar por minhas informações" • "Se fraudes forem descobertas, deve-se abafá-las, para que a empresa não perca credibilidade" Em um recente estudo entre grandes empresas, a Booz Allen constatou a percepção de confiança destas empresas em relação à segurança da informação. O Quadro II mostra o resultado desta pesquisa. Este estudo nos permite inferir que a percepção de confiança está, em grande parte, associada à proximidade das pessoas ("posso confiar nos meus funcionários …") e no relacionamento entre empresas ("posso confiar nos meus parceiros …"). Infelizmente esta percepção não está calcada em fatos concretos, tais como: • Sabe-se que existe, em vários casos, o envolvimento de funcionários de serviços ativamente envolvidos em clonagem de cartões • Em várias de suas edições, a revista ComputerWeekly citava, semanalmente, casos de fraude através de programas de computador. Apesar disso, raras empresas têm um processo de Garantia de Qualidade para programas envolvendo códigos, visando assegurar que não ocorram fraudes QUADRO II Percepção de Confiança em Relação à Segurança da Informação B2C B2B Companhia Alta Confiabilidade de Computador/Rede centenas a milhões de dólares. Alguns problemas, tais como roubo de informação proprietária e fraudes, têm mostrado valores crescentes ano a ano. Usuários confiáveis Redes confiáveis Funcionários Fornecedores Parceiros do Negócio Usuários confiáveis Redes não-confiáveis Clientes Potenciais clientes Fornecedores de Serviço Usuários não-confiáveis Redes não-confiáveis Baixa Baixa Confiabilidade de Pessoas Alta Este estudo nos permitiu também identificar um ambiente complexo, com comunicação eletrônica com entidades de diversas naturezas, sendo que os usuários acessam a rede corporativa a partir de ambientes computacionais com grau de proteção desconhecido. Além disso, nota-se que o grau de conhecimento e de confiança varia muito conforme a situação, havendo uma 3 demanda crescente por políticas e tecnologias robustas de autenticação e autorização. De fato, a evolução tecnológica torna a situação mais complexa e os riscos cada dia maiores, posto que a vulnerabilidade das empresas está diretamente relacionada com a abrangência das redes de comunicação de dados: • Canais Eletrônicos: Companhias estão estendendo seu alcance além de firewalls internos por causa das tendências Business to Business (B2B), em um mercado que deve experimentar um crescimento de mais de 400% (US$ 406 B a US$ 1,825B) nos próximos quatro anos Fonte: Forrester Research, Análise BAH • Operações Automatizadas: Implementações de softwares de grande abrangência, tais como ERPs, gerenciamento da cadeia de suprimentos (SCM), e de gerenciamento do relacionamento com clientes (CRM) estão se tornando comuns em T/I • Operações Contínuas: Companhias vão migrar para canais eletrônicos com operações 24x7 precisando para isso de garantia de desempenho em operações contínuas • Mais Dados Digitais: Companhias vão ter de gerenciar e proteger quase cinco vezes mais informação (350 petabytes a 1600 petabytes) Fonte: IDC, Análise BAH Todos estes fatores contribuem para um aumento significativo do grau de risco: Recentemente, 85% das corporações e das agências governamentais pesquisadas relataram falhas de segurança e prejuízo que ocorreram em 2000 devido a essas falhas Fonte: FBI CSI COMO ABORDAR A SEGURANÇA DA INFORMAÇÃO Em nossa visão, as empresas mais ativas em termos de segurança da informação estão tomando medidas básicas para mitigar seus riscos. Essas medidas, em geral, são voltadas à implementação de mecanismos de segurança já tradicionais. O Quadro III mostra tais mecanismos. Com base em nossa significativa experiência nesta área, estas medidas não são suficientes. Elas são, sem dúvida, necessárias, pois protegem as empresas contra ataques "triviais", mas não são suficientes, per se, para evitar dolos intencionais e dirigidos. Ou seja, ferramentas tradicionais tais como firewall, criptografia, controle de acesso, etc., são necessárias, mas não suficientes. QUADRO III Mecanismos Tradicionais para Segurança da Informação Mecanismo Definição Controle de Acesso Proteção contra utilização ou manipulação não autorizada dos recursos de rede Autenticação Garantia da autenticidade da identidade da pessoa, do sistema ou processo que está interagindo com o sistema Confidencialidade Proteção contra abertura ou distribuição de informação a pessoas ou sistemas não autorizados Integridade de Dados Proteção contra mudança ou eliminação de informação sem autorização Não Reconhecimento Proteção contra a negação posterior de uma operação por uma contraparte Disponibilidade Garantia de disponibilidade do serviço sem afetar as funções de segurança A experiência de cerca de trinta anos da Booz Allen em projetos de segurança para o governo norte-americano nos ensinou que essas medidas tem que ser acompanhadas de uma forte estrutura organizacional para que as empresas possam se antecipar aos potenciais problemas de segurança. É imperativo que se estabeleçam mecanismos eficientes e pró-ativos de Operações e Administração de Segurança. Assim sendo, acreditamos que uma abordagem mais robusta para questões de segurança da informação requer não somente que se identifiquem os riscos e se desenvolvam soluções para os mesmos, mas que também se desenvolvam capacitações e processos organizacionais que possam atuar de forma preventiva, conforme indicado no Quadro IV. 4 QUADRO IV Abordagem para Segurança da Informação • Ambiente, Perfil de Avaliação de Riscos • Soluções (Minimização dos Riscos) informações, sistemas e operacional Ameaças, vulnerabilidade e penetração • Políticas • Arquitetura & Engenharia de Segurança • Capacitação e Perfil Organização • (Operações & Administração) Detecção e Resposta Fonte: Booz Allen Hamilton Na maioria dos casos, as empresas focam em Avaliar seus Riscos, buscando estabelecer quais são os riscos existentes e potenciais aos quais a empresa está sujeita, e Desenvolver Soluções, visando mitigar os riscos em função da importância das vulnerabilidades. Acreditamos que estas duas etapas devam ser complementadas pelo desenvolvimento e estabelecimento de uma organização que, próativamente, gerencia a segurança das informações. O desenvolvimento desta organização é multi-facetado, envolvendo desenvolvimento de capacitações, mudança no perfil do pessoal de informática, etc. EXEMPLOS DE CASOS Apresentamos, a seguir, três exemplos de trabalhos que executamos para nossos clientes em indústrias distintas. Instituição Financeira Internacional: Essa instituição desenvolveu um amplo sistema de "Banco via Internet" e estava muito preocupada com a susceptibilidade desse canal a ameaças internas e externas. Identificamos, no projeto e na implantação piloto, importantes pontos de vulnerabilidade a fraudes e desenvolvemos soluções para mitigação dos riscos, viabilizando sua implantação com segurança. Para isso, utilizamos ferramentas de avaliação de vulnerabilidades, determinamos o impacto e priorizamos cada fator de risco, simulamos quebra de segurança para funcionalidades de alto risco, desenvolvemos planos de ação a curto e longo prazo e auxiliamos a equipe do cliente na implementação das soluções. Grande Indústria Farmacêutica: Este cliente estava preocupado com a proteção de sua informação de alto valor competitivo, resultante de altos investimentos. Já havia estabelecido um Grupo de Segurança de Informação, porém necessitava reforçar uma postura de segurança na empresa. Em conjunto com o CISO ("Chief Information Security Office"), desenvolvemos instrumentos para conscientizar a importância da gestão da segurança de informação, identificamos os ativos de informação de alto valor, diagnosticamos o cumprimento de políticas de segurança e recomendamos medidas para melhorar a gestão da segurança. Como resultado, cresceu a conscientização na empresa e maiores recursos financeiros foram alocados para fundear os programas de segurança de informação. Operadora de Turismo: O cliente implementou um novo sistema de reservas via Internet, e estava preocupado com a possibilidade de reservas e pagamentos fraudulentos. Mapeamos a pulverizada rede de acessos, identificamos as proteções implementadas, simulamos e detectamos pontos de risco, formulamos planos para reforçar a segurança, especificamos alterações no sistema, imediatamente contornamos as possibilidades de alto risco de fraude e implementamos processos de negócio que asseguraram a conformidade com as políticas de segurança estabelecidas. O DESAFIO DA SEGURANÇA DA INFORMAÇÃO: RESUMO É claro que os riscos associados à falta de segurança da informação são cada dia maiores e suas conseqüências bastante significativas: da perda de credibilidade a despesas para correção de problemas. É também claro que as empresas necessitam adotar uma postura mais pró-ativa em relação à esta questão, melhor entendendo a crescente complexidade do ambiente em que operam. Esta postura pró-ativa demanda não apenas um processo de avaliação de riscos – medidas tradicionais nestas situações--, mas também o desenvolvimento de capacitações organizacionais para que as empresas instaurem, de maneira obsessiva, políticas de segurança e formem brigadas especializadas para evitar intrusões, descobrir constantemente os novos pontos falhos e zelar pelo cumprimento estrito das normas e processos de segurança.■ 5 A Experiência da Booz Allen A Booz Allen Hamilton é uma empresa global de consultoria gerencial e tecnologia. Em mais de cem países, a nossa equipe de 11.000 consultores serve as empresas líderes em indústria, serviços e organizações governamentais. Fundada em 1914, a Booz Allen combina estratégia e tecnologia e experiência com ação, trabalhando com clientes para obter resultados hoje que perdurem no futuro. A Booz Allen tem ampla experiência em trabalhos de Segurança da Informação, tendo trabalhado extensivamente para vários órgãos governamentais e empresas privadas neste tema. Para mais informações sobre a nossa experiência em Segurança da Informação, contate qualquer membro do time da Booz Allen: McLean Richard J. Wilhelm Vice Presidente 1-703-902 5000 [email protected] Debra Banning Diretora 1-703-902 5000 [email protected] Buenos Aires Alejandro Stengel Vice Presidente 54-11-4-325 7403 [email protected] Jorge Forteza Vice Presidente Sênior 54-11-4-325 7403 [email protected] São Paulo Santiago Sebastião Burin Diretor 55-11-5501 6200 [email protected] Gabriel dos Santos Diretor 55-11-5501 6200 [email protected] Patrick Meynial Diretor 56-2-290 0500 [email protected] www.boozallen.com © Booz Allen & Hamilton Inc.