Conheça os dois níveis de maturidade em segurança no Brasil

Um dos principais problemas de segurança da informação no Brasil é a falta de uma cultura de segurança. O mercado local se espelha muito nos Estados Unidos e em outros países mais avançados no assunto, porém, alguns executivos ainda pensam na TI como um produto e não conseguem visualizar a segurança da informação de forma mais ampla.

E não é tecnologia que falta. Há muitos produtos de ponta no mercado de soluções de segurança brasileiro. O problema, no entanto, é o direcionamento, a forma de pensar e de proteger o ambiente, ou seja, o mindset de segurança da informação.

No país podemos notar a existência de dois grandes grupos e um grande hiato entre eles. Veja a seguir:

Os muito maduros

Nesse grupo estão as empresas com um alto grau de maturidade em segurança, que estão muito avançadas na área e, em sua maioria, em fase de reconstrução da estrutura.

Mesmo com a crise desestimulando os investimentos, os projetos de segurança da informação continuam em andamento nessas empresas, que já entenderam a importância dessa área. Felizmente, cada vez mais executivos de alto nível têm adquirido uma cultura mais favorável à segurança e já perceberam o quanto ela impacta nos resultados das empresas.

Os pouco maduros

Se as empresas com alto nível de maturidade já estão em fase de reconstrução de sua estrutura de segurança, as organizações pouco maduras ainda nem começaram a implementá-la. A maioria dessas organizações não vê valor na segurança, portanto, não desenvolvem uma cultura voltada para prevenção e remediação.

Em alguns casos, essas empresas acabam investindo em soluções “de caixinha” que, a rigor, não entregam o resultado esperado e quando fazem isso, geralmente é porque existe algum órgão regulador ou padrão da indústria as obrigando a fazer isso.

O que define a maturidade

Não é a quantidade de dinheiro investida que determina os níveis de maturidade de uma instituição, mas o foco nos objetivos de segurança e sua sinergia com o negócio. Além das empresas que não gastam em segurança porque não a consideram importante, existe uma série de organizações que gastam fortunas com soluções ineficientes porque não há planejamento ou gestão de risco para direcionamento dos investimentos.

Empresas com alto grau de maturidade em segurança contam com o envolvimento constante de altos executivos e outros membros do conselho administrativo, que tratam a segurança com a prioridade que ela merece e dão todo o apoio necessário à equipe de TI.

Organizações com alto grau de maturidade em segurança também sabem que não precisam ter todas as soluções de segurança lançadas no mercado para criar um ambiente seguro. Além de ferramentas básicas, como firewalls e antivírus, ferramentas caras nem sempre são essenciais.

A segurança da informação deve ser vista como um investimento, não como custo. Por isso o planejamento é importante. Com ele, a empresa consegue determinar quais são os recursos necessários para proteger seus ativos com base no seu valor e nos riscos que os cercam.

Além disso, talvez um dos aspectos mais importantes de uma empresa com alto nível de maturidade é o envolvimento generalizado de todos os funcionários da empresa. É essencial que todos conheçam suas responsabilidades na proteção dos ativos e dados corporativos. Isso é feito com base em programas de conscientização e de políticas de segurança bem definidas.  A segurança não deve ser pensada em uma área ou departamento, mas deve permear toda a empresa.

DROWN expõe desafios da segurança da informação

Passados menos de dois anos da descoberta do Heartbleed, mais uma vulnerabilidade foi encontrada na biblioteca OpenSSL, uma implementação de código aberto dos protocolos SSL e TLS com forte criptografia usada em sistemas de todo o mundo. O DROWN, nome dado à nova falha, afeta servidores HTTPS e outros serviços que dependem de SSL e TLS. Acredita-se que 33% dos servidores HTTPS estejam vulneráveis, incluindo 25% dos maiores domínios HTTPS e 22% de todos os sites tidos como confiáveis pelos navegadores.

O ataque explora as falhas de uma versão já antiga do SSL, mas ainda disponível, a SSLv2. O protocolo foi lançado na década de 1990 e já está obsoleto há um tempo, porém, ainda é encontrado em muitos servidores, seja por padrão ou em razão de más configurações, negligência ou pela presença de dispositivos antigos.

A brecha quebra a criptografia e expõe comunicações e informações da web e de servidores de e-mail e VPNs, incluindo senhas, números de cartões de crédito, segredos industriais e outros dados sensíveis. Até máquinas que não usam SSLv2 estão vulneráveis se o servidor com o qual se comunicam suporta o protocolo antigo. O ataque usa as falhas da versão já aposentada para atacar a segurança de conexões feitas sob protocolos completamente diferentes.

A mantenedora da OpenSSL já disponibilizou uma atualização para lidar com o DROWN e outras vulnerabilidades em seu software de código aberto. O update desabilita o SSLv2 como padrão, bem como outras configurações fracas do SSLv3 e versões posteriores.

O que podemos aprender com o DROWN

O DROWN revela um conflito já antigo entre as atualizações de segurança e a retrocompatibilidade com versões antigas, algo que continua sendo exigido pelos usuários e que, como demonstrado, pode ser de grande ajuda para os hackers.

A falha também mostra uma grande dificuldade presente na maioria das empresas: manter a engenharia de software e a criptografia em dia. Mais uma vez, as organizações são obrigadas a encarar os perigos da criptografia e das configurações obsoletas e da falta de testes.

Ainda que não use, qualquer servidor que permita conexões com SSLv2 está vulnerável ao DROWN. Muitas empresas reusam o mesmo certificado e a mesma chave em seus servidores de web e e-mail, por exemplo. Nesse caso, se o servidor de e-mail suporta SSLv2 e o servidor de web não aceita, um hacker pode tirar vantagem disso para quebrar conexões TLS do servidor.

Não se trata de uma vulnerabilidade tão potencialmente devastadora quanto o Heartbleed, por exemplo, mas é algo que merece atenção por se tratar de um ataque prático, que pode ser executado sem muitos custos para o criminoso, visando alvos de grande valor. A única maneira de deter a brecha é desabilitando o SSLv2 de todos os servidores.

O DROWN também lembra as empresas sobre a necessidade de testar todos os servidores (incluindo servidores web, e-mail, FTP, entre outros) para garantir que as configurações funcionem da maneira esperada. A vulnerabilidade não deveria ser algo tão preocupante se houvesse testes para garantir que as máquinas não fossem capazes de se conectar usando uma versão ultrapassada do SSL.

Nesse caso, a inspeção manual será de extrema importância para lidar com a falha, pois mesmo os servidores HTTPS portadores do certificado PCI-DSS, que já aboliu o uso do SSLv2, podem estar reusando chaves privadas em outro servidor (como servidor de e-mail, por exemplo) que tenha suporte para SSLv2.

Além de testar todos os servidores para garantir que todas as configurações desabilitem o SSLv2 (de preferência, o SSLv3 também), as empresas devem agir rapidamente para fazer o upgrade para versões mais recentes do OpenSSL.

Desconfiança não é mais o maior obstáculo da nuvem

Por Leonardo Moreira, diretor da PROOF

Já se foi o tempo em que a nuvem era vista pela maioria com desconfiança. Colocar dados sensíveis fora da estrutura de segurança corporativa parecia algo irracional. Hoje, os softwares baseados na nuvem são vistos como uma maneira inteligente de reduzir custos, garantir a elasticidade da estrutura de TI, mesmo que estes sistemas contenham informações sensíveis. Em alguns casos, sistemas na nuvem apresentam um nível de segurança maior que sistemas tradicionais de software on-premise.

A confiança na nuvem cresceu e os provedores de serviços na nuvem reforçaram sua segurança. O Gartner prevê que, em 2016, 95% dos incidentes de segurança envolvendo a nuvem serão culpa do usuário/administrador. O modelo de negócio das empresas fornecedoras de serviços na nuvem depende principalmente da prevenção de incidentes e conta com altos investimentos em profissionais de segurança bem capacitados.

Agora, o obstáculo à adoção da nuvem é outro: força de trabalho. As empresas contratantes terão de aceitar que também têm responsabilidade na segurança da nuvem e terão de investir em profissionais capacitados para proteger seus ativos.

Falta de profissionais

Em 2015, uma pesquisa feita pela Frost&Sullivan com 313 empresas brasileiras mostrou que 41% das empresas no Brasil já usam a computação na nuvem e 42% planejam investir em tecnologia.

No Brasil e em todo o mundo, as empresas já sofrem com a falta de profissionais de segurança da informação qualificados. Reter esses talentos também se tornou uma tarefa árdua devido à escassez de recursos.

Uma pesquisa realizada pela Cloud Security Alliance (CSA), uma organização dedicada à definição e à difusão das melhores práticas de segurança na nuvem, revelou que a falta de expertise é a maior barreira à detecção efetiva e a principal causa da perda de dados na nuvem.

Aproveite a oportunidade

As empresas contam com algumas alternativas para lidar com a falta de mão de obra. Existe, por exemplo, uma série de soluções tecnológicas que buscam preencher a lacuna de expertise dos profissionais em segurança da nuvem. As organizações também podem contratar empresas de segurança que têm seus próprios profissionais especializados em segurança na nuvem.

Conferências e compartilhamento de informações entre as empresas que usam soluções na nuvem também desempenham um papel importante na difusão de conhecimentos. É possível investir em fóruns e programas educacionais focados em segurança.

A falta de expertise em segurança na nuvem também pode pressionar a equipe de segurança da TI para que desenvolva estratégias mais consistentes, com tecnologias e processos capazes de otimizar as operações diárias. As organizações podem investir, por exemplo, na automação de tarefas de segurança por meio de APIs na nuvem e outras soluções que possam estender a infraestrutura de segurança existente.

A segurança da informação está sob constante pressão para que se alinhe aos objetivos de negócio e muitas das ferramentas exigidas para isso dependem de serviços na nuvem. Ainda há pouco definido sobre quais são as melhores práticas de segurança na nuvem, mas isso não é razão para deixar de explorar todo o seu potencial na criação de novos produtos e serviços para melhorar a experiência do cliente e a eficiência das empresas. É a oportunidade perfeita para investir nessa área, sair na frente e gerar inovação e diferenciação.

Analytics não faz milagres na segurança da informação

por Leonardo Moreira, diretor da PROOF

Não há dúvidas de que as ferramentas de Business Analytics podem realizar um ótimo trabalho em Segurança da Informação.O BA possibilita uma análise descritiva e preditiva, além de auxilio para tomada de decisão em tempo real. Conceitos como aprendizado de máquina, análise comportamental e Big Data aparecem como elementos importantes na gestão da Segurança da Informação, permitindo a obtenção de insights valiosos.

No entanto, as ferramentas de Analytics não fazem milagres. Elas não irão (nem conseguem) substituir os sistemas de segurança conhecidos como “tradicionais”, tampouco as pessoas necessárias para realizar o trabalho. O Analytics ainda precisa ser configurado e “tunado”. Não há solução mágica, pelo menos até o momento.

A violação vai acontecer

“Você vai ser hackeado. Tenha um plano”. A frase é de Joseph Demarest, vice-diretor da ciberdivisão do FBI.

Se um sistema está conectado à internet, é muito difícil protegê-lo totalmente contra todos os ataques, pois não existe sistema completamente seguro. Por isso, bons profissionais de segurança da informação trabalham com a ideia de que uma violação de dados uma hora vai acontecer. Seu objetivo então passa a ser a redução da superfície de ataque e a minimização dos danos causados pelo potencial evento.

Por essa razão, boa parte dos processos de Risk Assessment não podem focar apenas na descoberta de vulnerabilidades, mas também em como proceder após uma violação. A empresa precisa quantificar os riscos, determinar quais dados são mais valiosos e definir quais ferramentas devem ser utilizadas para protegê-los.

Analisar o ambiente com uma solução baseada em BA também é muito eficiente, mas não é o suficiente para garantir a segurança. É preciso pensar em outras linhas de defesa para os ativos corporativos e em um plano de resposta a incidentes quando a violação ocorrer.

Quando a Target, uma rede de varejo dos Estados Unidos, foi vítima de uma grande violação de dados em 2013, também fazia uso de soluções de monitoramento que emitiram alertas. No entanto, ao que tudo indica, esses alertas foram ignorados, pois foram interpretados como algo que não exigia uma ação imediata, ou um evento de pouca importância.

Tarefas repetitivas são sempre um problema para as organizações e o monitoramento e interpretação de alertas são algumas delas. Se não houver pessoal dedicado ao monitoramento e processos consistentes de interpretação, pouco pode ser feito pelas ferramentas de Analytics.

O elemento humano

Além do investimento em tecnologia, o custo de manter profissionais bem preparados e processos bem definidos também é alto. Por isso, a terceirização de algumas áreas da segurança está se tornando algo cada vez mais comum.

Nenhuma tecnologia é tão avançada a ponto de ser completamente autônoma. O aprendizado de máquina pode até liberar a equipe de TI de algumas tarefas, mas os humanos ainda são essenciais para configurar esses sistemas para que identifiquem as anomalias e evitem alarmes falsos. Mesmo os melhores modelos preditivos requerem uma boa análise e calibração.

A terceirização do monitoramento do ambiente de TI permite que os profissionais internos possam se dedicar a projetos mais complexos para proteger os ativos corporativos. Essa estratégia já é usada por várias empresas que optam por monitoramento durante 24 horas por dia, impedindo que alertas importantes sejam negligenciados.

O problema das equipes de segurança sobrecarregadas

por Leonardo Moreira, diretor da PROOF

Pelas visitas que tenho feito à algumas empresas brasileiras, posso dizer que grande parte das equipes de segurança da informação estão sobrecarregadas. O maior problema que tenho notado é que os profissionais que são responsáveis pelos projetos de segurança, também são responsáveis pela operação de segurança. Isso causa um conflito inexorável entre o que é urgente e o que é importante. Respectivamente, Operação de Segurança e Projetos de Segurança. Na maioria das vezes o “urgente” toma grande parte do tempo do profissional e a maturidade do ambiente é elevada muito vagarosamente. Como a maturidade é baixa, os problemas e incidentes continuam a “roubar” o tempo do “importante” e o ciclo vicioso nunca termina. Ou nunca terminava…

Outro problema encontrado é que alguns profissionais de segurança da informação são “pilotos” de soluções de segurança. Estes profissionais, em geral, sabem muito sobre uma solução de firewall ou de IPS mas compreendem muito vagamente os desafios que a segurança nos apresenta todos os dias. O verdadeiro profissional de segurança precisa olhar para um ambiente de TI e enxergar as lacunas e “gaps”, entender quais destes devem ser priorizados e ajudar a mitigá-las, mesmo nas ações mais básicas do dia-a-dia. Infelizmente, profissionais com esta capacidade estão cada vez mais escassos no mercado.

O verdadeiro profissional de segurança da informação é inquieto. Pelo menos, no meu tempo, ele era… Eles gostam de movimento, de aprender, ler artigos e “papers”, fazer laboratórios para entender como tudo funciona na prática e estar sempre na vanguarda sobre o mundo de SI. Em geral, este profissional tem paixão por extrair o máximo das soluções e proteções de Segurança. Ter profissionais com este perfil, além de trazer benefícios óbvios, diminui o custo de treinamento e formação (muito altos no Brasil) pois eles são autodidatas. E adoram isso!

No final das contas pode até ser fácil achar profissionais de segurança, mas encontrar um que se encaixe neste perfil é uma tarefa árdua e nem sempre bem-sucedida. Ou seja, a priorização do tempo da equipe de SI não é o único problema. Se você identificou um membro da sua equipe ou um companheiro de trabalho com este perfil, você esta diante de uma raridade hoje.

Terceirização traz maturidade

Para evitar que estes profissionais tenham de lidar diariamente com as tarefas da operação e possam se dedicar aos projetos que irão elevar o nível de maturidade da SI, é recomendado terceirizar parcialmente ou totalmente a operação de segurança. Existem muitas empresas no mercado mundial que oferecem este tipo de serviço com competência e custos compatíveis com a realidade do mercado brasileiro.

No final do dia, estas empresas irão transformar 1 milhão de eventos de segurança diários em poucos alertas. Alguns alertas serão tratados pela própria empresa, através de mudanças nas configurações dos ativos de segurança, outros serão encaminhadas para as equipes de TI para adequação. Assim, se você conta com um profissional conforme eu descrevi anteriormente, seu tempo será utilizado apenas no que é realmente urgente. O resto, fica com o que é importante.

Se, como a maioria das empresas do Brasil, você não conta com este profissional, não se preocupe. Também existem modelos de serviço que disponibilizam recursos humanos para suprir esta necessidade, além de tudo mais que foi citado anteriormente.

Estes modelos de serviço vêm da constatação dos líderes de negócio de que não é eficiente realizar tudo relacionado à SI “dentro de casa”. A terceirização de alguns serviços se tornou uma excelente estratégia para empresas de todos os tamanhos. Afinal, de nada adianta investir em caros controles e sistemas de segurança se um incidente pode acontecer de madrugada, por exemplo, e não houver uma equipe disponível para realizar as medidas cabíveis. Ou pior: um incidente real ser negligenciado por falta de tempo da equipe e de profissionais para investigar.

Como reduzir os custos com o legado

por Leonardo Moreira, da PROOF

A complexidade é um dos maiores problemas enfrentados pelas empresas de grande porte em relação à segurança da informação. O ambiente dessas empresas é extremamente amplo, com vários sistemas que trocam informações de diversas formas, tornando muito difícil mitigar todos os riscos de segurança. Em geral, essas empresas têm muitos problemas com o legado, plataformas muito antigas que, em geral, existem poucos profissionais treinados e raramente alguma documentação disponível.

Como exemplo recente da gravidade deste problema, podemos citar o fechamento temporário de um aeroporto na França, em novembro do último ano, porque um sistema rodando em cima de uma plataforma legada falhou. O problema aconteceu em um programa chamado DECOR, que é essencial em situações de baixa visibilidade durante o pouso e a decolagem. Sem ele, os pilotos não conseguem receber informações dos controladores de voo, tornando ainda mais difíceis estágios do voo que normalmente já são delicados.

Esse software legado funcionava em cima do velho sistema operacional Windows 3.1. Isso mesmo, Windows 3.1!! Um conjunto de falhas no sistema levou a um grande problema, pois o Windows 3.1 foi lançado em 1992 e, evidentemente, não tem mais suporte.

Isso é só para registrar a gravidade do problema do legado nas empresas. Quando uma plataforma não é mais suportada pelo fabricante, não há a quem recorrer caso surja algum problema. A solução imediata é encontrar os raros profissionais capacitados para lidar com essas ferramentas e pagar o seu alto preço.

O legado precisa mesmo ir embora?

As empresas precisam ser responsáveis ao lidar com o legado e realizar um assessment para entender como ele funciona, se pode ser atualizado e como ele se comunica com outros sistemas da empresa. Depois desse estudo é possível entender se há necessidade de substituí-lo e então criar um plano de migração.

Não se pode ser radical em relação ao legado. Ao migrá-lo, é preciso sempre pensar em como impactar o negócio da melhor forma possível, sem simplesmente trocar “seis por meia dúzia”. Se uma plataforma de legado não representa problemas de operação, por exemplo, não há por que substituí-la.