Segurança da informação: falta de formação aumenta perigo
De
Fátima Caçador / Casa dos Bits
Semana nº 959 de 22 a 28 de Janeiro de 2010
A consciência da importância da segurança da informação está a aumentar nas empresas, mas a formação dos recursos humanos é ainda uma falha que as empresas não conseguiram resolver
Com a crescente digitalização de toda a informação das empresas, a garantia da segurança dos dados é uma das principais preocupações dos CIO à medida que as ameaças crescem, vindas de fora ou do interior da própria empresa. O risco de perda de dados é um dos perigos mais graves enfrentados pelas entidades privadas e públicas, que têm um escrutínio cada vez mais intenso dos reguladores mas também do próprio mercado, em relação a clientes, fornecedores e parceiros.
A consciência da importância desta questão tem vindo a crescer, embora não seja tão disseminada como seria de desejar. Talvez por isso mesmo, apesar da crise, esta é uma das áreas que apresentam um crescimento acima de 5% no investimento das empresas em 2009, segundo estimativas da IDC, dinamizado não só pela multiplicação das ameaças, a aceleração tecnológica e o crescimento das exigências regulamentares e legais.
A aposta na mobilidade, com os dados cruciais a circular por ambientes que não são facilmente controláveis, o recurso à virtualização e sistemas de cloud computing e a apetência dos utilizadores por redes sociais – uma das grandes fontes actuais de malware – fazem com que os gestores dos sistemas de informação não tenham mãos a medir, e investir em software e hardware nem sempre é suficiente, sendo a formação dos recursos humanos essencial.
A opinião dos especialistas aponta os colaboradores como o elo mais fraco numa estratégia de defesa que pode passar por investir milhares de euros em tecnologia mas que não é eficaz sem que se crie uma cultura de gestão de risco que abranja toda a empresa.
«Os investimentos em tecnologia não são, em geral, acompanhados, na mesma medida, em treino e formação de quadros de pessoal. É uma área que precisa de um forte investimento», alerta Lino Santos, responsável pelo Cert.pt, lembrando que a existência de uma política de segurança, por si, não garante melhores comportamentos dos colaboradores e que melhorar o factor humano da segurança implica investir nas competências individuais e em processos.
Liderando uma organização que funciona dentro da FCCN (Fundação para a Computação Científica Nacional) e que tem como missão contribuir para o esforço de cibersegurança nacional, nomeadamente no tratamento e coordenação da resposta a incidentes, Lino Santos recorda que as normas internacionais apontam para a criação de sistemas de gestão da segurança recentrando a temática da segurança organizacional num modelo com três eixos: tecnologia, pessoas e processos.
Sérgio Martinho, responsável pela área de Segurança na Microsoft Portugal, alinha pelo mesmo diapasão e sublinha que «nunca nos poderemos esquecer que o investimento em segurança deverá ser feito em múltiplas áreas como as políticas, a gestão do risco, a tecnologia, os processos e acima de tudo, na consciencialização de todos, de qual é o seu papel, e isto só é possível via formação, o que infelizmente algumas das vezes não é devidamente tido em conta».
A criação de uma cultura de risco dentro da empresa torna-se crucial para garantir uma primeira linha de defesa, mesmo que depois seja coadjuvada por ferramentas de software e hardware. Até porque muitas vezes as empresas vêem os seus sistemas serem colocados em risco pelos próprios utilizadores dentro do seu perímetro de segurança e não por ataques externos. E o perigo pode vir das redes sociais, ou da chamada Web 2.0, à qual é cada vez mais contraproducente fechar as portas.
Pedro Galvão, responsável pelos Serviços de Segurança em Espanha, Portugal, Grécia e Israel da IBM, defende mesmo que «a proibição de acesso a recursos online torna-se cada vez mais um factor de falta de competitividade, pelo que as empresas terão que encontrar formas mais eficazes para mitigar estes riscos», sem que isso passe obrigatoriamente por impor políticas demasiado restritivas.
A definição de uma política de definição das regras de acesso à informação e da sua circulação dentro e fora da empresa é uma das medidas cruciais, que deve abranger também os dispositivos móveis. Esta política deve ser comunicada a toda a empresa de forma clara, em paralelo com a opção por acções de formação onde se discutam as várias ameaças existentes e se promova uma política de proactividade na defesa dos dados da companhia.
A mudança de atitude do information security officer, que se torna também um marketeer para convencer os colaboradores a evitar comportamentos de risco na Internet, é um dos principais desafios que os responsáveis pelos sistemas de informação enfrentam, sendo referenciado também pelas consultoras, como a Forrester, que alertam para a necessidade de os responsáveis pelos sistemas de informação ganharem a confiança e credibilidade junto dos seus “clientes internos”, a começar pela gestão de topo.
Investimento crescente
Os bons exemplos de entidades que já definiram políticas de segurança e que as estão a implementar de forma gradual nas empresas multiplicam-se, sinónimo de que a consciência de que é necessário investir na segurança da informação está a aumentar.
Este é um facto reconhecido por Jordí Gascón, senior director da área de Venda de Soluções e responsável pelas áreas de Segurança e Governo das TI na CA Ibéria. «À medida que as ameaças à segurança e os requisitos das normativas regulamentares aumentam, as empresas têm de recorrer à tecnologia para conseguir dar resposta a estas necessidades, porque é mais fiável e eficiente em termos de custos», justifica.
Há porém que fazer uma diferenciação em relação à dimensão e actividade das empresas, já que esta consciência em relação à importância da segurança da informação não atinge todos os negócios e tipos de empresas de forma equitativa. As empresas de maior dimensão e as que investem mais na utilização intensiva das novas tecnologias destacam-se pela positiva, enquanto as PME apresentam uma pior preparação para enfrentar eventuais ataques, sendo por isso um dos alvos preferenciais.
António Raposo, Business Development manager da Critical Software, reconhece que nas empresas de menor dimensão, onde por vezes a capacidade técnica em termos de gestão dos sistemas de informação é baixa, existe maior vulnerabilidade. «A nível sectorial, o sector financeiro e as grandes empresas cotadas em bolsa, pelo impacto que este tipo de ameaças constitui para a sua actividade, e pela pressão da regulação, é o sector mais consciente e pró-activo na gestão do problema da segurança de informação», fundamenta.
Também por isso o mercado das PME é um dos que apresentam maior potencial de crescimento, dinamizando o crescimento, como afirma Carla Zibreira, Information Security manager da Mainroad. «As PME, integradas num mercado cada vez mais competitivo, têm a consciência da importância da segurança como um factor crítico de distinção e sobrevivência», adianta esta responsável, sublinhando também que as soluções de segurança são cada vez mais fáceis de utilizar, mais adaptadas às necessidades das empresas e mais acessíveis, o que leva as PME a investir nestas tecnologias.
Como já tinha sido referido, apesar do período de contenção que a economia atravessa, o sector da segurança conseguiu reagir de forma positiva, mantendo um crescimento no investimento, mesmo que em alguns casos este se centrasse na consolidação, como refere Sónia Casaca, country manager da Exclusive Network em Portugal. No caso da SysValue 2009 foi mesmo o ano de maior crescimento de sempre, fruto de um reforço do investimento nestas áreas por parte das empresas e que impulsionou uma subida de 30% no volume de negócios da consultora, contabiliza Luís Grangeia, partner responsável pela área de auditoria. «Tipicamente, a procura focou-se não na aquisição de soluções particulares, mas principalmente na realização de auditorias e assessments, e na realização de estudos estratégicos sobre a postura de segurança e gestão do ciclo de vida da protecção da informação», explica este responsável. E o reforço do investimento é uma tendência a manter em 2010, com impacto sobretudo também na prestação de serviços.
A qualidade da segurança da informação não se pode, porém, medir só pelos números do investimento, como alerta Pedro Galvão, da IBM, que admite que ainda se assiste a «um investimento desproporcionado em soluções tecnológicas isoladas para endereçar “o problema do momento” ao invés de uma abordagem mais ponderada», que pode ter retorno mais efectivo para as empresas.
E, apesar de os sinais positivos de empresas que se encontram bem preparadas a nível de segurança, mantêm-se ainda «situações muito preocupantes», avisa Sérgio Martinho, referindo-se «a organizações que aplicam a regra da avestruz: ‘Se eu não vejo ninguém, então posso estar descansado porque ninguém me vai ver’», uma atitude de negação que pode trazer bastantes dissabores, caso a empresa seja visada por ataques externos ou mesmo por problemas originados internamente.
Perigos multiplicados
Com maior ou menor premência, consoante a sua dimensão e aposta nas tecnologias da informação, os perigos espreitam com a opção das empresas pela mobilidade, que contagiou as empresas mas que leva os computadores, smartphones e PDA para ambientes não controlados e redes não seguras. O outsourcing, com a externalização de processos, a virtualização e o cloud computing estão na lista das ameaças, caso não sejam controladas eficazmente.
«Todos esses factores têm impacto ao nível da segurança de uma organização», lembra Luís Gangeia da SysValue, que sublinha que na implementação de cada uma dessas medidas deverão ser realizados estudos para determinar o impacto de segurança dessas medidas.
Francisco Fonseca, CEO da AnnubisNetworks, desmistifica porém a questão dos perigos. «Em quase todos os factores acima referidos os riscos para a segurança de informação estão dependentes das políticas de segurança adoptadas e implementadas pelo prestador de serviço. Uma política de segurança inadequada certamente elevará os riscos, mas uma política de segurança adequada por parte do fornecedor de serviço poderá até fazer com que a informação esteja mais segura fora da empresa do que dentro da própria empresa», sublinha, recordado que em algumas empresas a política de segurança é inadequada e até inexistente.
Também João Batista, director geral da Novell, acredita que apesar do aumento dos perigos «existem meios para mitigar e controlar os novos riscos, nomeadamente graças a soluções de IT e a políticas de segurança, o que pode resultar, no final, em melhorias na maturidade global das organizações, ao nível da segurança da informação».
As consultoras de segurança têm vindo a lançar alertas para o crescimento dos riscos em 2010, com ataques muito orientados para a obtenção de resultados financeiros e o recurso a redes sociais como forma de atrair “alvos” prováveis. Para além dos riscos de phishing, redes bot, ataques de denial of service ou outras ameaças, a perda de dados empresariais é apontada por Pedro Galvão, da IBM, como uma das piores situações que as empresas poderão enfrentar em termos de segurança em 2010. «São estas situações aquelas que anunciam publicamente o fracasso do programa de segurança das empresas», sublinha.
| «Não existe uma consciência clara e generalizada nas empresas portuguesas» |
Focado na segurança aplicacional, que é considerada um vector prioritário e estratégico na segurança da informação, o Open Web Application Security Project (OWASP) tem vindo a desenvolver diversas iniciativas que pretendem garantir maior envolvimento da comunidade, sobretudo em relação ao Governo, à academia e à indústria.
A percepção sobre a realidade portuguesa nesta área e a forma como as empresas enfrentam esta questão fizeram parte de um conjunto de questões que o Semana colocou à comunidade portuguesa de OWASP e que contou com uma resposta conjunta de três profissionais na área da segurança da informação, entre os quais Carlos Serrão, professor auxiliar no ISCTE-IUL em Lisboa e investigador da Adetti, que lidera a delegação portuguesa da OWASP, e os consultores independentes Miguel Almeida e Dinis Cruz.
Semana Informática – Os desafios que se colocam à segurança de informação são crescentes, com os ataques informáticos a intensificarem-se e as exigências dos reguladores a aumentar. Pensam que as empresas estão conscientes da necessidade de investirem nesta área?
Open Web Application Security Project – Os sinais indicam-nos que não, que não existe uma consciência clara e generalizada nas empresas portuguesas, sobre a necessidade de investir na segurança da informação e, em particular, na componente da segurança aplicacional.
Se analisarmos a dimensão do mercado português orientado para a segurança aplicacional (que, de uma forma geral, reflecte a dimensão da procura), verificamos que é um mercado pequeno, composto por um conjunto reduzido de empresas e consultores individuais, que fornecem serviços relacionados com a segurança.
A dimensão da comunidade portuguesa da OWASP – pequena – é também um indicador do grau de consciência para esta problemática, uma vez que a OWASP atrai, tipicamente, as empresas que procuram reforçar a segurança do seu sistema de informação e também, naturalmente, as empresas que oferecem serviços que vão ao encontro dessa necessidade, isto é, as empresas de serviços de segurança.
S.I. – Existem outros sinais importantes?
OWASP – Sim. Um outro sinal importante, que nos indica o grau de maturidade neste mercado, é o facto de encontrarmos debates nos fóruns de segurança que, na sua maioria, são focados nos aspectos que concernem a componente de segurança ao nível das redes (referimo-nos, por exemplo, a debates sobre firewalls, sistemas de detecção de intrusão, ou IDS, cifra de dados e mecanismos de autenticação forte). Embora estes temas sejam importantes, no contexto da segurança da informação, são temas que, neste momento, já deviam estar amadurecidos e consolidados nas organizações. Os temas mais importantes, na fase em que nos encontramos hoje, têm que ser, inevitavelmente, os processos de segurança e a segurança das aplicações, temas que estão, num modelo de segurança por camadas, alguns níveis acima dos que (ainda) são debatidos em Portugal.
Por outro lado, é importante salientar a falta de profissionais de segurança que estejam especificamente formados na componente da segurança aplicacional. Nas universidades em Portugal é difícil encontrar unidades curriculares integradas em licenciaturas ou em programas de mestrado que lidem em particular com as especificidades da segurança de informação ao nível aplicacional. As próprias unidades curriculares mais vocacionadas para a engenharia de software, abordam apenas superficialmente esta problemática da segurança ao nível do desenvolvimento aplicacional. Isto acaba invariavelmente por se reflectir na qualidade das aplicações e sistemas de software que são produzidos no mercado, por estes profissionais com poucas preocupações a nível de segurança.
Igualmente, a pressão competitiva que é colocada no mercado do desenvolvimento de aplicações e sistemas acaba por levar a que estas preocupações de segurança aplicacional possam ser descuradas em detrimento de outras características mais “sexy” do software, e que efectivamente vendem.
Finalmente, não podemos deixar de referir a possibilidade de haver empresas e agências governamentais que estejam, actualmente, a contratar serviços de segurança a empresas estrangeiras. No entanto, a experiência mostra-nos que, quando os sinais indiciam que não existe um foco sobre a segurança, acabamos por verificar que, de facto, não existe!
S.I. – Essa consciência existe certamente de forma diferenciada consoante a dimensão das empresas. Em que estado de maturidade se encontram as PME?
OWASP –O estado de maturidade dos processos e mecanismos de segurança nas PME, pela nossa experiência, pode ser caracterizado numa palavra: imaturo. Porquê? Porque a segurança dos sistemas de informação, nestas organizações, desde a componente de redes até às aplicações, é entendida como um problema técnico que deve ser endereçado pelos departamentos de informática e, nesse contexto, é endereçado com uma firewall na ligação à Internet e sistemas antivírus nos servidores e postos de trabalho. A segurança, actualmente, não pode estar limitada a estas duas componentes.
No contexto da segurança aplicacional é importante que a mesma seja considerada como uma prioridade desde o primeiro dia por toda a equipa que estará envolvida no desenvolvimento da solução, enquadrada por um forte apoio da organização.
É importante referir, no entanto, que o foco na segurança da informação, em particular no vector da segurança aplicacional, depende mais de factores externos do que, na verdade, da dimensão das organizações – uma empresa estará mais sensível a estes temas, e fará investimentos mais significativos, sempre que: for vítima de um ataque, ou verificar que um dos seus concorrentes directos foi vítima de um ataque; estiver enquadrada num conjunto de empresas que têm que estar em conformidade com exigências legais ou standards industriais (por exemplo, standards como a PCI (1)); os seus clientes exigirem, explicitamente ou implicitamente, a garantia de segurança nas transacções ou a protecção da sua informação e, em particular, se alguns clientes apresentarem queixas relacionadas com eventuais problemas de segurança que tenham identificado e que, assim, mostrem a sua intenção de terminar a utilização dos serviços.
Existe um outro aspecto que é necessário salientar. Na maior parte das vezes, o tecido das PME nacionais é acima de tudo comprador de soluções e sistemas de software, e raramente abraça o desenvolvimento próprio. Isto leva-nos a colocar a seguinte questão: quais são as garantias que determinada PME tem que o software que adquire foi efectivamente desenvolvido tendo em conta preocupações de segurança aplicacional? Quem lhe garante isso? |
|
|
