www.cesce.pt
 
 


No desenvolvimento da sua actividade as empresas pensam acima de tudo no negócio e nos riscos financeiros.

Mas existem outros riscos que as expõem ao mercado, à concorrência e que as colocam numa posição muito vulnerável. Um desses riscos diz respeito à segurança da informação, nomeadamente do ponto de vista exógeno, ou seja, à sua informação colocada no canal de comunicação mais privilegiado da actualidade – a internet.

Qualquer empresa possui actualmente uma página na internet, para além das ligações às mais diversas redes sociais. Quanto maior o número de ligações, maior a sua visibilidade , mas ao criar tais canais de comunicação, as empresas devem pensar em primeiro lugar na segurança, pois desconhecem o know-how dos seus ciber-clientes, ciber-curiosos e dos milhares de utilizadores…

Os ataques a sites registaram em 2011 uma atenção especial por parte da imprensa, a qual foi movida pelos ataques realizados aos sites da Polícia Judiciária e do Partido Socialista, que fizeram correr muita tinta. Mas a verdade é que este tipo de ataques já vem acontecendo há muito tempo, aumentando de ano para ano em número e grau de sofisticação, fruto da “profissionalização” do hacking.

O cibercrime passou a ser um negócio, e muito lucrativo por sinal, aponta Albano Formiga, Coordenador da Divisão de Consultoria da CESCE SI. “No passado, os hackers praticavam o cibercrime para se vangloriar ou como forma de protesto. Embora continuem com esta faceta, muitos já efetuam ataques para benefício pessoal a nível monetário, nomeadamente através da utilização de cartões de crédito ou da venda de dados a terceiros”, continuou o mesmo responsável.

O principal problema para o aumento do cibercrime, e que levou a este crescimento exponencial do número de ataques a sites empresariais, é o desconhecimento das vulnerabilidades das empresas por parte dos seus responsáveis máximos, e até mesmo alguma negligência em proteger devidamente as companhias. “Podemos inclusive dividir os dois principais problemas entre as empresas com falta de informação, quer seja a nível das tecnologias de segurança existentes como do grau de exposição da sua companhia, e das empresas que olham para a segurança como um custo, em vez de um investimento na proteção dos seus dados”, disse Albano Formiga. Infelizmente, aponta o mesmo responsável, “ainda são muitas as empresas que olham para os consultores de segurança como vendedores, que querem convencê-las que necessitam de soluções de segurança, mesmo quando estes pensam que não têm um grau de exposição que justifique o investimento nesta área, o que é errado”.

A abordagem à segurança da informação deverá estar assente nos seguintes pilares: Organização, Tecnologia, Processos e Pessoas. Em primeiro lugar deve ser definida a estratégia da Organização para esta temática tão critica, depois de identificadas as Tecnologias a implementar. Para além disso, as empresas devem ter em especial atenção os Processos e Procedimentos a utilizar, sendo a compatibilidade uma das peças fulcrais. “É imprescindível que as soluções implementadas estejam alinhadas com as boas práticas em segurança de informação decorrentes das Normas de Segurança de referência internacional (ISO27002)”, disse o responsável da CESCE SI. A formação do capital humano da empresa é, como referido acima, também essencial, a nível quer dos utilizadores, quer dos administradores de sistemas e dos quadros diretivos da empresa. Os utilizadores devem ter regras a cumprir na utilização dos sistemas, assim como ferramentas que permitam, além de gerir os seus privilégios, mapear a utilização que fazem dos dados. Por sua vez, os administradores de sistemas e os decisores da empresa têm de saber, a qualquer hora e a qualquer momento, a utilização que está a ser feita dos seus dados. “É necessário que tanto o administrador de rede como os decisores da empresa saibam qual o grau de exposição da mesma e que quantifiquem bem o que uma potencial fuga de dados ou ataque ao site significa a nível económico, seja através de má publicidade ou até mesmo da quebra do serviço”, aponta o Coordenador da Divisão de Consultoria da CESCE SI. O mesmo responsável revela ainda “não existir uma fórmula 100% segura para a segurançapois todos os dias surgem novas ameaças e vulnerabilidades nas empresas”. Os hackers associam criatividade e engenho nos seus ataques. Existe sim, acrescenta, boas práticas que as empresas “devem seguir de forma a tornarem-se mais seguras e menos vulneráveis a ataques”.

No que concerne à presença da empresa na Web, feita sobretudo através de sites, as boas práticas podem passar por três pontos-chave: Desenvolvimento seguro; Fortificação do servidor Web; Auditorias regulares e especializadas. Um site empresarial deverá ser construído corretamente de base, com um bom desenvolvimento de código, que tenha como prioridade a segurança dos dados. Na altura do desenvolvimento dos sites, “existe sempre uma grande preocupação na experiência do utilizador, mesmo que muitas vezes esta comprometa a segurança, o que deve ser inaceitável”, aponta o responsável da CESCE SI. As empresas devem optar neste campo por seguir a metodologia do Open Web Application Security Project (OWASP), um projeto mundial sem fins lucrativos focado na melhoria da segurança aplicacional, que disponibiliza as melhores práticas para o desenvolvimento seguro de sites e aplicações Web. É também imprescindível implementar o site num servidor Web seguro, que cumpra com as melhores práticas de segurança. Por fim, dado o constante aparecimento de novas ameaças, é imprescindível que as empresas façam auditorias regulares de segurança aos seus sistemas e sites, ou através de recursos internos com conhecimentos específicos nesta área ou então de entidades externas especializadas. “A regularidade das mesmas dependerá sobretudo da sua exposição e das repercussões que um potencial ataque pudesse ter na empresa”, aponta Albano Formiga. “Sugerimos que as grandes empresas o façam com uma periodicidade semestral e que as PME o realizem entre uma periodicidade semestral ou anual”. No entanto, refere o mesmo responsável, há empresas com maiores requisitos neste nível, nomeadamente as de e-commerce e as que lidam com dados de cartões de crédito e dados bancários dos utilizadores, que necessitem de cumprir com normas específicas, como por exemplo a norma PCI-DSS. Estas empresas, revela Albano Formiga, “podem inclusive necessitar de efetuar auditorias mensais pois estão bastante expostas e são muito apetecíveis para os hackers”. A nível de auditorias, a melhor solução passa pelo recurso a entidades externas especializadas, que veem as suas competências certificadas regularmente e que acompanham as novas tendências do mercado. A Cesce SI, a qual faz parte do Grupo SIA, é certificada em segurança de informação (ISO 27001) e conta com uma vasta experiência nesta área , sendo constituída por uma equipa de profissionais com uma grande capacidade e experiência em segurança da informação, detendo um conjunto de certificações como CISA, CISM, CGEIT, CRISC, Lead Auditor 27001, CISSP, Certified Ethical Hacking e PCI DSS. O posicionamento da empresa enquanto fornecedor de soluções integrais permite-lhe ter uma excelente oferta na área do cumprimento com as normas, simplificando o processo de cumprimento para com os quadros de controlo (ISO 27001, ITIL, COBIT, SOX, etc.) ou com as próprias políticas internas de cada companhia.

 

Albano Formiga
Coordenador da Divisão de Consultoria
CESCE SI

dci@cesce.pt