www.cesce.pt
 


O cenário de risco em que os profissionais da Segurança de TI’s têm de evoluir continua a apresentar crescentes desafios. Para isso contribui o facto de o valor dos activos das organizações aumentar, o número de objectivos e de pontos de ataque se multiplicarem e, embora as medidas de defesa sejam cada vez mais potentes, também o são as técnicas (muitas delas de carácter social) utilizadas pelos atacantes que, por sua vez, são mais numerosos e profissionais. Por isso, a Segurança é sempre um exercício de equilíbrios: há que deixar os maus de fora, mas permitir que os bons trabalhem com comodidade, há que proteger os dados corporativos, mas facilitar o intercâmbio de informação com parceiros ou clientes, há que ter o melhor nível de segurança mas sem custos elevados. A questão será então, qual é a maneira mais eficiente de investir em Segurança? Quais são os projectos mais relevantes para 2007?


Estas perguntas não admitem uma resposta única. A situação de partida, a forma de relacionar-se com o exterior e os interesses de cada organização condicionam o tipo de projectos que deve ser levado a cabo em cada momento. Considerada de uma perspectiva funcional, a Segurança está orientada para quatro grandes tarefas: proteger, gerir, auditar e permitir relações de negócio; e dentro de cada uma destas áreas existem soluções mais ou menos sofisticadas que permitem levar a cabo projectos de melhoria ou poupança de custos.


A Protecção é a função primária, e hoje em dia é difícil considerar instalações que não disponham dos serviços básicos de firewall e antivírus, mas as tendências estão a definir-se no sentido de completar a protecção do ponto de vista interno com soluções para end point security ou através do controlo de acessos na rede interna com soluções NAC (Network Access Control). A pressão que as medidas reguladoras estão a impor faz com que se tenha de prestar atenção a um campo muito mais difícil como é a protecção de dados corporativos (encriptação e auditoria), onde as soluções de segurança enfrentam sérios desafios quanto à transparência da solução e ao impacto no desempenho, dado que muitas das soluções corporativas trabalham sobre as mesmas bases de dados. Também não convém esquecer as necessidades de segurança (e Gestão) na implementação de novos dispositivos móveis com funções corporativas como os PDAs e os smartphones, ou os equipamentos e infra-estruturas de VoIP.


Outro dos serviços que se exige aos responsáveis de Segurança é o cumprimento de determinadas regulamentações, do qual se pode dar o exemplo espanhol com a lei de protecção de dados pessoais (LOPD). Nas organizações de grande dimensão, a complexidade da sua estrutura e funções faz com que a informação sensível se encontre muito distribuída na organização, dificultando por conseguinte a protecção desta informação sensível e também o trabalho de auditorias periódicas. Para este tipo de organizações já começam a sair para o mercado ferramentas destinadas precisamente a resolver esta problemática de adequação e auditoria em ambientes complexos.


Uma Protecção sem Gestão é um esforço efémero. De pouco servem os firewalls ou antivírus se as suas regras ou assinaturas não forem actualizadas continuamente. Mas as possibilidades de gestão são muito amplas, da mesma maneira que o foco de gestão. O nível mais básico corresponde à própria gestão dos dispositivos de segurança. A partir daí há que considerar a gestão de vulnerabilidades e incidentes. Este é um trabalho muito importante, mas que envolve um notável esforço dos recursos próprios das empresas, aos quais é também exigido um nível de conhecimentos elevado. Por isso, a alternativa da externalização destes serviços começa a ser cada vez mais interessante, não verdadeiramente por razões de redução de custos mas fundamentalmente por razões de garantia de serviço e controlo do nível de risco. Solucionado este serviço, chega-se a algo muito mais importante e substancial no trabalho de Segurança, que é a Gestão de Riscos.


Muitos fabricantes classificam as suas tecnologias como de gestão de riscos e, embora ofereçam soluções muito boas para a parte técnica das vulnerabilidades, é mais discutível que resolvam o problema real da gestão de riscos. Para isso é necessária uma cuidadosa identificação dos activos das organizações e suas relações, e as soluções reais de gestão de riscos têm de ter em conta que os activos não são apenas tecnológicos. Neste contexto, e graças à divulgação da norma ISO 27001, é cada vez maior o número de responsáveis de Segurança que considera adaptar ou avançar no estabelecimento de um SGSI (Sistema de Gestão da Segurança da Informação) para as suas organizações, não necessariamente com a intenção de obter uma certificação, mas fundamentalmente para estruturar o conjunto de serviços de segurança. Durante este ano, este tipo de projectos passou do âmbito consultivo para identificar e estabelecer os processos necessários, para o âmbito táctico e operativo, mediante ferramentas específicas sobre as quais basear o sistema, entre as quais cabe assinalar as de consolidação de indicadores, análise de riscos (tecnológicos e não tecnológicos) e gestão de controlos (com os seus procedimentos de verificação). Explorando e combinando as capacidades de análise estatística de tendências, e de simulação de cenários das ferramentas de análise de riscos e controlos, começam a ver-se as primeiras soluções e projectos de Security Governance (nos quais se verá sem dúvida uma sinergia importante com as soluções de IT Governance). A definição do IT Governance Institute estabelece que “Security Government é o conjunto de responsabilidades e práticas exercidas pela alta direcção e direcção executiva da empresa com o objectivo de definir a direcção estratégica, assegurar que os objectivos serão alcançados, garantir que os riscos são geridos adequadamente e verificar se os recursos da empresa são utilizados de uma forma responsável”. No fundo é o mesmo Ciclo de melhoria contínuo de Demming, mas com uma ênfase mais forte na faceta estratégica a médio e longo prazo.


Uma das estratégias que retomou o auge neste contexto é a de Gestão de Incidentes e Eventos de Segurança (SIEM - Security Incident and Event Management), dado que em qualquer caso é necessário alimentar os sistemas SGSI com a informação do que realmente se está a passar. Além disso, e em extensão a esta actividade, começam a encontrar-se no mercado propostas de análise de incidentes-eventos orientadas para a detecção de fraude. Este tipo de soluções, embora mais básicas do que gostaríamos no âmbito do reconhecimento de padrões e detecção de comportamentos anómalos, são já muito proveitosas e atractivas precisamente para as organizações mais vulneráveis à fraude, fundamentalmente a banca, embora também para organizações com um crescente nível de transacções na rede, como sejam operadores móveis, sociedades de jogo, mercados virtuais, e inclusivamente para a Administração Pública, onde começamos a assistir a ataques de phishing.


Não restam dúvidas que dentro da Gestão da Segurança uma das tarefas mais relevantes (tanto nos aspectos operativos como tácticos e estratégicos) é a de Gestão de Identidades. A redução dos custos das licenças deste tipo de ferramentas está a potenciar uma generalização destes projectos. A parte operativa centra-se no controlo de acessos e provisioning de contas e na melhoria dos sistemas de autenticação, por vezes combinados com soluções de Single Sign On. A parte táctica centra-se na Gestão de autorizações e nos modelos de administração. Soluções clássicas de workflow cumprem esta tarefa, mas convém complementá-las com soluções para facilitar a gestão de roles e, especialmente a gestão de utilizadores privilegiados (super utilizadores). A parte estratégica tem a ver com as novas possibilidades e projectos de federação, mediante os quais se podem combinar identidades geridas por domínios diferentes e finalmente permitir a relação dos utilizadores de uma organização com as aplicações e recursos de outra organização diferente (com a qual se tenha estabelecido a correspondente relação de confiança).


Por outro lado, a Administração Electrónica e a busca de flexibilidade e interoperabilidade estão associadas ao avanço de arquitecturas orientadas para serviços (SOA), Web Services e a nova Web 2.0, onde supostamente são necessários os serviços de segurança. A tendência neste caso é fornecer estes serviços, como validação de esquemas, encriptação e desencriptação, protecção XML DoS, verificação de assinaturas ou, inclusivamente, PEP (Policy Enforcement Point) ou virtualização de serviços Web, em dispositivos especiais de rede. Seguindo a implementação deste tipo de projectos, sobretudo na Administração Pública, onde as barreiras à partilha de serviços e aplicações é menor que entre empresas privadas, começam a aparecer soluções de Federação e Plataformas de intercâmbio de serviços, baseadas na tomada de decisões considerando atributos de solicitadores e regras de decisão sobre o acesso aos recursos (tecnologias ABAC, Attribute Based Access Control).


O dinamismo que o negócio exige às organizações de TI impõe novas necessidades e desafios no âmbito da Segurança. Mas a segurança não é só uma questão de tecnologias como também de processos e pessoas e, portanto, os gestores de Segurança e de TI são os mais bem capacitados para interpretar quais são as condicionantes de cada empresa para decidir sobre as estratégias de melhoramento e os projectos mais convenientes. Em qualquer caso, os avanços na indústria e as novas tecnologias oferecem alternativas interessantes e oportunidades de melhoria e poupança de custos para alcançar os níveis de risco adequados para cada organização.

 

Eduardo López
SIA Group

dci@cesce.pt