Se você é responsável por gerir a área de segurança, sabe das dificuldades intrínsecas a essa atribuição. Consultamos especialista e profissionais do setor para levantar quais os maiores riscos de segurança, hoje, e como se prevenir deles.
Registrar e monitorar
Levantamento recente realizado pela Verizon informa que 87% dos casos de vazamento de informação estavam registrados nos logs do servidor. Ainda assim, 60% dessas ocorrências foram descobertas externamente.
Os logs costumam gerar uma falsa sensação de segurança. Isso se dá em função da interpretação errônea da equipe de TI sobre as funções de registro e de monitoramento oferecidas pelos arquivos, normalmente, em formato texto. “Tudo que essa função faz é registrar as ocorrências”, diz o diretor da EnerNex Corporation, Slade Griffin. “Os profissionais de TI dizem que registram tudo, mas, não respondem quem lê esses logs?”
Em empresas menores é possível verificar os logs de forma manual. É o que acontece na empresa de automação elétrica ENE Systems, sediada no estado norte-americano de Massachusetts. Um dia por semana, determinado funcionário passa o dia revisando os registros – antes de qualquer suspeita de vazamento de dados. Barry Thompson, gerente dos serviços de rede da empresa, avaliada em 30 milhões de dólares, comanda uma equipe de 140 funcionários. Apesar de concentrar as verificações em saídas irregulares de informações do sistema, também monitora atividades que possam caracterizar pornografia, jogatina ou homofobia na rede corporativa.
Em organizações maiores, porém, essa verificação manual é impraticável, deixando apenas duas opções abertas. Leitura sistemática ou a aquisição de softwares para realizar esse trabalho de forma minuciosa. Esses programas não são muito populares, diz o estudo da Verizon.
Às vezes, os departamentos de TI não têm conhecimento pleno acerca das capacidades de seus softwares, e não é necessário ter programas de última geração, e, sim, questão de usar essas soluções. Por exemplo: existem casos em que empresas compram os programas que verificam os logs somente para atender aos requisitos de auditorias ou de um grande cliente. Aprovadas no teste de políticas de segurança, as organizações esquecem da existência dos programas.
As empresas fariam um grande favor a si mesas se usassem os recursos que têm em mãos de forma otimizada. Uma maneira de fazer isso é ler o manual de operações dos softwares fornecidos. Treinamentos e tutorias em vídeo são alguns dos serviços que os provedores das soluções oferecem comumente e passam despercebidos nas equipes de TI.
As ferramentas de verificação de log são muito boas em detectar anomalias, ao passo que determinados sistemas podem agir de forma inconveniente e gerar um volume alto de alertas, muitas vezes desnecessários.
Em vez de procurar por uma agulha no palheiro (referindo-se a verificação manual), as empresas devem optar por um híbrido que una a tecnologia às leituras realizadas por pessoas. “Fiquem atentos às grandes alterações nos logs”, diz Thompson. Normalmente, esses sinais são linhas muito longas ou um salto/uma queda abrupta no volume de arquivos.
Configuração do ambiente de rede
Com a expansão do ambiente de rede vem o enfraquecimento da segurança. Aplicativos novos trazem configurações padrão que merecem ser verificadas com a finalidade de eliminar exposições desnecessárias. Um exemplo disso são softwares SQL que, de forma automática, conferem ao usuário poderes de administrador da base de dados. Quem dá o alerta é o fundador da Graves Technology, Chad Graves.
Limitar o acesso à internet é outra maneira de incrementar a segurança. Ao configurar um servidor, determine se necessita de acesso ininterrupto à web. “Alguns serviços, por exemplo, precisam se conectar apenas momentaneamente para atualizar seus arquivos”, diz.
Existe, ainda, a questão de redes com sistemas de segurança pouco robustos. Thompson diz que redes sem criptografia são as mais vulneráveis e, infelizmente, comuns em empresa de pequeno e de médio porte. “Grandes organizações se protegem, na maioria das vezes, usando WEP. Um tipo de criptografia considerado por Thompson e por outros como fraco demais.
Educação
Educar de maneira contínua seus funcionários é a maneira mais rápida para se tornar impopular em uma empresa. “Os usuários finais veem cada vez mais fazendo parte do sistema de segurança interno da corporação, um tipo de rede de confiança mútua”, afirma Larry Ponemon, fundador e presidente do conselho do Ponemon Institute LLC. Para muitos chefes de TI, os usuários tendem esquecer rapidamente o que lhes é ensinado. Ainda assim a importância desses treinamentos não pode ser ignorada.
Um líder de TI do Ponemon, por exemplo, tomou o tempo necessário para explicar aos funcionários porque não deveriam instalar determinados aplicativos para smartphone. Mais precisamente aqueles baseados na internet, como o TripIt, Twitter e aplicativos do Google. Todos podem ser usados por hackers para invadir a rede de celulares e de PCs. Com a medida, 80% dos funcionários deixaram de baixar tais aplicativos.
Thompson concorda: “A educação dos usuários é uma das grandes ferramentas de que dispomos atualmente”.
“Senhas fracas”, inclui Thompson, “são outra ameaça enorme em todos os departamentos de TI”. Por ocasião de uma reunião semanal com empregados, ele explicou por dez minutos a importância de senhas robustas na próxima vez que os colaboradores forem solicitados a criar novos códigos de acesso.
E jamais, mas, jamais, ignore o poder do monitoramento. Funcionário ciente do fato de ser observado funciona bem como maneira a prevenir qualquer operação de má fé por parte dos colaboradores. “Descobrimos que o melhor jeito de manter a segurança dos dados é lembrar a todos que são alvo de constante vigilância”, diz Graves.
Direitos de acesso
Criar rotinas que verificam o acesso privilegiado de usuários a determinados dados é crucial. Thompson usa o serviço Active Directory, da Microsft, para criar grupos de usuários com direitos de acesso privilegiado e monitorar o uso desses direitos. Cada grupo tem diretrizes de acesso diferentes. “Se eu quiser ver a lista de usuários com acesso a determinados dados basta eu gerar um relatório. Assim também sei que tipo de direitos esses usuário têm sobre os dados”, diz.
Apesar da praticidade que esses recursos oferecem, eles são limitados. A ocorrência mais comum é um usuário ter seus direitos de acesso sequestrados por algum hacker, que passa a assumir a identidade desse participante.
Levay adotou um esquema de verificação das atividades de cada usuário. Eles recebem um relatório de seus últimos acessos e são solicitados a confirmar que realmente realizaram tais ligações. “Essa rotina, que ocupa poucos minutos por semana, é a solução para o eterno pesadelo do seqüestro de identidade por parte de um hacker”, afirma.
É claro que nem esse tipo de verificação é um antídoto contra colaboradores que tenham vendido as almas para a concorrência. Mas existem sinais que evidenciam tais perigos.
Um desses sinais é o fato de empregados que têm algum risco de fazer isso, terem também em suas fichas profissionais uma citação, por menor que seja. Uma empresa cliente da Ponemon, por exemplo, teve em seu departamento de TI uma administradora de sistemas que, ao suspeitar que seria demitida, corrompeu a base de dados do empregador. Uma análise mais detalhada no histórico dessa funcionária revelou que em apenas três anos ela havia “perdido” 11 laptops. Possivelmente as pessoas responsáveis pela liberação de novos laptops não registravam a emissão do equipamento ou achavam tratar-se de uma informação pouco útil.
Esse exemplo evidencia bem a miopia presente nos esquemas ou na avaliação das informações de segurança das empresas e de seus departamentos de TI.
viaQuatro formas de prevenir o vazamento de dados – Gestão – CIO.