Uma versão em PDF deste artigo está disponível para download na página Meus Documentos deste blog.

Introdução

Durante seis anos trabalhei como Security Officer de uma multinacional, onde a área de Information Services era auditada ou tinha que fornecer informações e dados para auditores de outras áreas, em média, cinco vezes por ano. Ou seja, eu trabalhava inicialmente 45 dias por ano somente atendendo requisições de auditores e explicando como as coisas funcionavam dentro da empresa. Parece muito tempo para pouco retorno, porém o resultado de qualquer auditoria é o Audit Report que é discutido em um Draft e posteriormente apresentado em sua versão final durante o Exit Meeting.

Este documento tem uma grande força política dentro de qualquer organização que leve uma auditoria a sério, e pode causar desde um clima muito tenso dentro das áreas envolvidas até a demissão de um CIO. Ou seja, é necessário dedicar toda a atenção para o processo de auditoria, de forma a garantir que os resultados reflitam a realidade e possam ser discutidos com base em um entendimento comum de risco existente.

Neste artigo não vou entrar nas questões de discussão do Audit Report e o trabalho de gestão de riscos que deve fazer parte das atividades de um Security Officer, pois estes temas serão abordados na Parte 2. Apresento aqui dez dicas úteis sobre os itens mais comuns que são analisados por auditores de sistemas, e se não bem administrados continuamente, podem mostrar pequenas fragilidades de uma organização, que em conjunto, transformam-se em um grande problema.

As dicas são baseadas na apresentação “The Top 10 Security and Risk Audit Findings You Need to Avoid” feita pelo Gartner Group em um evento ocorrido em 2007, cujo material original infelizmente não está disponível para download. Usei um formato parecido com o apresentado que achei muito bom, incluindo minhas observações e comentários. Posteriormente, vou aprofundar cada uma das dicas em artigos seqüenciais, onde irei mostrar o que pode ser feito para administrar cada uma das recomendações.

Dica 1: Classificação de Ativos

O Ponto de Auditoria

Não existe um inventário de ativos (ex. Workstations e software) ou o mesmo está desatualizado. Com isso, a empresa não sabe o que tem e muito menos quais medidas de proteção devem ser aplicadas e administradas.

Por que é um problema?

Se abordarmos a parte de hardware, o mínimo que pode acontecer é um equipamento ser furtado e você notar isto somente quando for tarde demais para qualquer ação corretiva. Imagine agora que além deste equipamento ter sido furtado, os dados dentro dele não foram classificados e protegidos de forma adequada. Um vazamento de informações sensíveis pode acontecer, resultando em desgaste da imagem perante o público, e diversas conseqüências legais das partes afetadas.

Como Evitar?

Este é um processo trabalhoso que exige muita dedicação no começo e mais ainda em sua manutenção: classificação e gestão de informações. Deve existir um inventário de todos os equipamentos de TI utilizados pela Organização que mostre a pessoa responsável pela guarda do mesmo, as autorizações para uso de informação sensível, quais softwares estão instalados no equipamento e a licença para uso dos mesmos.

Este inventário deve ser constantemente atualizado, administrado por uma pessoa dedicada (dependendo, é claro, da quantidade de esforço envolvido) e utilizado como uma ferramenta de gestão por toda a equipe de TI. Na prática, o Help Desk tem um papel fundamental na manutenção deste controle, e os membros deste time devem estar muito bem treinados para não deixar passar nenhuma exceção.

Dica 2: Gestão de Mudanças

Ponto de Auditoria

Não existem evidências de que as mudanças feitas em aplicações ou itens da infra-estrutura são requisitadas, desenvolvidas, testadas e aprovadas formalmente.

Por que é um problema?

Qualquer mudança feita sem um mínimo de controle pode resultar em problemas que afetam toda a infra-estrutura de uma Organização. Um exemplo clássico é um processo de patch management feito de forma inadequada que para uma determinada aplicação de negócio que não estava preparada para funcionar com as mudanças que são implementadas no ambiente que a suporta.

Como Evitar?

Se a empresa não tem uma equipe de desenvolvimento, e faz um outsourcing destes processos, possivelmente não seja necessário ter as evidências disponíveis, mas no mínimo o contrato que rege esta relação comercial deve ter um Service Level Agreement (SLA) informando claramente como o processo é feito e as penalidades em caso de não cumprimento do acordo.

Se o desenvolvimento é feito internamente, devem ser mantidos três ambientes segregados; um de desenvolvimento, um de homologação (validação de mudanças) e outro de produção, onde os acessos de desenvolvedores e usuários devem ser diferenciados. E as movimentações e aprovações envolvidas no processo, devidamente registradas.

Dica 3: Compartilhamento de Contas Privilegiadas

Ponto de Auditoria

As contas de acesso privilegiado a um ou mais sistemas/aplicações (ex. admin, root) são compartilhadas entre mais de uma pessoa.

Por que é um problema?

O uso de contas com acesso privilegiado já é um risco. Como estas contas não têm limites dentro do sistema, um usuário mal intencionado (ou mesmo infectado com um vírus?) pode fazer um estrago sem igual dentro da infra-estrutura onde atua. Se forem compartilhadas, a probabilidade de conseguir rastrear a origem de um problema dessa natureza é reduzida significativamente.

Como Evitar?

Administrar uma infra-estrutura de TI sem uma conta privilegiada é um desafio que poucas empresas conseguem vencer, uma vez que exige o estabelecimento de uma política de segurança, o seguimento de procedimentos operacionais específicos e investimento em gente (na maioria das vezes, o que as empresas menos querem fazer …).

Se isso for possível, excelente solução, se não, é recomendado que as contas administrativas sejam renomeadas e/ou tenham suas senhas alteradas logo após a instalação da aplicação em questão. Além disso, estas contas devem ser reduzidas ao mínimo possível, exigindo de qualquer pessoa que as queiram usar, uma excelente técnica que deve ser aprovada pelo Diretor de TI (ou equivalente).

Dica 3: Administração de Direitos

Ponto de Auditoria

Não é possível determinar quais são os acessos dos usuários dentro ao ambiente e/ou as autorizações para que as concessões fossem feitas.

Por que é um problema?

Sem saber que acessos um determinado usuário tem dentro de um ambiente, fica impossível definir se ele tem os privilégios adequados para a sua função ou se a segregação requerida para a atividade é adequada (ex. quem compra não pode autorizar um pagamento). Um caso recente, ainda sob investigação, que mostra até onde o excesso de privilégios pode levar é a fraude ocorrida no banco francês Société Générale.

Como Evitar?

Existem ferramentas de administração de privilégios (Identity Management) que auxiliam na gestão destes controles de forma muito eficaz. Na falta de orçamento para a implementação de uma, as soluções que me parecem mais adequadas tem origem na relação da Equipe de Segurança da Informação (SI) com a área de Recursos Humanos (RH).

Quando ocorre uma mudança de qualquer natureza no status (ex. empregado ou demitido), função (ex. analista para supervisor) ou área (ex. de Finanças para Controles internos) de um usuário, RH deve informar SI e os direitos anteriores “congelados” até que o supervisor referente aprove qualquer tipo de inclusão ou manutenção dos privilégios.

Dica 4: Monitoramento de Atividades

Ponto de Auditoria

Não é possível determinar quais são acessos foram feitos por quem, quando e para que em uma ou mais aplicações/sistemas considerados críticos e/ou sensíveis.

Por que é um problema?

O primeiro problema é o entendimento. Existem auditores que tem como regra classificar como um problema a impossibilidade de monitorar todas as atividades dentro de um ambiente informatizado. Isso além de ser um desperdício absurdo de dinheiro, não traz absolutamente nenhum benefício para a organização. Porém, quando falamos de aplicações/sistemas considerados críticos (ex. Folha de Pagamento), o conceito se aplica perfeitamente.

Se não existir o monitoramento das atividades, é impossível identificar os indícios de uma atividade maliciosa ou mesmo rastrear a origem de uma fraude. Este tipo de processo é muito comum em aplicações de grande porte que já tem relatórios prontos (ex. SAP), mas raras nas demais aplicações, que devem ser adaptadas para este propósito.

Como Evitar?

Existem ferramentas de administração de privilégios (Identity Management) que auxiliam na gestão destes controles de forma muito eficaz. Na falta de orçamento para a implementação de uma, as soluções que me parecem mais adequadas tem origem na relação da Equipe de Segurança da Informação (SI) com a área de Recursos Humanos (RH).

Quando ocorre uma mudança de qualquer natureza no status (ex. empregado ou demitido), função (ex. analista para supervisor) ou área (ex. de Finanças para Controles internos) de um usuário, RH deve informar SI e os direitos anteriores “congelados” até que o supervisor referente aprove qualquer tipo de inclusão ou manutenção dos privilégios.

Dica 6: Segregação de Funções

Ponto de Auditoria

As funções dos usuários dentro de uma aplicação ou sistema permitem que eles desenvolvam atividades complementares em processos críticos, possibilitando a existência de fraude.

Por que é um problema?

De forma similar a dica anterior, quando um usuário pode executar duas ou mais atividades complementares dentro de um processo de negócio considerado crítico (ex. finanças), por exemplo, ele pode requisitar uma transferência de valores entre duas contas e depois de completada a requisição, aprovar o processo.

Como Evitar?

Sempre aplicar a segregação de funções em processos que sejam considerados críticos pela empresa. Uma boa forma de fazer isto é desenvolver uma matriz onde estejam descritos todos os tipos de acesso e os usuários que os tenham, e revisar freqüentemente em conjunto com a área de Controles Internos.

Dica 7: Segurança Física

Ponto de Auditoria

Áreas que mantêm informações e/ou equipamentos que suportam atividades críticas da empresa não mantêm os controles de segurança físicos adequados (ex. detecção e combate a incêndios).

Por que é um problema?

A segurança física é um item constantemente subestimado pelas empresas, não só porque os equipamentos para mantê-la de forma adequada têm um custo substancial de compra, implantação e manutenção, mas também porque a probabilidade de ocorrência de problemas é baixa. Mas quando acontece, uma falha deste tipo pode ter um impacto realmente grande.

Como Evitar?

Escrevi um documento no ano passado que mostra boa parte dos controles de segurança física que são recomendados. Além disso, backup, cópias de arquivos importantes e replicação de dados são boas práticas que não aumentam a segurança física, mas reduzem o impacto no caso de ocorrência de um sinistro.

Dica 8: Planos de Continuidade e Recuperação de Desastres

Ponto de Auditoria

A empresa não tem Planos de Continuidade de Negócio (PCN) e Planos de Recuperação de Desastres (PRD), ou mantêm documentos desatualizados (o que é mais comum).

Por que é um problema?

O objetivo de um PCN é garantir que a empresa continue operando após a ocorrência de um impacto com a menor perda possível. Já um PRD, busca recuperar o que foi perdido em um espaço de tempo e com um custo que sejam adequados para a realidade do negócio em questão. Quando as informações que suportam estas estratégias não correspondem à realidade, o PCN e o PRD não passam de uma montanha de papéis inútil, que se forem seguidas em uma emergência, podem causar ainda mais impacto do que o próprio sinistro.

Como Evitar?

A primeira recomendação é entender as diferenças entre os componentes de uma estratégia de continuidade. Depois de ter claro o que é cada parte, definir o que deve ter uma contingência, escrever os planos e mantê-los atualizados sempre. Note que esta responsabilidade é de todas as áreas que usam e mantêm os componentes que devem ser contingenciados, e não restrita a área de Segurança da Informação ou TI.

Dica 9: Contratos de Outsourcing

Ponto de Auditoria

Os contratos de outsourcing que a empresa mantém com prestadores de serviços não contêm cláusulas de proteção para garantir a extensão dos controles de segurança aplicados dentro da empresa às informações e dados críticos quando estes são levados para um ambiente externo.

Por que é um problema?

Uma das características do mundo dos negócios é o foco no core business da empresa e um grande processo de outsourcing para todo o resto. Porém, os contratos que são assinados entre as partes devem contemplar a extensão da proteção existente na contratante para a contratada, ou todo o processo de segurança some quando os dados são movidos entre os ambientes.

Como Evitar?

No mínimo é necessário interagir com um advogado para ele ajudar na escrita de cláusulas de proteção da informação neste tipo de processo. Por outro lado, fazer uma análise de risco nas instalações do prestador de serviço pode ser mais difícil de ser negociado, mas normalmente resulta em um conjunto de boas práticas para ambas as partes.

Dica 10: Awareness

Ponto de Auditoria

Os usuários da empresa não passam por um processo formal de treinamento e awareness em Segurança da Informação.

Por que é um problema?

Diversas publicações e artigos definem que o elo mais fraco na corrente da Segurança da Informação é o usuário. O desconhecimento das políticas e controles utilizados pela empresa ou mesmo a falta de compromisso com estas práticas são normalmente, as causas mais comuns desta premissa.

Como Evitar?

Processos de treinamento e conscientização reduzem esta fraqueza, explicando quais são os controles existentes na empresa e como devem ser cumpridos por todos. Pessoalmente, recomendo ainda uma interação com o RH da empresa para definir punições administrativas e suporte para possíveis processos de demissão em caso de descumprimento.

Dando continuidade a criação da Regional Sul, a ISSA Brasil publicou hoje em seu site o e-mail para contato com nosso grupo. Use-o à vontade para sugerir e dizer o que você espera das nossas atividades na Região Sul, sua participação é fundamental para que possamos atender às expectativas da maioria na divulgação e fomento da Segurança da Informação em nossos estados.

Eu tenho vários blogs sobre tecnologia cadastrados nos meus feeds, e entre eles o Zumo Blog é o que tem feito updates mais frequentes com conteúdo extremamente relevante. Recomendo a assinatura. O post que recebi esta manhã mostra uma entrevista com Roberto Prado, da Microsoft Brasil, falando sobre as diferenças entre os formatos OpenXML e ODF.

Por que isso é importante do ponto de vista de Segurança da Informação? Bem, além de uma série de decisões estarem sendo tomadas na adoção de um dos formatos por Governos e empresas - o que por si só representa uma tendência de que tipo de proteção de arquivos deverá ser adotada em um futuro próximo - a sua infra-estrutura deverá se adequar em processos de integração e suporte a um dos dois formatos.

Para se manter por dentro do assunto, e começar a tirar suas próprias conclusões sobre o que fazer, o blog “Segurança na Microsoft” e “Spread Open Document” têm mantido atualizações constantes sobre o assunto. Lembre-se que no Brasil temos a Nota Fiscal Eletrônica sendo difundida em vários setores, a ICP-Brasil e várias outras iniciativas que estão mudando a forma como a infra-estrutura de TI deve se manter, e como os planos de contingência relacionados devem ser gerenciados.

Nas últimas semanas tenho pesquisado com um pouco mais de profundidade o Payment Card Industry (PCI) Data Security Standard (DSS), e ao conversar com alguns colegas da área notei que não era o único que desconhecia este padrão, o que me levou a escrever este resumo sobre o assunto.

É um padrão de segurança adotado pelas empresas de cartão de crédito, criado e mantido pelo PCI Security Standards Council, uma organização criada pela American Express, Discover Financial Services, JCB, MasterCard e Visa. Para se ter uma idéia do tamanho deste mercado, o Brasil deve movimentar em 2008 mais de R$ 218 bilhões. E no rastro deste volume expressivo de dinheiro circulando, a quantidade de fraudes envolvendo cartões e dados de usuários aumenta na mesma proporção.

O PCI-DSS foi criado como um esforço conjunto destas empresas no incremento da proteção aplicada às informações sensíveis que são utilizadas nos processos relacionados. Não é um padrão obrigatório como o SOX ou HIPAA em alguns mercados, mas um conjunto de boas práticas que pode diferenciar uma empresa em relação a seus concorrentes ao estabelecer 12 regras:

1. Instale e mantenha uma configuração de firewall para proteger os dados do portador de cartão
2. Não use as senhas padrão de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviços.
3. Proteja os dados armazenados do portador de cartão
4. Codifique a transmissão dos dados do portador de cartão nas redes públicas e abertas
5. Use e atualize regularmente o software ou programas antivírus
6. Desenvolva e mantenha sistemas e aplicativos seguros
7. Restrinja o acesso aos dados do portador de cartão a apenas aqueles que os necessitam para a execução dos trabalhos
8. Atribua um ID único para cada pessoa que possua acesso ao computador
9. Restrinja o acesso físico aos dados do portador de cartão
10. Acompanhe e monitore todo o acesso aos recursos da rede e dados do portador de cartão
11. Teste regularmente os sistemas e processos de segurança
12. Mantenha uma política que atenda à segurança da informação para funcionários e prestadores de serviços

As regras podem parecer óbvias para quem trabalha com Segurança da Informação há algum tempo, mas a grande maioria das empresas simplesmente não as cumpre. O esforço que vem sendo liderado no Brasil pela VISA e Master Card tem gerado bons resultados, uma vez que todos ganham com a aderência a este padrão; as bandeiras passam a contar com uma maior confiança dos consumidores em usarem o cartão de crédito como forma de pagamento, os consumidores tem suas informações tratadas com maior cuidado e as empresas que adequam seus controles ganham a confiança das bandeiras e evitam as penalidades que poderão vigorar após 2009.

Como toda adoção mandatória, algumas empresas já reclamam da obrigatoriedade em adotar o padrão, dizendo que os controles são complicados, caros de serem implementados e que não trazem retorno ao cliente. Bem, eu acho que são muito simples quando comparados a outras normas, possivelmente caros para quem não tem nenhuma estrutura de segurança, mas … não trazem retorno sobre o investimento?

Eu uso cartão de crédito para aproximadamente 90% das minhas compras, e como consumidor, sempre irei escolher uma empresa que tenha um mínimo de cuidado com meus dados em detrimento de outra que não ligue para isto. Já deixei de comprar produtos em sites que tinham preços mais baratos porque não conhecia a empresa. Se isso não é retorno sobre o investimento, e consequentemente, lucro para o vendedor …

Para saber mais você pode acessar o web site do PCI Standards Council, ou ir direto aos documentos de suporte, onde versões em português do Glossário, Procedimentos de Auditoria e Procedimentos de Scanning, estão disponíveis.

Depois de um período de negociações com a ISSA Brasil, foi aprovada na semana passada a criação do chapter ISSA Brasil Sul. Nosso objetivo é fomentar as discussões e iniciativas ligadas à Segurança da Informação no Paraná, Santa Catarina e Rio Grande do Sul. Estamos começando as atividades, e temos um calendário preparado para logo após o Carnaval termos o Primeiro ISSA Day em Curitiba. As novidades chegarão rapidamente.