Segurança da Informação

Ξ Deixe um comentário

Como fica a segurança na sociedade digital?

publicado por Eduardo Lanna

Com a crescente presença de pessoas, empresas, organizações e governos no mundo digital, a criminalidade também passou a focar nesse meio. Nossa sociedade está baseada irremediavelmente no mundo digital. Hoje, compras, negócios, relacionamentos, dados pessoais e valores são transacionados o tempo todo pela internet. Por isso mesmo, a segurança digital é cada vez mais uma equação difícil de gerir. O número de invasões envolvendo bancos, corporações e entidades governamentais que aparecem na mídia tem crescido ultimamente. Os hackers expõem dados de clientes, fornecedores, colaboradores e parceiros para comunidades de agentes maliciosos com objetivos diversos. E o número de incidentes que envolvem perdas financeiras diretas e indiretas é incalculável.

O levantamento da F/Nazca com apoio do Datafolha dá conta que atualmente 54% dos brasileiros acessam a internet, ou seja, 81,3 milhões de pessoas, e este número cresce a cada dia com a expansão de serviços de acesso de banda larga. Segundo o Ibope Nielsen, em 2009, eram 232 milhões de sites. Vivenciamos a transmutação de atividades e negócios, que antes eram feitos pessoalmente ou por telefone, para o mundo virtual. Transações bancárias como pagamento de contas e transferências são feitas via internetbank; compras são realizadas em verdadeiros magazines eletrônicos; notícias são lidas e assistidas em sites de conteúdo, e pesquisas de todo tipo começam no Google como se fosse um “oráculo”. Os números mostram essa realidade. Em 2010, quase um terço (33,2%) das transações comerciais B2C, entre varejo e consumidores, foram feitas eletronicamente. As transações B2B, entre empresas, alcançaram a casa dos 65,25% do total realizado, segundo dados da 13ª edição da Pesquisa FGV-EAESP.

Na mesma proporção crescem os ataques virtuais, ou cyberataques, como alguns preferem chamar. Com tantos valores e dados sigilosos circulando pela internet, os ataques também se profissionalizaram. A imagem do hacker adolescente que invadia sites para mostrar como era bom foi sendo substituída pela dos crackers, criminosos virtuais que atacam para obter vantagem econômica ou acesso a dados sigilosos, que vão de senhas e dados pessoais, a pesquisas corporativas e roubo de informações confidenciais do negócio. Há quem diga que a única maneira de não ser invadido é desconectar-se. Mas há outros caminhos para se proteger do risco de ataques que surgem no mundo web.

Estamos falando de uma sociedade digital e, por analogia, se em casa usamos cercas, alarmes, cachorro, vigilantes, grades, portões altos, câmeras etc., na Web não é diferente. Dependendo do valor do patrimônio que se tem a proteger, é necessário associar vários recursos para alcançar o grau de proporção que reduz o risco de perdas. Deste modo, na sociedade digital também é preciso integrar recursos de segurança diversos. Dispositivos tecnológicos de segurança precisam estar em sintonia com o risco que se deseja mitigar e, para isso, é preciso, antes de tudo, conhecer onde estão as vulnerabilidades dos sistemas, para antecipar-se aos riscos e garantir uma proteção maior.

A área mais crítica explorada nos ataques, já vista como “bola da vez” pelo setor da segurança da informação, mas que ainda tem sido posta para debaixo do tapete por algumas empresas, é a camada de aplicação web. Devido à forma como se contratam projetos de desenvolvimento com foco em requisitos funcionais e integração de tecnologia, enquanto a segurança é considerada assunto de infraestrutura, as aplicações web apresentam naturalmente um grande número de brechas de segurança, e é por aí que acontecem os primeiros passos do caminho dos ataques. A experiência mostra que é preciso lançar mão de algo mais que segurança de infraestrutura. Existem atualmente várias metodologias capazes de antecipar falhas de segurança exploráveis pelas aplicações web, mas é preciso escolher o melhor conjunto de esforços que permita alcançar os resultados esperados para proteger o negócio na internet de forma rápida e eficiente, pois a ação dos agentes maliciosos não é assim menos qualificada.

Nesse sentido, um caminho de melhor prática tem sido aliar alta tecnologia com serviços de especialistas em segurança, para integrar as áreas de infraestrutura, de desenvolvimento e de segurança da informação em um processo de melhoria contínua da segurança. Esta prática conduz ao desenvolvimento de competências internas e à otimização de processos, o que promove um avanço no grau de maturidade na gestão da segurança, preparando a empresa para enfrentar os desafios da sociedade digital. Tudo isso é possível alcançar a partir da identificação preventiva dos pontos de falha nas aplicações web, dentro de um ciclo completo de processo de gerenciamento de vulnerabilidades. Neste processo, varreduras de segurança programadas precisam ser realizadas para testar continuamente o ambiente das aplicações web, desde as entregas do time de desenvolvimento, até o monitoramento do risco de ataques durante seu uso. Deste modo, é possível identificar brechas e implementar ações preventivas de defesa que atuem em conjunto com outras práticas de segurança.

Na sociedade digital não basta investir em segurança de infraestrutura com dispositivos IDS/IPS, sistemas DLP, Firewall de rede e Web Application Firewall (WAF), se houver brechas de segurança exploráveis a partir das aplicações web. A metodologia de segurança de aplicações web baseada em um processo de gerenciamento de vulnerabilidades não substitui outras melhores práticas de segurança, mas complementa o conjunto de esforços da empresa para melhorar sua gestão da segurança da informação. O uso WAF, por exemplo, tem sido recomendado por especialistas em conjunto com o gerenciamento de vulnerabilidades no ciclo do desenvolvimento, pois permite bloquear ataques específicos (virtual patching) sobre falhas identificadas nas aplicações web enquanto a área de desenvolvimento ou de infraestrutura trabalham para reparar aquelas falhas.

Deve-se ressaltar que o “cybercrime” tem peculiaridades que estimulam, de certa forma, novas formas de ataque a cada dia. A sensação de impunidade no mundo virtual é maior, primeiramente por não ser necessário estar fisicamente no local do crime, pois é possível atacar websites em qualquer parte do mundo, e a rastreabilidade e a identificação do autor enfrentam, de um lado, formas criativas de uso de identidades falsas no mundo virtual, e de outro, entraves legais entre os países criados para garantir o sigilo e os direitos individuais dos usuários. Como não se pode barrar os que atacam, nem impedir todas as formas de ataque, a melhor saída é se proteger também de diversas formas, e, agora, muito mais que antes, incluir a camada das aplicações web nos esforços para melhorar continuamente a segurança neste novo ambiente de negócios, a sociedade digital.

Autor

Eduardo Lanna é diretor comercial da REDE SEGURA TECNOLOGIA, especializada em segurança de aplicações web.

Eduardo Lanna

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes