Porque a segurana tcnica a base da gesto de riscos

  • Published on
    05-Jul-2015

  • View
    777

  • Download
    3

Transcript

  • 1. Porque a Segurana Tcnica a base da Gesto de Riscos por Eduardo Vianna de Camargo Neves 02 de maio de 2009Em qualquer mercado, sempre existe uma buzzword que toma a mdia especializada e asconversas dos profissionais nas rodas de bate papo e incio de reunies. Nos ltimos meses, oconceito de Governana, Risco e Compliance (GRC) tem aparecido como uma das principaisiniciativas em Segurana da Informao, onde um framework muito bem estruturado, ajuda asorganizaes a manterem o risco em seus ambientes dentro de nveis tolerveis por quem pagaa conta.Isso sensacional, e me deixa satisfeito de ver que a especializao que escolhi como carreira,finalmente assume um papel estratgico. Porm, existe uma base que muitas vezes esquecidae at desprezada pelas empresas e profissionais que cuidam dos seus processos de segurana: asegurana tcnica. Apesar de ser a parte mais fundamental para a manuteno de um ambienteseguro, este componente continuamente colocado como item de segunda linha, ou que noprecisa de pessoas especializadas para ser adequado e administrado. Isto no uma opiniopessoal, existem fatos que deixam claro o quanto precisamos melhorar neste aspecto.

2. Camargo Neves RMSA Repetio do ErroFocando somente em vulnerabilidades em Aplicaes Web, os resultados do OWASP Top 10mostram que apesar de ter obtido em 2007 um crescimento de espantosos 43% em relao aoano anterior e ter gerado mais de R$ 6 bilhes somente no Brasil, a cara do comrcioeletrnico mantida de forma quase amadora.Um relatrio publicado recentemente pela consultoria White Hat Security, concluiu que 90% dos1web sites esto vulnerveis a ataques diversos . Este nmero pode at mesmo ser um exageroou uma tentativa de FUD, mas que tal analisarmos os resultados do OWASP Top 10 2007 quevariam pouco desde 2004?A tabela abaixo deixa claro que pouca coisa mudou em trs anos, e vulnerabilidades jconhecidas e com processos corretivos publicados em diversas fontes na Internet, simplesmenteno so corrigidas.OWASP Top 10 2007 RankingOWASP Top 10 2004Cross Site Scripting (XSS)01 Unvalidated Input Injection Flaws02Broken Access Control Broken Authentication and SessionMalicious File Execution03Management Insecure Direct Object Reference 04 Cross Site Scripting (XSS) Cross Site Request Forgery (CSRF)05 Buffer OverflowsInformation Leakage and Improper06 Injection FlawsError HandlingBroken Authentication and Session07 Improper Error Handling ManagementInsecure Cryptographic Storage08 Insecure Cryptographic Storage Insecure Communications09 Denial of ServiceFailure to restrict URL access10Insecure Configuration ManagementAlm do que est apresentado na tabela, existem vrias outras vulnerabilidades que sofacilmente exploradas por worms, crackers amadores e script kiddies. E as consequncias podemir desde uma simples derrubada no web site da organizao por algumas horas, at o acesso ea modificao de dados de clientes e/ou parceiros comerciais, como pode ocorrer em algunsambientes na explorao do Cross Site Scripting (XSS) ou do SQL Injection, que no figura noOWASP Top 10 mas extremamente comum.190% of public websites are vulnerable to attack em http://www.net-security.org/secworld.php?id=5939.Porque a Segurana Tcnica a base da Gesto de RiscosPgina 2 3. Camargo Neves RMSO Fator HumanoQuando olhamos outra fonte confivel de informao sobre vulnerabilidades, podemos concluirque o problema gerado no s pela falta de cuidado dos fabricantes em lanar produtos comconfiguraes padronizadas que no so obrigatoriamente alteradas pelos seus clientes, emanter a odiosa prtica de senhas padro para quase tudo.Somado a isto tudo, temos os tcnicos que no configuram de forma adequada os sistemaspelos quais so responsveis, e os usurios desta infraestrutura que por diversos motivos falhamem seguir procedimentos de segurana, estejam estes estabelecidos ou no.Os dados apresentados no SANS Top-20 2007 Security Risks deixam claro que esta minhaafirmao est longe de ser uma conjectura. Web browsers vulnerveis a spoofing e scriptsmaliciosos, aplicaes de escritrio que oferecem muito mais que um usurio comum precisa esaem de fbrica carregadas de furos de programao, sistemas operacionais que precisam decorrees sucessivas. A lista longa, e quase todos os items esto diretamente ligados falta decuidado com a Segurana Tcnica.Mas antes de apontar o dedo e culpar os fabricantes, tcnico e usurios, preciso entender acausa do problema e os motivos que levam estas listas a no se alterarem com o passar dosanos. Estamos trabalhando da forma certa, quando o assunto manter o ambiente com umnvel de risco aceitvel?A resposta no. Estamos fazendo o que necessrio para os negcios andarem, e isto nonecessariamente significa que eles fiquem seguros. Quantos projetos de TI voc conhece quelevaram a srio a etapa de avaliar a necessidade de controles, alocar recursos para que estessejam comprados/desenvolvidos/implementados, e um processo de auditoria independentepara revisar o produto final? Da minha parte, posso afirmar que de cada dez, talvez um pudesseser encaixado nesta categoria. E voc?Buscando AlternativasA causa me parece muito clara, infelizmente ainda no existe na maioria das organizaes oentendimento do que segurana, e como ela pode ser atingida de forma estruturada. Existempresses para o sistema de vendas ficar pronto, para o billing atender as mudanas de preo,para o CRM incluir novos cadastros, mas e para que tudo isso funcione com estabilidade?Presses para um plano de continuidade fazer parte do processo, para o cdigo das aplicaesficar seguro contra ataques ou ainda para simplesmente treinar as pessoas a usarem os recursosde forma certa, existem? Manter o ambiente com um nvel de segurana aceitvel significaenvolver toda a organizao no processo, incluir uma cultura segura na cabea das pessoas,ter o apoio do corpo executivo. Isso totalmente correto, mas difcil de conseguirrapidamente no s pela resistncia natural que existe, mas tambm pela falta de priorizaoque voc vai encontrar e pela dificuldade de conseguir fundos para isto.Porm, o primeiro passo de garantir a presena de controles de segurana tcnica, maisrpido, mais simples e envolve muito menos gente. Se voc trabalha em uma empresa depequeno ou mdio porte, talvez a sua dedicao e um apoio mnimo da sua chefia sejamsuficiente para mudar as coisas. Existem empresas especializadas em segurana tcnica, como aPorque a Segurana Tcnica a base da Gesto de RiscosPgina 3 4. Camargo Neves RMSminha, e existem ainda recursos na Internet que custam s o seu tempo de ler, entender eaplicar.OWASPO OWASP (Open Web Application Security Project) uma iniciativa formidvel que congregapessoas de todo o mundo em torno de um s trabalho: criar e disponibilizar prticas desegurana tcnica que possam ser usadas para criar um ambiente mais seguro. As pessoas quetrabalham no OWASP no ganham nada alm da satisfao de contribuir para a comunidade eaprender muito no processo. L voc ir encontrar recursos que podem ajudar a:Aprender sobre vulnerabilidades, ameaas, ataques e principalmente, como evitar tudo isso no ambiente sob sua responsabilidade.Conhecer como funcionam e aprender a evitar as vulnerabilidades mais comuns no mundo web, que so listadas no OWASP Top 10 e foram traduzidas pelo Chapter Brazil para o portugus.Incluir etapas de segurana no processo de desenvolvimento de software, ou mesmo revisar o que j tem pronto para descobrir se melhorias neste escopo so necessrias. O CLASP (Comprehensive, Lightweight Application Security Process), o OWASP Guide 2.0 e o OWASP Web Security Certification Criteria so recursos grtis, de excelente qualidade e que esto disponveis.SANSO SANS Institute bastante conhecido pelas certificaes tcnicas que prov, porm nem todossabem que o site deles um enorme repositrio de conhecimento, onde existe desde materialde leitura acadmica em segurana e guias para a criao de polticas de segurana, at formasde evitar as SANS Top 20.Um dos projetos que eles mantm que mais gosto, o Security Consensus OperationalReadiness Evaluation (SCORE). O SCORE tem como objetivo manter no site do SANS uma listade padres e checklists voltados para a manuteno de nveis mnimos de segurana. Aindaengatinhando, tem somente um documento disponvel e muito mais voltado ao mercado norte-americano, mas esto sendo desenvolvidos documentos para UNIX, handhelds e firewalls.Contribuir para esta iniciativa, sem dvida uma excelente forma de aprender e compartilhar oconhecimento com a comunidade.Porque a Segurana Tcnica a base da Gesto de RiscosPgina 4 5. Camargo Neves RMSConcluindoImpedir a ocorrncia de problemas em Segurana da Informao uma tarefa impossvel, queningum em s conscincia pode assumir de forma sria, porm, evitar que erros primriosgerem vulnerabilidades na infraestrutura de TI uma tarefa simples, que exige do corpo tcnicosomente boa vontade e capacidade mnima para administrar os controles de forma adequada.Talvez na prxima vez que o seu gerente quiser falar sobre GRC, Identity Management, RiskManagement e outros processos avanados em Segurana da Informao, seja bom lembrar queo bsico no pode ser esquecido e o corpo tcnico tem um papel to fundamental no suporteao processo de gesto como os demais. Seguir as recomendaes para evitar a ocorrncia dosproblemas listados no OWASP Top 10 e SANS Top 20 uma questo de bom senso, ecertamente ir evitar muitos problemas que custaro bem mais para serem resolvidos.Sobre o AutorEduardo V. C. Neves, CISSP, trabalha com Segurana da Informao desde 1998. Iniciou suacarreira profissional em uma das principais empresas de consultoria do mercado brasileiro,posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em2008 fundou uma das primeiras empresas nacionais especializada em Segurana de Aplicaes ehoje se dedica a prestar servios de consultoria nas prticas de Risk Management e BusinessContinuity. Serve ainda como voluntrio no OWASP e (ISC)2 e contribui para iniciativas deevangelizao nas prticas de proteo da informao para federaes e associaes no Brasil.Pode ser contatado pelo e-mail eduardo@camargoneves.com.Porque a Segurana Tcnica a base da Gesto de Riscos Pgina 5

Recommended

View more >