• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
Porque a Segurança Técnica é a base da Gestão de Riscos
por Eduardo Vianna de Camargo Neves em 02/05/2009
Em qualquer mercado, sempre existe uma
buzzword
que toma a mídia especializada e asconversas dos profissionais nas rodas de bate papo e início de reuniões. Nos últimos meses,o conceito de Governança, Risco e
Compliance
(GRC) tem aparecido como uma dasprincipais iniciativas em Segurança da Informação, onde um
 framework
muito bemestruturado, ajuda as organizações a manterem o risco em seus ambientes dentro de níveistoleráveis por quem paga a conta.Isso é sensacional, e me deixa satisfeito de ver que a especialização que escolhi comocarreira, finalmente assume um papel estratégico. Porém, existe uma base que muitasvezes é esquecida e até desprezada pelas empresas e profissionais que cuidam dos seusprocessos de segurança: a segurança técnica. Apesar de ser a parte mais fundamental paraa manutenção de um ambiente seguro, este componente é continuamente colocado comoitem de segunda linha, ou que não precisa de pessoas especializadas para ser adequado eadministrado. Isto não é uma opinião pessoal, existem fatos que deixam claro o quantoprecisamos melhorar neste aspecto.
A Repetição do Erro
Focando somente em vulnerabilidades em Aplicações Web, os resultados do OWASP Top 10mostram que apesar de ter obtido em 2007 um crescimento de espantosos 43% em relaçãoao ano anterior e ter gerado mais de R$ 6
bilhões somente no Brasil, a “cara” do comércio
eletrônico é mantida de forma quase amadora.Um relatório publicado recentemente pela consultoria
White Hat Security
, concluiu que90% dos web sites estão vulneráveis a ataques diversos
1
. Este número pode até mesmo serum exagero ou uma tentativa de FUD, mas que tal analisarmos os resultados do OWASPTop 10 2007 que variam pouco desde 2004?
1
90% of public websites are vulnerable to attack em http://www.net-security.org/secworld.php?id=5939. 
 
CAMARGO NEVES RMSPORQUE A SEGURANÇA TÉCNICA É A BASE DA GESTÃO DE RISCOS PÁGINA 2
 A tabela abaixo deixa claro que pouca coisa mudou em três anos, e vulnerabilidades jáconhecidas e com processos corretivos publicados em diversas fontes na Internet,simplesmente não são corrigidas.
OWASP Top 10 2007 Ranking OWASP Top 10 2004Cross Site Scripting (XSS) 01 Unvalidated InputInjection Flaws 02 Broken Access ControlMalicious File Execution 03Broken Authentication and SessionManagementInsecure Direct Object Reference 04 Cross Site Scripting (XSS)Cross Site Request Forgery (CSRF) 05 Buffer OverflowsInformation Leakage and Improper ErrorHandling06 Injection FlawsBroken Authentication and SessionManagement07 Improper Error HandlingInsecure Cryptographic Storage 08 Insecure Cryptographic StorageInsecure Communications 09 Denial of ServiceFailure to restrict URL access 10 Insecure Configuration Management
 Além do que está apresentado na tabela, existem várias outras vulnerabilidades que sãofacilmente exploradas por
worms
,
crackers
amadores e
script kiddies
. E as consequências
podem ir desde uma simples “derrubada” no web
site da organização por algumas horas,até o acesso e a modificação de dados de clientes e/ou parceiros comerciais, como podeocorrer em alguns ambientes na exploração do
Cross Site Scripting
(XSS) ou do SQLInjection, que não figura no OWASP Top 10 mas é extremamente comum.
 
CAMARGO NEVES RMSPORQUE A SEGURANÇA TÉCNICA É A BASE DA GESTÃO DE RISCOS PÁGINA 3
O Fator Humano
Quando olhamos outra fonte confiável de informação sobre vulnerabilidades, podemosconcluir que o problema é gerado não só pela falta de cuidado dos fabricantes em lançarprodutos com configurações padronizadas que não são obrigatoriamente alteradas pelosseus clientes, e manter a odiosa prática de senhas padrão para quase tudo.Somado a isto tudo, temos os técnicos que não configuram de forma adequada os sistemaspelos quais são responsáveis, e os usuários desta infraestrutura que por diversos motivosfalham em seguir procedimentos de segurança, estejam estes estabelecidos ou não.Os dados apresentados no
SANS Top-20 2007 Security Risks
deixam claro que esta minhaafirmação está longe de ser uma conjectura. Web browsers vulneráveis a
spoofing
e scriptsmaliciosos, aplicações de escritório que oferecem muito mais que um usuário comumprecisa e saem de fábrica carregadas de furos de programação, sistemas operacionais queprecisam de correções sucessivas. A lista é longa, e quase todos os items estão diretamenteligados à falta de cuidado com a Segurança Técnica.Mas antes de apontar o dedo e culpar os fabricantes, técnico e usuários, é preciso entendera causa do problema e os motivos que levam estas listas a não se alterarem com o passardos anos. Estamos trabalhando da forma certa, quando o assunto é manter o ambiente comum nível de risco aceitável? A resposta é não. Estamos fazendo o que é necessário para os negócios andarem, e isto nãonecessariamente significa que eles fiquem seguros. Quantos projetos de TI você conheceque levaram a sério a etapa de avaliar a necessidade de controles, alocar recursos para queestes sejam comprados/desenvolvidos/implementados, e um processo de auditoriaindependente para revisar o produto final? Da minha parte, posso afirmar que de cada dez,talvez um pudesse ser encaixado nesta categoria. E você?
Buscando Alternativas
 A causa me parece muito clara, infelizmente ainda não existe na maioria das organizações oentendimento do que é segurança, e como ela pode ser atingida de forma estruturada.Existem pressões para o sistema de vendas ficar pronto, para o billing atender as mudançasde preço, para o CRM incluir novos cadastros, mas e para que tudo isso funcione comestabilidade?Pressões para um plano de continuidade fazer parte do processo, para o código dasaplicações ficar seguro contra ataques ou ainda para simplesmente treinar as pessoas ausarem os recursos de forma certa, existem? Manter o ambiente com um nível desegurança aceitável significa envolver toda a organização no processo, incluir uma cultura
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...