Ê


As ameaças virtuais estão cada vez mais constantes. Deixar de se proteger não
é mais possível, sob risco de perder não apenas a privacidade, mas também
dados sigilosos, o que pode causar sérios prejuízos financeiros. Conheça
as ×


   necessárias para defender sua organização e
previna-se.‘

‘ ‘

 ‘

‘‘


‘‘  ‘

‘ 
‘‘ ‘ ‘‘‘ ‘
‘‘ ‘‘

‘
‘

‘
‘
‘


‘‘


 ‘ ‘

 ‘‘‘


‘‘
‘ ‘
‘‘‘‘½



 ‘
‘‘ ‘
‘‘


‘
‘‘!!

‘ ‘‘ ‘
‘

"‘

‘
‘#‘‘‘
‘ ‘
‘‘‘‘$‘

‘
‘ 
‘
‘
 ‘‘‘
 ‘‘
‘ ‘ ‘
‘‘
‘
 ‘

ÿstá cada vez mais difícil manter em segurança as informações referentes às

empresas ou pessoas. O descuido nessa área pode causar prejuízos
significativos e, muitas vezes, irreversív eis. Mas, felizmente a maior parte das
empresas está consciente do perigo, e estamos vivendo um momento em que
praticamente todas elas têm alguma política de segurança. ‘
‘‘
‘ ‘ ‘

Aquele que protege os dados de sua empresa e zela para que

o ×  


  se cumpra é considerado um ótimo
‘

funcionário!‘
‘ ‘ ‘

A 
   
  refere-se à proteção requerida para proteger as
informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto às
corporativas quanto às pessoais. ÿntende-se por informação todo e qualquer
conteúdo ou dado que tenha valor para alguma organização ou pessoa. ÿla
pode estar guardada para uso restrito ou exposta ao público para consulta ou
aquisição.

Podem ser estabelecidas métricas para definição do nív el de segurança

existente e requerido. Dessa forma, são estabelecidas as bases para análise da
melhoria da situação de segurança existente. A segurança de uma determinada
informação pode ser afetada por fatores comportamentais e de uso de quem se
utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal
intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.

As principais propriedades que orientam a análise, o planejamento e a

implementação de uma política de segurança são: confidencialidade,
integridade e disponibilidade. ‘
a medida o uso de transações comerciais em que se desenvolve em todo o
mundo, por intermédio de redes eletrônicas públicas ou privadas, outras
propriedades são acrescentadas às primeiras, co mo legitimidade e
autenticidade. ‘

c
‘
O fato é que hoje, quer seja como princípio para troca de mercadorias,
segredos estratégicos, regras de mercado, dados operacionais, ou
como simplesmente resultado de pesquisas, a 
  , aliada à crescente
complexidad e do mercado, à forte concorrência e à velocidade imposta pela
modernização das relações corporativas, elevou seu posto na pirâmide
estratégica, tornando -se fator vital para seu sucesso ou fracasso. ‘

ÿntre as inúmeras tendências que explodiram em tecnologia , poucas

assumiram o status de imprescindível. Ao fazer uma comparação, ainda que os
sistemas dee  sejam de vital importância para a rotina corporativa,
ou que soluções de 
 Ê




e 

 
 permitam
aos negócios atingir patamares invejáveis de lucratividade, a Segurança da
Informação é a única que não pode faltar em hipótese alguma. É ela que
protege o bem maior das companhias, ou seja, a informação estratégica. ‘

^
 ^


Para entender a importância da proteç ão das informações, basta pensar no
prejuízo que causaria para os negócios a posse desses dados pela concorrência
ou por alguém mal -intencionado. Atualmente, o momento é de revisão de
processos e de avaliação de soluções que protejam cada vez mais as
informações corporativas, sem impactar fortemente na produtividade. O fato é
que hoje a 
   é considerada
  e já encabeça a lista de
preocupações de grandes empresas. ‘

‘‘

‘
‘
  ‘ 
%‘ ‘ 
‘ !
‘ ‘ 
‘ ‘| ‘
‘ ‘ 

‘ ‘ ‘ &
‘ ‘

 ‘ ‘ 
'

‘ ‘ ‘ 
‘ ‘ 
 ‘  ‘ 
‘ 
(

‘ ‘

‘‘‘
‘‘  ‘‘
‘
‘)‘ ‘

‘
‘ ‘
‘ ‘
*
#‘&‘

 ‘‘‘
#‘ ‘
‘‘‘
#‘ ‘
 ‘ ‘
‘

‘ ‘
‘
‘‘
‘

‘ ‘
  
‘‘ !‘ ‘ #‘ ‘

‘ 
#+‘ ‘ 
‘ ‘

‘‘‘
#‘‘‘ 
‘‘
 ‘)‘
 ‘, ‘‘‘‘‘
‘ !
‘ 

 ‘  ‘ 
‘ ‘ 
‘ 
‘ 
‘ 
 ‘ ‘ ‘ ‘ 
‘

‘‘‘#‘
‘‘

]

‘#‘

 ‘‘‘
‘ ‘*
#‘‘!‘‘
#‘‘‘‘

‘ ‘
 
  ‘
‘-‘
‘‘‘‘
‘‘
 ‘‘‘!‘
‘

‘ ‘‘
 ‘
‘
Gualquer companhia, desde as pequenas empresas com dois ou três PCs até
complexas organizações com atuação em diversos países sabem que em maior
ou menor grau a tecnologia é essencial para seu negócio. ÿntão, justamente
por ser vital é que esse bem não palpável traz consigo uma necessidade básica:
segurança.‘

O desafio não é tão simples. Pela própria natureza, embora muitas empresas de
TI estejam se esforçando para mudar essa r ealidade, a segurança da
informação é reativa. Isso significa que, tradicionalmente, primeiro verifica -se a
existência de um problema, como vírus, fraude, invasão, para depois encontrar
sua solução, vacina, investigação, correção de vulnerabilidade. ‘

 
  


  
Para muitos esse cenário pode causar pânico. Afinal, primeiro eleva -se a
informação ao patamar mais crítico da empresa, tornando -a peça principal do
jogo.‘

ÿm seguida, vê-se que esse dado, pela forma e processo com que é
disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um
garoto, que resolveu testar programas hackers disponibilizados na própria
Internet ou usurpado por funcionários e passado para a concorrência. ‘

ÿntretanto, já existem práticas e so luções tecnológicas suficientemente

eficientes para comprovar que a digitalização das transações corporativas não
transformou os negócios em uma "terra de ninguém". ‘

‘
ÿspecialistas de segurança reconhecem que afirmar ser 100% seguro é algo
precipitado e arriscado, mas apontam que
  
×
 
, × 
  e 

 formam um tripé resistente no
combate ao crime eletrônico. ‘

Pesquisas mostram que aumentam os investimentos na proteção dos dados. A

segurança é o maior desafio das soluções em TI para o sistema financeiro. ‘

    ^^ 
 ^ ^

Outro fenômeno que tem sido observado é a concentração dos serviços de
segurança pelo grupo dos dez maiores integradores mundiais. Isso reflete a
necessidade prioritária de as grandes corporações e governos moverem -se em
direção a fornecedores sólidos que possam atender as demandas com
flexibilidade, inteligência e rapidez. Também, elevando a importância dos
fatores de ética profissional, confiabilidade e independência, posicionando -se
para o gestor como o 9

9

.‘

§


×  
 
ÿxperiências corporativas demonstraram que apenas softwares não constróem
uma muralha resistente à crescente variedade de ameaças, falhas e riscos. É
preciso que as ações corporativas sejam direcionadas por um 
 
 


  , de forma que todos possam estar à frente de determinadas
situações de emergência e riscos com uma postura mais pró -ativa que reativa. ‘

ÿsse plano será responsável por verificar se a corporação está desti nando verba
suficiente para manter o nível de segurança alinhado às expectativas de
negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se
há uma falsa sensação de segurança. É muito comum haver grande disparidade
entre o cenário que se pensa ter e aquilo que realmente ele é. ‘

De forma mais ampla, esse plano deve considerar questões estratégicas, táticas
e operacionais de negócios, atrelando -as a três tipos básicos de risco: humano,
tecnológico e físico. Ao longo desse curso serão abordadas todas essas
variáveis, desde os tipos mais tradicionais de vírus que se disseminam pela
rede até as portas mais vulneráveis da empresa, passando pelo monitoramento
de sua rede, seus profissionais, soluções de TI, gestão e políticas de segurança. ‘
"


Se apenas uma máquina da empresa estiver infectada com qualquer tipo de

invasor e ela estiver conectada à rede da empresa, todo o sistema pode ser
danificado. ÿntão, dados podem ser perdidos e alterados.

- ‘.‘'‘/
‘
*
 #‘

O maior desafio da indústria mundial de 9  de segurança é prover

soluções no espaço de tempo mais curto possível, a partir da descoberta de
determinada ameaça ou problema. ‘
‘‘
Mas, foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz,
capaz de deter determinado vírus. Hoje os vírus de computador não são mais
os únicos vilões do crime digital. ‘
ão se trata mais de apenas proteger a estação de trabalho do funcionário. A
companhia deve garantir que o correio eletrônico enviado desse mesmo
computador passará pelo servidor da empresa, seguirá pela Internet (ou, em
certos casos, por uma rede privada virtual), chegará a um outro servidor, o
qual transmitirá a mensagem ao destinatário com a garantia de que se trata de
um conteúdo totalmente prot egido, sem carregar qualquer truque ou surpresa
inesperada.

  

    Ê
  
Contudo, essa ainda é apenas a ponta do iceberg. A Segurança da Informação
deve estar atrelada a um amplo   
 
    Ê
  ,
que se constitui de pelo menos três fases principais: ‘

c Realizar o levantamento e a classificação dos ativos da empresa. ‘

‘‘
] Avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas
e definir o que pode ser feito para aperfeiçoar a segurança.‘


‘‘
§ A infraestrutura de tecnologias, envolvendo tanto aquisição de
ferramentas quanto configuração e instalação de soluções, criação de projetos
específicos e recomendações de uso. ‘
‘‘
Apresentar um organograma consolidado das ferramentas e soluções que
compreendem a segurança de uma rede corporativa é algo até arriscado,
considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaças. ‘

o entanto, algumas ×
 

já fazem parte da rotina e do
amadurecimento tecnológico d e muitas organizações que, pela natureza de
seus negócios, compreenderam quanto são críticas são suas operações. ‘


Algumas dessas aplicações são: ‘

£‘ " : Faz a varredura de arquivos maliciosos disseminados pela

Internet ou correio eletrônico.

£‘ 


 
  : Ferramentas relacionadas à capacidade de
operar de cada servidor da empresa. Vale lembrar que um dos papeis da
segurança corporativa é garantir a disponibilidade da informação, algo
que pode ser comprometido se não houver acompanham ento preciso da
capacidade de processamento da empresa.

£‘ 
 

 
 Ê   Ê  

 
 : Como
complemento do  , o IDS se baseia em dados dinâmicos para
realizar sua varredura, como por exemplo, pacotes de dados com
comportamento suspeito, códigos de ataque, etc.

£‘ å
 



 
: Produtos que permitem à corporação
realizar verificações regulares em determinados componentes de sua
rede, como servidores e roteadores.

£‘ 

 å 
    å   

 
 Vma das
alternativas mais adotadas pelas empresas na atualidade, as VPs são
canais em forma de túnel, fechados, utilizados para o tráfego de dados
criptografados entre divisões de uma mesma companhia, parceiros de
negócios.

£‘  ×  
: Vtilizada para garantir a confidencialidade das
informações.

£‘ ´

 : Atua como uma barreira e cumpre a função de controlar os

acessos. O  l é um 9 e, mas também pode incorporar
um   especializado.

£‘ "
   
 


  
×
  × 
× 
 
 
 


 
    

× 

×
 
 




 ×  
   

 






  



 






 
 
   

o
 £‘ Ê
 
: Permitem centralizar o gerenciamento de diferentes
tecnologias que protegem as operações da companhia. Mais que uma
solução, trata-se de um conceito.

£‘ 
  : eliminam a maioria dos e -mails não solicitados.

£‘ ^ 



: São programas para realizar cópias dos dados
para que, em alguma situação de perda, quebra de equipamentos ou
incidentes inusitados, a empresa possa recuperá -los. Pela complexidade
de cada uma das etapas compreendidas em um projeto de segurança,
especialistas recomendam que a empresa desenvolva a implementação
baseando-se em projetos independentes.

´
 
  
O maior perigo para uma empresa, em relação à proteção de seus dados, é a
falsa sensação de segurança, pois pior do que não ter nenhum controle sobr e
ameaças, invasões e ataques é confiar cegamente em uma estrutura que não
seja capaz de impedir o surgimento de problemas. Por isso, os especialistas não
confiam apenas em uma solução baseada em 9  .‘

Guando se fala em tecnologia é necessário considerar três pilares do mesmo

tamanho, apoiados uns nos outros para suportar um peso muito maior. ‘
‘‘
ÿsses três pilares são as 

, os × 
  e as ×
 . ão
adianta fortalecer um deles, sem que todos os três não estejam equilibrados. ‘

"  
 
o entanto, ao se analisar a questão da Segurança da Informação, além da
importância relativa de cada um desses pilares, é preciso levar em conta um
outro patamar de relevância, pois estará sendo envolvida uma gama muito
grande de soluções d e inúmeros fornecedores. ‘

Vma metáfora comum entre os especialistas dá a dimensão exata de como

esses três pilares são importantes e complementares para uma atuação segura:
uma casa. Sua proteção é baseada em grades e trancas, para representar as
tecnologias, que depende dos seus moradores para que seja feita a rotina diária
de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. ‘
‘‘
A analogia dá conta da 

×
  entre as 
     

   e de como cada parte é fundamenta l para o bom desempenho da
proteção na corporação. ‘
‘

  
 
 ‘

A primeira parte trata do aspecto mais óbvio: as 


.‘
‘‘
ão há como criar uma estrutura de Segurança da Informação com política e
normas definidas sem soluções moderníssimas que cuidem da enormidade de
pragas que hoje infestam os computadores e a Internet. ‘
‘
‘ ‘

Os 
9 de rede, com soluções de segurança integradas, também

‘ precisam ser adotados. Dispositivos para o controle de 9, vetor de ‘

Ë
 muitas pragas da Internet e destacado entrave para a produtividade,
também podem ser alocados para dentro do chapéu da Segurança da
Informação.‘
Programas para controlar o acesso de funcionários, que bloqueiem as
visitas às páginas suspeitas e evitem sites com conteúdo malicioso,
também são destaques. Mas, antes da implementação da tecnologia, é
necessária a realização de uma consultoria que diagnostique as soluções
importantes. ‘
ÿssas inúmeras ferramentas, no entanto, geram outro problema: como
gerenciar toda essa estrutura dentro de u ma rotina corporativa que
demanda urgência e dificilmente está completamente dedicada à
segurança?‘
A melhor resposta está no gerenciamento unificado. A adoção de novas
ferramentas, como sistema operacional, ÿRP ou CRM, precisa de análise
dos pré-requisitos em segurança.‘
‘
‘ ‘

M
 

   Ê
  

ÿstabelecer procedimentos em transações corporativas, operar por meio de

regras de acesso e restrições, criar hierarquias de responsabilidades, métodos
de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um
padrão no que se refere à segurança da companhia, dentre outras, são
atribuições que culminaram na criação da função de  Gestor da Segurança da
Informação, CSO ±½ 
 cer.‘
‘‘
Todas as mudanças importantes ocorridas em segurança da informação
demandavam um novo profissional. O gestor de tecnologia não tinha
condições nem tempo para assumir toda essa área. A resposta foi a criação de
uma nova função dentro da companhia que organizasse e coordenasse as
iniciativas em segurança da informação na busca da eficiência e eficácia no
tema.‘
Apenas alguém com grande conhecimento tanto em negócios quanto em
segurança pode desenhar a estratégia de segurança da informação de maneira
competente, implementando política s e escolhendo as medidas apropriadas
para as necessidades de negócios, sem impactar na produtividade. ‘
‘‘
Além disso, ainda que a contratação de gestores de segurança esteja sendo
uma constante no mercado de grandes companhias, não se chegou a um
consenso sobre a natureza do seu cargo. ‘
Ú !"Ú

!#$
Vm dos pontos que permanecem sem uma definição precisa é a viabilidade de
combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento
entre essas áreas pode ser fatal para uma companhia no caso de um desastre
natural, como o furacão Katrina em 2005, que atingiu a cidade norte -americana
de ova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo
uma pane elétrica ou incêndio.
Algumas metas gerais para os gestores de segurança são:

Para atender aos requisitos de segurança lógica e física de redes globais cada
vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado,

6
o cenário apresenta ameaças crescentes e cada vez mais fatais, 
 9, vírus,
ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a
complexidade tecnológica crescem também e aumentam as atribuições e as
habilidades necessárias para exercer a função de CSO. ‘

Hoje um CSO tem de entend er de segurança, conhecer bem os negócios e

participar de todas as ações estratégicas da empresa. Mais do que um técnico,
ele deve ser definitivamente um gestor de negócios. As qualificações que
costumam ser exigidas para esse cargo são:

Geralmente, o CSO possui formação em Ciência da Computação, ÿngenharia ou

Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é
diminuir os riscos nas operações, com todas as consequências
positivas. Infelizmente, um profissional tão completo assim não é encontrado
facilmente no mercado. ‘

o Brasil, a demanda não chega a ser tão grande, mas esses profissionais já
são comuns em instituições financeiras, seguradoras, operadoras de
telecomunicação e empresas com operações na Internet. ÿspecialistas em
carreira recomendam que o CSO tenha atuação independente e não se reporte
ao CIO, mas diretamente à diretoria ou à presidência. ‘

Também, estatísticas recentes apontam para o crescimento dos empregos na

área de segurança. De acordo com estudo anual feito pel a IDC e patrocinado
pelo Ê  Ê  9 9 
 ½  
 ½9 , a
projeção de profissionais para a região das Américas passou de 647 mil em
2006 para 787 mil em 2009.

MÊ
O estudo M Ê  
 
   (GISWS) destaca que a
responsabilidade pela segurança da informação cresceu na hierarquia da gestão
e acabou chegando ao conselho diretor e ao CÿO, CISO ou CSO. ‘

‘‘
Guase 21% dos entrevistados na pesquisa disseram que seu CÿO agora é o
responsável final pel a segurança da informação, e 73% afirmaram que esta
tendência se manterá. ‘
‘
Cada vez mais é essencial que as organizações sejam pró -ativas na defesa de
seus ativos digitais. Desse modo, é preciso contar com profissionais
competentes para lidar com soluções de segurança complexas, requisitos
regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades
onerosas. ‘
‘‘
Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às
funções de negócio. Profissionais de segurança precisam apri morar suas
habilidades técnicas e de negócio para que possam exercer a função. ‘
½
 


A certificação de Segurança da Informação pode ser dependente e/ou
independente de fabricantes e é bem útil para o desenvolvimento da carreira.
As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por

ù
exemplo, são meios importantes para conseguir as habilidades necessárias ao
cargo. o entanto, elas precisam vir acompanhadas de certificações que
demonstrem uma ampla base de conhecimen to e experiência. As
certificações½    Ê  9 9 
  99 (CISSP)
e ½    Ê  9 9   (CISA) são ótimas opções.
Vma boa dica para quem pretende se profissionalizar na área de Segurança da
Informação é obter certificações de uma associação de segurança profissional
para ajudar a impulsionar a carreira.

Ao elaborar o plano de carreira as associações que oferecem serviços de

construção de carreira e educação continuada podem ajudar. o contato com
essas associações, o candidato a CSO pode explorar oportunidades para
demonstrar sua experiência na área, fazer parte de redes de comunicação com
colegas e ter acesso à pesquisa da indústria e oportunidades de trabalho
voluntário. ‘

‘‘
É importante ressaltar, també m, que certificações e experiência na área são
pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e
se tornar um CSO é necessário saber se comunicar, em termos de
negócios. Para isso, a proficiência técnica deve ser aliada à habilida de de
transmitir o valor do negócio. ‘
‘‘
O CSO deve ser capaz de explicar os benefícios da segurança, acerca
de retorno do investimento (ROI), e seu valor para melhorar a capacidade da
empresa em fechar negócios, além de deixar claro quais são as soluções
práticas que ela pode trazer para a resolução dos problemas. ‘
‘
‘

‘
‘ ‘
‘ ‘