You are on page 1of 21

DOSSIER FEVEREIRO 2014

SEGURANA

DOSSIER | SEGURANA

3
7
9
10
11
14

MOBILIDADE RASGA VULNERABILIDADES

A adopo de dispositivos mveis no acesso aos sistemas de informao das


empresas ser o foco principal de desafios para os gestores de segurana, em
2014, de acordo com vrios responsveis do sector. As formas de lidar com o problema
variam.

BIOMETRIA GANHA IMPULSO

O domnio da biometria dever alargar-se aos dispositivos mveis, enquanto os


sistemas de encriptao de informao tendem a atrair maior procura.

BIG DATA DE DOIS GUMES

Os sistemas de Big Data criam necessidades no mbito da segurana. Mas


tambm podem revelar muita informao til para a gesto das proteces.

www.computerworld.com.pt
Av. da Repblica, N. 6, 7 Esq. 1050-191 Lisboa
Director Editorial: Pedro Fonseca pfonseca@computerworld.com.pt
Editor: Joo Paulo Nbrega jnobrega@computerworld.com.pt
Director Comercial e de Publicidade: Paulo Fernandes
pfernandes@computerworld.com.pt Telef. / Fax +351 213 303 791
Todos os direitos so reservados.

A IDG (International Data Group) o lder mundial em media, estudos de mercado e eventos na rea das tecnologias de informao (TI). Fundada em 1964, a IDG possui mais de
12.000 funcionrios em todo o mundo. As marcas IDG Computerworld, CIO, CFO World,
CSO, ChannelWorld, InfoWorld, Macworld, PC World e TechWorld atingem uma audincia
de 270 milhes de consumidores de tecnologia em mais de 90 pases, os quais representam 95% dos gastos mundiais em TI. A rede global de media da IDG inclui mais de 460
websites e 200 publicaes impressas, nos segmentos das tecnologias de negcio, de
consumo, entretenimento digital e videojogos. Anualmente, a IDG produz mais de 700
eventos e conferncias sobre as mais diversas reas tecnolgicas. Pode encontrar mais
informaes do grupo IDG em www.idg.com

CIBERCRIMINOSOS ESPECIALIZAM-SE
MAS DIVERSIFICAM OPERAES

Alguns grupos que operam actualmente na fraude bancria devero


continuar a avanar para esquemas mais rentveis, como os de sequestro de sistemas
(ransomware), segundo projeces da Kaspersky.

CSO PRECISAM DE PERCEBER MELHOR


AS AMEAAS

A modelao de ameaas parece ser a prtica mais adequada. As


organizaes precisam de quantificar os seus riscos o melhor que podem, de forma
peridica, at para evitar decises baseadas na emoo.

NEGAR A INSEGURANA J NO
SOCIALMENTE ACEITE

A necessidade de proteger as infra-estruturas crticas vista com maior


importncia em Portugal, assinala Lino Santos, director do CERT.PT. Mas os ndices de
ciberciminalidade no so baixos e h muito a corrigir no sistema judicial. preciso
ainda investir em tecnologia para os sistemas do Estado e na formao.

17

A EVOLUO DA SEGURANA FSICA

A segurana fsica j percorreu um longo caminho desde o advento da


fechadura e da chave. Mas em todas as suas alteraes, o maior aspecto
da evoluo da segurana fsica foi como se integrou no mundo digital.
Fevereiro 2014 | COMPUTERWORLD | 2

DOSSIER | SEGURANA

MOBILIDADE RASGA VULNERABILIDADES

ADOPO DE DISPOSITIVOS MVEIS


no acesso aos sistemas de informao
das empresas ser o foco principal de
desafios para os gestores de
segurana, em 2014, de acordo com vrios
responsveis do sector. As formas de lidar
com o problema variam.
A encriptao, biometria em
dispositivos, as solues para
polticas seguras de BYOD nas quais se incluem as
aplicaes de gesto de
dispositivos mveis -, so vistas
como reas de potencial
dinmica no segmento da
segurana durante 2014, por
vrios responsveis do sector
das TIC em Portugal. Diversos
factores esto a produzir
mudanas relevantes no quadro
dos sistemas da informao e
emergem lacunas merecedoras
de ateno.
Mas a necessidade de
suportar o acesso seguro e a
gesto da informao, em

contexto de mobilidade, estar


na base de grande parte das
preocupaes. Isso no quer
dizer que no haja outros focos,
associados conformidade com
regulamentos, por exemplo.
As solues assumem vrias
formas conforme os quadrantes
tecnolgicos dos fornecedores.
Rui Melo Biscaia, gestor de
desenvolvimento de produto da
Watchful, considera que a
indstria est num processo de
mudana de segurana
centrada na rede para
segurana centrada nos dados.
H vrios anos que o sector
fala desta transio. Mas
actualmente esta parece ter um

maior impulso.
Segundo este responsvel,
mudana est associada a
migrao para o paradigma da
cloud computing e a utilizao
de dispositivos mveis,
segundo estratgias de BYOD.
J Hugo Abreu, director-geral
da Oracle, destaca tambm a
utilizao das redes sociais ou
as aplicaes de Big Data como
elementos transformadores.
O sequestro de contas de
utilizador passar a ser mais
frequente e no apenas em
redes como o Twitter, mas
tambm em sites orientados a
negcios, como o LinkedIn,
confirma Rui Duro, gestor de
vendas da Check Point, em
Portugal.

De outra perspectiva, h os
riscos sobre a segurana
interna de dados sensveis.
Embora tenha estado sempre
presente os funcionrios so
reconhecidos como a maior
ameaa segurana dos dados
, nos ltimos tempos os
fornecedores de tecnologia tm
insistido neste tema,
incrementando os seus alertas.

Empregados como
instrumentos
A Check Point, por exemplo,
acha que se iro destacar a
engenharia social, as
campanhas de malware
dirigidas, as botnets ou as
ameaas internas, ou seja, os
ataques s empresas a partir de
dentro, usando os seus prprios
empregados como
instrumentos, antecipa Rui
Duro. Na perspectiva deste
responsvel, a engenharia
social atravs do email
permanecer como o mtodo
preferido para lanar ataques
de malware ou de phishing.
Fevereiro 2014 | COMPUTERWORLD | 3

DOSSIER | SEGURANA
Os ataques e episdios a
partir de dentro das empresas e
dirigidas a instalaes e infraestruturas pblicas, vo obrigar
a redefinir a abordagem
segurana, segmentando mais
as redes, aumentando a
inspeco de cdigo nocivo e
ataques dentro da rede da
mesma forma que at agora na
periferia, sugere.
Neste quadro, e de acordo
com a estratgia da Watchful, as
tecnologias que aplicam a
segurana e proteco da
informao diretamente nos
dados - tais como classificao
dinmica dos ficheiros, IAM, e
gesto de politicas associadas
aplicao de direitos sobre a
informao iro tornar-se mais
relevantes, defende Rui Melo
Biscaia, da Wachtful.

Dispositivos de contedo
cada vez mais valiosos
Entre os responsveis
consultados, as aplicaes e o
tema da gesto dos dispositivos
mveis obtm o maior nmero

de referncias. As solues de
Mobile Device Management
(MDM) e mais recentemente
as de Mobile Access
Management (MAM) tm
vindo a registar uma procura
crescente, sendo expectvel
que se venha a acentuar ainda
mais durante os prximos anos,
tendo em considerao a
exploso do trfego de dados
que se ir registar nas
plataformas mveis, considera
Hugo Abreu.
As aplicaes MAM
permitem disponibilizar um
"container" - ou contentor ou
rea virtual delimitada e
protegida -, no qual so alojadas
as verses de mobilidade das
aplicaes corporativas. O
acesso a essas aplicaes
controlado de forma
centralizada pelas organizaes,
e de acordo com as polticas de
segurana associadas a cada
utilizador, explica o
responsvel da Oracle.
tambm uma maneira de
estabelecer uma fronteira entre

a utilizao pessoal e o uso


profissional.
Os dispositivos mveis esto
na mira dos cibercriminosos
por serem ferramentas de
trabalho cada vez mais
populares e a sua utilizao
cada vez maior, alerta Patrcia
Esteves, directora de marketing
da Panda. So cada vez mais
valiosos por armazenarem
informaes confidenciais e
pessoais, como as passwords de
acesso, cdigos ou outros. O
investimento em MDM ser
um dos principais plos de
crescimento do segmento, em
2014, segundo esta responsvel.

Ameaas na mobilidade
aumentam
De uma perspectiva centrada
num contexto mais externo, a
segurana dos dispositivos
mveis, de tablets e
smartphones, ganha ainda
maior relevncia, segundo o
consultor da Kaspserky Labs,
Vicente Diaz. O nmero de
software nocivo destinado a

smartphones dever aumentar,


e surgiro novos troianos
bancrios, para mobilidade,
sem necessidade de basearem
em infeces prvias de PC,
prev.
No entanto, o director de
consultoria de segurana da
Unisys, Srgio S, considera
que a utilizao de
equipamentos pessoais para
acesso informao da
organizao, promete continuar
a crescer. E o cenrio agravase, teoricamente, com outra
tendncia: os proprietrios dos
equipamentos vo comear a
implantar os controlos de
segurana nos dispositivos.
Provavelmente iro pr em
causa ou limitar as capacidades
dos controlos de segurana da
organizao, alerta o consultor.
No admira por isso que o
director de tecnologia da
Microsoft, Miguel Caldas
preveja que a segurana e a
privacidade nas plataformas
mveis (ou a falta delas) vo
estar cada vez mais expostas.<
Fevereiro 2014 | COMPUTERWORLD | 4

D LIBERDADE E SEGURANA AOS


SEUS COLABORADORES PARA ESTAREM
SEMPRE LIGADOS ORGANIZAO
Bruno Berrones
Gesto de Produto Segurana PT

A mobilidade faz hoje parte da vida das


pessoas, integrando a sua vida pessoal
e prossional. A utilizao crescente de smart
devices, dentro e fora do local de trabalho,
mudou totalmente a forma como as pessoas
interagem e trabalham.

Neste contexto, gerir todo o


potencial das tecnologias mveis
passou a ser crucial para as
organizaes aumentarem a
sua produtividade e ecincia.
Para implementarem esta mudana,
as organizaes necessitam de denir como
ultrapassar alguns obstculos, tais como
a congurao e a gesto dos dispositivos,
a segurana e a proteo da informao
e a convivncia de dados corporativos com
dados pessoais no mesmo equipamento.
Existem muitas abordagens tecnolgicas
disponveis com vista integrao
dos dispositivos mveis no ambiente
corporativo. Porm, a diversidade de opes

diculta a escolha por parte das organizaes,


preocupadas em proteger o seu investimento
e denir solues para o futuro.
Neste impasse, os colaboradores continuam
a querer explorar todas as funcionalidades
dos seus equipamentos e os departamentos
de tecnologias de informao precisam de um
sistema robusto, de simples e rpida instalao,
que lhes permita garantir a segurana dos
dispositivos e dos dados mveis.
Ao possibilitarem uma implementao com
impacto mnimo nos sistemas de informao
da organizao, as solues de MDM (Mobile
Device Management) permitem proteger
e gerir, de forma integrada, todos
os terminais mveis e controlar o acesso
remoto rede corporativa atravs
da implementao transversal de polticas
de segurana, tais como encriptao
de dados, validao de aplicaes, controlo
de acesso a contedos, entre outras.
A gesto dos equipamentos passa a ser
efetuada centralmente pelo administrador
de sistemas que administra todos
os equipamentos mveis utilizados pelos
colaboradores, separando os contedos
pessoais dos empresariais.

Ao utilizarem as solues de MDM


na cloud, em modelo de Software
as a Service (SaaS), as organizaes
conseguem reduzir custos e usufruir
de um servio capaz de evoluir
medida das suas necessidades.
Sem implicar qualquer investimento inicial,
estas solues so implementadas online
em apenas alguns minutos e no requerem
a instalao de hardware. O servio
totalmente escalvel, possibilitando
aumentar ou diminuir a capacidade de forma
exvel, com um custo de utilizao por
terminal.
Na cloud, a gesto centralizada de todos
os terminais, aplicaes e servios mveis
pode ser realizada, em qualquer lugar,
a partir de uma consola de fcil utilizao,
acessvel atravs de um browser com acesso
internet. A plataforma MDM
e a informao passam a estar protegidas
num data center que garante todos
os aspetos crticos de segurana.
Simultaneamente, a plataforma operada
de forma totalmente integrada com
os sistemas corporativos internos,
tais como Active Directory e Entreprise Data,

permitindo a sua total assimilao pela


organizao.
Os gestores das organizaes deixam assim
de se preocupar com a gesto da tecnologia
e da segurana, podendo focar-se
em proporcionar mais mobilidade
s suas equipas com mais e melhores
ferramentas de trabalho.

Porqu a PT?
A PT ajuda as organizaes a desenvolverem
a sua estratgia de mobilidade de forma
exvel e sem preocupaes com tecnologia,
adequando os recursos s caractersticas
e evoluo da sua atividade. Para isso,
disponibiliza aplicaes mveis corporativas,
solues de gesto de mobilidade empresarial,
servios de gesto TI e capacidade
de banda larga com suporte na sua rede de
bra e 4G/LTE, com total cobertura nacional.
As Solues Cloud da PT esto suportadas
na maior rede de data centers do pas,
potenciando reduo de custos com as TI,
aumento de produtividade e mobilidade,
com elevados nveis de sustentabilidade.

DOSSIER | SEGURANA

BIOMETRIA GANHA IMPULSO

DOMNIO DA BIOMETRIA dever alargarse aos dispositivos mveis, enquanto os


sistemas de encriptao de informao
tendem a atrair maior procura.

A introduo da
autenticao por impresso
digital nos iPhone promete
revolucionar a indstria da
biometria e levar sua
massificao, de forma a
proteger os dispositivos e
dados, deixando para trs o
tradicional [modelo de]
utilizador/password, considera
Srgio S, da Unisys. Mas o
impulso dado rea da
biometria no dever
restringir-se a esse tipo de
autenticao baseada no corpo
dos utuilizadores. De acordo
com este responsvel, as
tecnologias de identificao
pela ris e o reconhecimento
facial j esto suficientemente
maduras.
No entanto, o desafio

tornar as novas abordagens de


autenticao com mltiplos
factores (com a substituio
desse modelo de
utilizador/password) o menos
impactante possvel, considera

Rui Melo Biscaia, da Watchful.


A viabilidade econmica
tambm uma questo
importante, capaz de ser
resolvida com a biometria
comportamental.
Srgio S considera que a
biometria nos dispositivos
mveis dever abrir caminho
para a sua utilizao noutros
servios online. Os contextos

A viabilidade
econmica
tambm uma
questo
importante
de e-commerce e de banca
online afiguram-se com
potencial para isso. Rui Melo
Biscaia lembra que o Facebook
e a Google tambm j
investiram em sistemas de

Fevereiro 2014 | COMPUTERWORLD | 7

DOSSIER | SEGURANA
autenticao com mltiplos
factores.

Caso Snowden favorece


encriptao
Depois do problema de
confiana levantado por
Snowden, veremos um reinvestimento em encriptao,
prev Miguel Caldas, da
Microsoft. Tambm Srgio S
considera que, possivelmente,
essa rea estar entre as de
forte crescimento.
O consultor norteamericano Edward Snowden
revelou em 2013 prticas de
vigilncia da National Security
Agency (NSA), que podem ter
resultado em espionagem
industrial.
O reforo dever acontecer,
principalmente, com a

Aumento
generalizado de
utilizao da
encriptao de
nvel elevado

informao e comunicaes
internas em que os controlos
eram menos apertados ou
inexistentes. No exterior,
embora j existisse,
provavelmente tambm ser
revisto, resultado da
diversidade dos meios de
comunicao e acesso
informao (dispositivos
mveis), concretiza o
responsvel da Unisys.
Na mesma linha, Miguel
Caldas prev um aumento
generalizado de utilizao da
encriptao de nvel elevado
nas comunicaes, tentando
evitar a intruso de servios de
informao apostados na
recolha macia de informao.
O director de tecnologia da
Microsoft assinala que novas
formas de encriptao
(nomeadamente a homomrfica)
devero concentrar, em 2014,
esforos de investigao. Os
maiores intervenientes no
mercado devero avanar j com
projectos-piloto, prev este
responsvel.<

O IMPACTO DO FIM DO XP

Ao referir o fim de vida do Windows XP como evento com potencial


de marcar a segurana das informaes, Miguel Caldas (Microsoft)
sugere a possibilidade de o fim do suporte ter impactos significativos em muitas organizaes. Mas, mais importante, Vicente Diaz
(Kaspersky) recorda que as empresas (e utilizadores) devero esperar um surto de infeces relevante, aps 8 de Abril de 2014, data
do fim generalizado de suporte ao XP pela Microsoft.
No obstante, o fabricante do sistema operativo j prometeu que a
mesma se manter at 14 de Julho de 2015 para os clientes empresariais utilizadores de vrias aplicaes de segurana, que vo continuar a receber as actualizaes para XP.<

Fevereiro 2014 | COMPUTERWORLD | 8

DOSSIER | SEGURANA

BIG DATA DE DOIS GUMES

S SISTEMAS DE BIG DATA criam


necessidades no mbito da segurana. Mas
tambm podem revelar muita informao
til para a gesto das proteces.

Um dos efeitos das solues


de Big Data alargarem o
conjunto de fontes de dados
dos sistemas de datawarehouse
a fontes externas, como as
redes sociais.
A utilizao de fontes
externas, e bem assim de
informao no estruturada, vai
obrigar implantao de
mecanismos transversais de
auditoria a todos estes tipos de
dados, e que sejam capazes de
recolher dados no estruturados
e estruturados, consolidando-os
e armazenando-os para
auditorias a realizar
posteriormente, considera
Hugo Abreu.
Paralelamente, lembra o
responsvel da Oracle, est a

aumentar a exigncia e a presso


por parte das autoridades
nacionais e organismos

internacionais (nomeadamente
da Comisso Europeia) sobre
garantias de privacidade dos
dados pessoais que esto na
posse de diferentes
organizaes, sejam elas
pblicas ou privadas.
O analista da Kaspersky,

CLOUD PROEMINENTE
NO DISASTER RECOVERY
As plataformas de cloud computing devero conquistar um lugar
proeminente nas estratgias para lidar com a preveno de perdas
de dados (Data Loss Prevention) e de Disaster Recovery, nas
previses de Miguel Caldas, da Microsoft.
J Hugo Abreu (Oracle), considera que as solues dos Portais de
Servio na Nuvem, com capacidade para self-service (nomeadamente
auto-registo, autenticao/SSO e autorizao) iro ser o facilitador
da democratizao deste modelo de computao.
Apesar disso, Rui Melo Biscaia, da Unisys, considera que a adopo
do modelo continuar a levar o seu tempo. As preocupaes
relacionadas com a segurana e privacidade dos dados so as
principais razes para isso. E as organizaes devero manter uma
abordagem hbrida.

Vicente Diaz, confirma que


devero surgir novas normas de
privacidade e isso vai atingir o
sector pblico, mas tambm as
empresas de infra-estrutura de
TI que tero de tornar mais
robustas as suas poltica de
segurana, servios e modelos de
regulao de negcios.
Rui Duro recorda um efeito
mais positivo das ferramentas de
Big Data, assinalando as
tremendas oportunidades que
as solues devero proporcionar
na anlise de ameaas,
envolvendo a correlao de
eventos, o reporte de informao
e a prpria conformidade com os
regulamentos.
Para este responsvel da
Check Point, a partilha de
informao sobre as ameaas de
forma colaborativa ser um
elemento-chave para garantir
uma maior segurana e
proteces mais actualizadas.
As plataformas unificadas de
segurana e a consolidao da
cloud computing sero outros
factores positivos, diz.<
Fevereiro 2014 | COMPUTERWORLD | 9

DOSSIER | SEGURANA

CIBERCRIMINOSOS ESPECIALIZAM-SE
MAS DIVERSIFICAM OPERAES

LGUNS GRUPOS que operam


actualmente na fraude bancria
devero continuar a avanar para
esquemas mais rentveis, como os de
sequestro de sistemas (ransomware),
segundo projeces da Kaspersky.
Haver alguma especializao
mas outras organizaes, de
acordo com o analista da
empresa, Vicente Diaz, vo
continuar a diversificar
negcios. Tendem a procurar
melhorar capacidades para tirar
proveito de outro tipo de
negcio fraudulento, diz.

Outras previses:

embora haja alguns

indicadores sobre a utilizao


de vrios dispositivos,
enquadrados na Internet das
Coisas para fins fraudulentos,
a Kasperksy acredita que ainda
esto longe de obter um

impacto muito grande. Mas


considera provvel a
ocorrncia de campanhas

especficas capazes de tirar


partido daqueles
equipamentos;
os hacktivistas tomaro
contacto com outros grupos
(principalmente
cibercriminosos j
estabelecidos) para aproveitar
tcticas e recursos;
os cdigos nocivos

direccionados aos utilizadores


de smartphones devem
aumentar;
o nmero de aplicaes de
phishing bancrio deve
crescer;
a fraude contra alvos de mdia
e pequena dimenso tende a
aumentar, incluindo os
pagamentos eletrnicos, lojas
online, sites de leiles e
sociedades financeiras;
o malware destinado a
explorar sistemas POS
especficos dever melhorar.<

AUSTERIDADE COMPROMETE INVESTIMENTOS EM SEGURANA


Em 2013, um dos principais focos de investimento foi na
visibilidade sobre eventos de segurana, para criar a
capacidade de identificar e corrigir desvios s regras de
segurana da organizao e tambm para assegurar a
conformidade regulamentar em alguns sectores de atividade,
revela Pedro Galvo, gestor snior de consultoria na IBM.
Na origem destes investimentos estiveram preocupaes
com a seguranas da informao, associadas adopo
das tecnologias de mobilidade. E a eficincia operacional
na gesto da segurana est a ganhar destaque.
As solues de segurana em mobilidade e de "security
intelligence" esto a atrair muita ateno por parte de

todas as organizaes, confirma Pedro Galvo. Mas o


tema da gesto tem mais a ver com a forma de
organizar a equipa e a forma de explorar a tecnologia
existente. As solues geridas parecem ser uma opo a
considerar e permitem um maior enfoque em reas de
segurana aplicacional por recursos internos.
No obstante a viso da IBM, segundo a qual muitas
empresas continuaram em 2013 a investir em segurana,
Patrcia Esteves, da Panda, afirma que com as diferentes
medidas de austeridade nos ltimos anos, muitas entidades
portuguesas no conseguem acompanhar a evoluo,
ficando com o parque informtico cada vez mais obsoleto.

Fevereiro 2014 | COMPUTERWORLD | 10

DOSSIER | SEGURANA

CSO PRECISAM DE PERCEBER


MELHOR AS AMEAAS

MODELAO DE AMEAAS parece


ser a prtica mais adequada. As
organizaes precisam de quantificar
os seus riscos o melhor que podem,
de forma peridica, at para evitar decises
baseadas na emoo.
Com a ocorrncias de
violaes significativas de
segurana a tornarem-se quase
dirias, torna-se claro que os
atacantes esto a conseguir
ficar um passo frente de
muitas organizaes. E
evidente que os profissionais de
segurana (CSO) e os CIO no
se esto a concentrar o
suficiente sobre as ameaas e
os dados mais importantes.
Considerem-se os resultados
do mais recente estudo
mundial e anual da
PricewaterhouseCoopers e da
revista CSO sobre a segurana

de informao. De acordo com


os mais de 9.600 executivos
entrevistados, as suas
organizaes tm aumentado
os gastos com segurana de TI,
mas o nmero de ataques a que
esto a resistir e os custos
inerentes aos mesmos so
crescentes.
Portanto, no to
surpreendente saber que
apenas 17% dos entrevistados
se preocupam em classificar o
seu uso comercial de dados,
cerca de 20% tm
procedimentos dedicados
proteco da propriedade

intelectual e 26% (nmero


surpreendentemente baixo)
para activos de estoque ou para
gesto de activos. Se as
empresas quiserem melhorar,
precisam de perceber com
maior preciso as ameaas reais
prontas a incidir sobre as suas
organizaes e as
vulnerabilidades de TI na sua
empresa. Qual a forma de
corrigir a situao? A
modelao de ameaas.
A realizao de avaliaes de
risco e de modelos de ameaas
no um conceito novo. "Todos
fazemos avaliaes de conduta
de risco e modelos de ameaas
nas nossas vidas diariamente,
se pensarmos bem.
Imaginamos quem poderia
querer roubar o nosso carro ou
assaltar a nossa casa", diz
Wendy Nather, directora de
pesquisa em segurana
empresarial, da 451 Research.
Nem sempre somos bons
nisso - por exemplo quando
temos mais medo de ataques de
tubaro do que de acidentes
Fevereiro 2014 | COMPUTERWORLD | 11

DOSSIER | SEGURANA
perto de casa. As pessoas
tendem a ficar mais nervosas
quando embarcam num avio,
do que quando se sentam atrs
do volante do seu carro.

Gesto emocional de riscos


As emoes assumem o
controlo, muitas vezes tambm
nas empresas. Para melhorar as
suas decises, as organizaes
precisam de quantificar os seus
riscos o melhor possvel.
A tomada de deciso baseada
na emoo deve ser evitada.
"Do ponto de vista
organizacional, importante
porque uma empresa precisa de
perceber quais so e o que so
essas ameaas, assim como
uma pessoa deve querer saber
quem so os seus concorrentes,
capazes de constituir uma
ameaa competitiva", diz Eric
Cowperthwaite, vicepresidente para a segurana
avanada e estratgia da Core
Security e ex-CISO da
Providence Health and
Services, em Renton (EUA).

Os bancos tm feito
a modelao de
ameaas de fraude
desde sempre
"Caso contrrio, o CEO fica
sempre inundado por toda a
fantasia das notcias
quotidianas", considera. A

modelao de ameaas no
um conceito novo para alguns
mercados verticais, tais como o
dos servios financeiros e das

infra-estruturas crticas ou do
fornecimento de servios
crticos. "Os bancos tm feito a
modelao de ameaas de
fraude desde sempre", diz
Nather.
"Porm, acho que, com o
passar do tempo, a indstria
aprendeu que tem um modelo
de ameaa maior do que apenas
a fraude", diz. Faz sentido, as
condies de negcio, as
ameaas e as vulnerabilidades
esto sempre a mudar.

ELEMENTOS NECESSRIOS VARIAM


Quais so os elementos necessrios para um modelo de
ameaa? Varia conforme envolva lderes empresariais, as
equipas de desenvolvimento, as de operaes ou as
equipas de segurana, na classificao da importncia
dos dados, das aplicaes e das infra-estruturas para o
negcio.
A equipa de segurana tambm pode identificar
vulnerabilidades dentro das aplicaes e dos sistema, e os
potenciais cibercriminosos que gostariam de atacar. Ao
listar estes intervenientes associados s ameaas,
importante no ficar a pensar que cada ameaa um risco
potencialmente significativo para a organizao.

"No se trata de ter defesas contra todas as ameaas


possveis", diz Wendy Nather, da 451 Research, "mas
apenas para aquelas mais provveis". Como que os cibercriminosos podero procurar atingir a sua organizao?
Bandos procura de informaes financeiras , hacktivistas
interessados em desfigurar o site da empresa, ou Estados
procura de segredos comerciais, como podero
provavelmente tentar alcanar os seus objectivos? Com
base numa avaliao de vulnerabilidades e de riscos, qual
a probabilidade de terem sucesso? Feche as maiores, mais
importantes lacunas associadas s maiores ameaas e
vulnerabilidades primeiro.

Fevereiro 2014 | COMPUTERWORLD | 12

DOSSIER | SEGURANA

Frequncia gera maior


preciso
por tudo isto que os
modelos de ameaas peridicas
so necessrias. Por exemplo,
quando se trata de bancos e
servios financeiros, Nather
explica que, quanto mais as
suas transaes de clientes
passaram para o online, os
bancos tiveram de ter em conta
os elementos de autenticao
dos seus clientes e como eles
podem ficar comprometidos,
ou mesmo como os seus
clientes podem tambm tentar
cometer fraudes.
Quando Cowperthwaite foi
CISO, fazia regularmente um
modelo de ameaas para obter
uma melhor compreenso dos
riscos subjacentes
organizao, e para acalmar as
reaces emocionais mais
comuns a notcias de quebras
de segurana. Queria tambm
poder dar melhor enfoque aos
seus gastos com segurana.
"O valor da modelao de
ameaas tanto para o CISO

como para a organizao


principalmente a capacidade de
gerir de forma mais eficaz e
eficiente os riscos", considera.
"A maioria dos programas de
segurana de hoje, pelo menos,
procura basear-se no risco, e
simplesmente, um risco uma
ameaa externa, interna ou
ambiental, associada a uma
vulnerabilidade".
"A modelao de ameaas
importante para determinar
aquelas capazes de atingir a
organizao, e saber o nvel de
preparao da mesma face a
essas ameaas especficas.
Caso contrrio, acaba-se por se

estar a tentar proteger a


organizao contra tudo", diz.
Cowperthwaite lembra a
altura quando a notcia em
torno de cibercriminosos
patrocinados por Estados
surgiram pela primeira vez,
tendo como alvo
principalmente as empresas de
tecnologia na poca. "Porque
reagiram emocionalmente,
toda a gente sau a correr
pensando que o cu estava a
cair", explica. "No estavam a
avaliar bem a possibilidade
daqueles ataques especficos
terem como alvo a sua
organizao. Nem procuraram

olhar para um modelo de


ameaas adequado sobre quem
os atacantes estavam
realmente a atacar, o que
queriam, e quais eram as suas
capacidades".
"No meu modelo de ameaa,
no considerei esses atacantes
como um risco devido ao
modelo da sua ameaa e
comportamento. Eu estava
numa organizao sem fins
lucrativos, e no parecamos
ter qualquer coisa de valor para
eles e por isso conclumos que
no eram um risco
significativo para ns", explica
Cowperthwaite.<

A modelao de ameaas importante


para determinar aquelas capazes de
atingir a organizao, e saber o nvel de
preparao da mesma face a essas
ameaas especficas. Caso contrrio,
acaba-se por se estar a tentar proteger a
organizao contra tudo
Fevereiro 2014 | COMPUTERWORLD | 13

DOSSIER | SEGURANA

NEGAR A INSEGURANA J
NO SOCIALMENTE ACEITE

NECESSIDADE DE PROTEGER as
infra-estruturas crticas vista com
maior importncia em Portugal,
assinala Lino Santos, director do
CERT.PT. Mas os ndices de
ciberciminalidade no so baixos e h muito
a corrigir no sistema judicial. preciso ainda
investir em tecnologia para os sistemas do
Estado e na formao.
Portugal est num patamar
diferente quanto atitude
assumida no tema da
segurana dos sistemas de
informao, considera o
director do CERT.PT, Lino
Santos, mas falta ainda
corrigir muitos aspectos, tanto
na tecnologia como nas
pessoas e no sistema judicial,
que tm de ser melhor
capacitados.

Apesar de o espao
portugus ser uma zona-alvo
secundria, os ndices de
ciberciminalidade no so
baixos. Sem arriscar previses,
confirma o potencial de
vulnerabilidades associado aos
dispositivos mveis, e
sublinha a crescente ameaa
resultante do aproveitamento
de recursos por parte dos
criminosos: h uma melhor

LINO SANTOS
DIRECTOR DO CERT.PT

conjugao de velhas tcnicas


com a capacidade de
processamento e de
transmisso.
Computerworld - Alguns
analistas dizem que 2014 pode
ser um ano particularmente
activo na cibercriminalidade.
Concorda? Faz sentido para o
espao portugus?

Lino Santos - No consigo


responder directamente
pergunta. Era preciso uma
bola de cristal. Se analisarmos
o ponto de vista da motivao,
Portugal continuar a ser um
alvo secundrio.
Temos menos dinheiro e,
considerando os custos de
localizao como a lngua,
somos pequenos, quando
comparados com outros
potenciais alvos. Deve no
entanto ser excluda desta
concluso os muitos grupos
dedicados ao cibercrime de
brasileiros.
Do ponto de vista da
capacidade e apesar dos
espetaculares incidentes
noticiados nos ltimos anos,
tecnicamente pouco ou nada
de novo surgiu no quadro dos
vectores de ataque. A ltima
grande novidade foi, talvez, o
aparecimento de malware
polimrfico. J l vo alguns
anos.
O que temos visto uma
cada vez uma melhor
Fevereiro 2014 | COMPUTERWORLD | 14

DOSSIER | SEGURANA
conjugao de velhas tcnicas
aliada ao aumento de
capacidade de processamento
e de transmisso. Portanto, a
no ser que surja um novo
vector de ataque que altere
radicalmente o quadro de
ameaa, no consigo prever
grandes alteraes para 2014.
No quero com isto dizer
que os nveis de cibercriminalidade so baixos.
Longe disso. Ainda h um
longo caminho a percorrer na
consciencializao e na
formao das pessoas, no
investimento em tecnologia e
processos de segurana da
informao nas empresas e no
Estado, bem como na
capacitao do nosso sistema
judicial na prossecuo deste
tipo de crimes.
CW - Vrios fabricantes tm
alertado para a emergncia de
malware dirigido a plataformas
de mobilidade e diz-se que em
2014 os ataques a dispositivos
mveis ter um grande

incremento. Outros alertam


para os riscos inerentes
Internet das Coisas e para as
ameaas a infra-estruturas
crticas. Que relevncia tm,
para o tecido empresarial
portugus, estas duas supostas
tendncias?
LS - um facto que ao
longo dos ltimos anos as
empresas de solues de
segurana tm vindo a
projectar este tipo de
tendncias: o crescimento da
ciberconflitualidade nos
dispositivos mveis, infraestruturas crticas, cloud
computing e, mais
recentemente, na Internet das
coisas.
Colocando de parte que
estas mesmas empresas so as
principais beneficirias deste
discurso, natural que os
ataques visando dispositivos
mveis pegando aqui neste
exemplo em particular
apresentem um maior
crescimento. Por um lado, a
tecnologia de smartphones

mais recente do que por


exemplo so os computadores
pessoais ou os computadores
portteis.
Por outro lado, os
mecanismos e processos de
segurana desenvolvidos para
estes dispositivos no
apresentam o grau de
maturidade j atingido por
outro tipo de tecnologias.
Acresce em cima destes
factores o chamado "time-tomarket" um dos maiores
inimigos da segurana ,
muito mais curto nos
smartphones do que noutro
tipo de dispositivos.
Em suma, os dispositivos
mveis so mais vulnerveis e
naturalmente o nmero de
ataques crescer na medida da
sua utilizao e do valor da
informao neles armazenada
ou transmitida.
Outro departamento o
da segurana das infraestruturas crticas. No plano
internacional temos vindo a
assistir entrada de actores

Objectivos
do CERT.PT
Os objectivos do CERT.PT
so, a par da gesto
adequada da rede CSIRT:
estabelecer a confiana
entre responsveis pela
segurana informtica
para criar um ambiente de
cooperao e assistncia
mtua no tratamento de
incidentes;
criar indicadores e
informao estatstica
nacional sobre incidentes
de segurana para
identificar contramedidas;
implantar instrumentos de
preveno e resposta
rpida num cenrio de
incidente de grande
dimenso;
promover uma cultura de
segurana em Portugal.

Fevereiro 2014 | COMPUTERWORLD | 15

DOSSIER | SEGURANA

Em Portugal,
"sentimos um
incremento
no nmero de
ataques do
tipo negao
de servio e
um
maior
nmero de
casos de
ransomware"

estatais e ao aumento das


capacidades de actores no
estatais. Convm, no entanto,
realar o caminho percorrido
nesta matria em Portugal.
Nos ltimos anos foi feito, por
vrias entidades oficiais e
outras organizaes, um
grande esforo de alerta e
consciencializao relativa a
este assunto junto dos
responsveis pela
administrao e operao de
infra-estruturas crticas
nacionais.
O facto que, hoje em dia,
j no socialmente aceite o
discurso de negao do
problema como acontecia h
muito poucos anos; muitos
operadores criaram
capacidades de resposta a
incidentes, bem como planos
de continuidade de negcio;
trabalham em redes formais
ou informais, nacionais ou
internacionais, para melhorar
as suas capacidades. Ou seja,
estamos num patamar de
maturidade muito diferente

daquele onde estvamos h


poucos anos atrs.
CW - Quais foram as principais
tendncias de 2013, em
Portugal, em termos de
cibercriminalidade e segurana
da informao nas empresas?
LS - Contamos terminar o
relatrio de 2013 em breve,
mas empiricamente diria que
dos eventos e incidentes de
segurana tratados pelo
CERT.PT, sentimos um
incremento no nmero de
ataques do tipo negao de
servio (como vtimas e como
origem dos ataques) e um
maior nmero de casos de
ransomware (nestes como
vtimas).
CW - Como evoluiu o grau de
sofisticao das ameaas
detectadas em Portugal? Tende
a haver um aumento muito
grande em 2014?
LS - No temos esses dados.
No trabalhamos as ameaas,
trabalhamos os incidentes.<

A rede SIRT
A Rede Nacional de
Computer Security Incident
Response Services (CSIRT) ou equipas de servios de
resposta a incidentes de
segurana informtica
inclui em Portugal as
seguintes entidades:
- Caboviso /Oni
Communications
- CC-CRISI (EMGFA);
- CEM (Angra do Herosmo);
- CERT.PT;
- CGD;
- Claranet;
- Dognaedis;
- EDP;
- FEUP;
- IGFEJ;
- Millenium BCP;
- NFSI;
- PT;
- PT Servidor;
- Refer;
- Sonaecom;
- UTIS;
- Vodafone.
Fevereiro 2014 | COMPUTERWORLD | 16

DOSSIER | SEGURANA

A EVOLUO DA SEGURANA FSICA

SEGURANA FSICA j percorreu um


longo caminho desde o advento da
fechadura e da chave. Mas em todas
as suas alteraes, o maior aspecto da
evoluo da segurana fsica foi como se
integrou no mundo digital.
"O que estamos a ver a
fuso de espaos electrnicos e
fsicos", diz Chris Nickerson,
fundador e consultor-chefe da
Lares Consulting. "J estamos
longe da simples segurana
fsica para trabalhar com os
lados sociais e electrnicos e
certificar de que uma pessoa
quem diz ser".
Mas com a evoluo surge
um novo conjunto de riscos e
vulnerabilidades, dos quais
apenas alguns conseguimos
aprender a melhorar. Para que
a segurana fsica funcione,
precisamos de compreender as
novas tecnologias que nelas

estamos a incorporar. "Fizemos


grandes avanos, mas temos
vindo a adopt-las sem as
aprender, de modo que nos
expusemos de uma forma que
no tnhamos antes na
segurana fsica", diz Nickerson

CSO. "O risco entender o


que se est a fazer, no como.
Se sabe o que est a usar e o usa
bem, ento no h nenhum
risco".
O que se segue so oito dos
desenvolvimentos mais
significativos que ocorreram ao
longo do tempo no campo da
segurana fsica, e como alguns
deles ainda esto a ser
aprefeioados.

1. Cartes RFID
A maioria dos edifcios
incorpora actualmente de
alguma forma cartes RFID. Os
cartes, que contm duas peas
cruciais de informao - o
cdigo do site e o crach de
identificao pessoal - permite
aos funcionrios passar o seu
carto prximo de um scanner,
para ter acesso a certas reas.
"So bons para saber quem est
a entrar e durante quanto
tempo", diz Nickerson. "O
RFID tem algumas
vulnerabilidades mas ainda
melhor do que as chaves reais,
Fevereiro 2014 | COMPUTERWORLD | 17

DOSSIER | SEGURANA
onde se consegue obter uma
cpia de uma chave-mestra".
Na realidade, os cartes
RFID esto cheios de falhas de
segurana. Eles so facilmente
clonveis, por exemplo, e
ataques de fora bruta podem
ser usados para aproveitar o
facto de que os nmeros de
identificao do carto so
tipicamente incrementais
(embora o outro aspecto, o
cdigo local, seja mais secreto).
"A maioria das aplicaes Web
'inteligente' o suficiente para
bloquear [o acesso, aps vrias
tentativa fracassadas]", diz
Nickerson. "Mas o RFID? Pode
usar fora bruta durante todo o
dia. A maioria dos sistemas
nem sequer o avisa se algum
tentou um milho de vezes".
Alm disso, algumas
empresas colocam os seus
sistemas RFID em
fornecedores externos de
cloud. Tudo o que um atacante
tem de fazer aceder a esse
fornecedor e, de repente, tem
acesso a todos os edifcios que

usam o servio em nuvem.


"Estes so os sistemas de acesso
electrnico padronizados que,
ao terem algum tipo de
servidores centralizados,
podem 'falar' com todos os
leitores" [dos cartes], refere
Nickerson. "Num par de horas,
conseguem-se encontrar todas
as formas de abrir as portas".

2. Videovigilncia
A videovigilncia j existe h
algum tempo mas melhorou
drasticamente desde a sua
criao. A videovigilncia
agora sofisticada o suficiente
para incorporar
reconhecimento facial e
videocmaras com maior
qualidade esto a criar imagens
com maior resoluo. "A alta
definio [HD] agora a norma
e acima da HD est a tornar-se
normal", diz Jay Hauhn, CTO e
vice-presidente das relaes
com a indstria da Tyco
Integrated Security. "As
cmaras de megapixis na
video-segurana tm uma

muito boa imagem".


Mas com isto vem o grande
desafio de fazer "streaming" em
alta qualidade dessas imagens
nas redes. "A largura de banda
no amiga quando se est a
lidar com vdeo", diz Hauhn.
"Pelo que tambm estamos a
aproveitar os avanos da
tecnologia no mundo do
consumidores e a us-la para
conseguir distribuir mais
vdeo".

3. Sistemas de segurana
de permetro
J no preciso depender
exclusivamente de muros ou
cercas para guardar o
permetro de uma instalao,
graas aos avanos em sistemas

de monitorizao de
permetros. Alguns sistemas j
utilizam microondas ou ondas
de rdio para estabelecer um
permetro e podem alertar as
equipas de segurana quando a
rea protegida est a ser
invadida. "Pode-se ver quem
est do lado de fora da rea e
ser alertado de antemo", diz
Nickerson. " um enorme
avano para o alerta precoce".

4. Reconhecimento da ris
Num equilbrio entre ser
preciso e no-invasivo, o
reconhecimento de ris permite
que as equipas de segurana
possam identificar as pessoas
com base apenas no padro do
seu olho. "Sou um grande f do
reconhecimento da ris, dado
que os padres so mais nicos
do que o DNA", diz Hauhn. "As
rises so realmente boas para
serem registadas por uma
cmara de alta resoluo
distncia".
Como o reconhecimento
facial, possvel contornar a
Fevereiro 2014 | COMPUTERWORLD | 18

DOSSIER | SEGURANA
tecnologia de reconhecimento
da ris com uma fotografia do
olho de outra pessoa, mas
Hauhn sustenta que no se
to facilmente enganado.
Afinal, como reala Hauhn,
"tente obter uma boa imagem
de um olho e fazer isso".

5. Agentes de segurana e
cartes de identificao
com fotografia
H algo a ser dito sobre as
boas e antigas tcnicas de
vigilncia com os dois olhos do
ser humano. Com o uso de
cartes RFID e os sistemas de
acesso colocados em entidades
externas, o elemento humano
da segurana est a ficar
esquecido. Saber quem acede
ao edifcio durante anos - ou,
talvez, perceber que uma
pessoa est a usar um carto de
identificao com uma foto de
outra pessoa simplesmente
porque o seu rosto no o do
carto - so coisas que uma
mquina no pode fazer, mas
um ser humano sim.

"Esta relao com o


ambiente o que se est a
perder", diz Nickerson.
"Imagine que trabalhei durante
10 anos na recepo de um
hotel. Conheo o seu rosto.
Posso at ser capaz de dizer que
voc no deveria estar l com
base num 'feeling'. Muito disso
est a ficar perdido".

6. Segurana ligada a
dispositivos mveis
No raro nos dias de hoje
ter sistemas de segurana especialmente sistemas de
segurana domsticos - ligados
a um dispositivo mvel.
Sensores inteligentes, trancas
de segurana sem fios e
sistemas remotos de
controlo/manuteno podem
ser controlados pelo dispositivo
mvel do utilizador. Mas
alguns dizem que, com uma tal

convenincia, vem a segurana


comprometida.
"Embora todos sejam formas
convenientes e agradveis para
manter a sua casa 'segura', ao
mesmo tempo tudo atravs de
um telemvel, um dos
principais alvos actuais dos
ladres, hackers, criadores de
malware, etc.", diz Ryan Jones,
consultor na Lares Consulting.
Embora os atacantes possam
capturar fisicamente o
telemvel para obter as "chaves
do castelo", "as pessoas parecem
no se conseguirem ajudar ao
perderem os seus telefones ou a
t-los roubados", diz Jones.
"Antecipo um problema com
assustar uma pessoa com o
roubo do seu telemvel e
desbloquear a sua casa e
desligar o alarme", acrescenta.
No curto prazo, Jones sugere
que as pessoas tomem medidas
de segurana simples para
protegerem os seus sistemas de
segurana, como o uso de
bloqueio no telefone, no caso
dele ser perdido ou roubado.

Mas, a longo prazo, ser preciso


um melhor controlo de
qualidade. "Tem-se esses
executivos e celebridades que
no bloqueiam os seus
telefones, porque
inconveniente, mas as pessoas
precisam realmente de usar [os
bloqueios no telemvel]", diz.
"A longo prazo... quanto mais
pessoas os comprarem, haver
provavelmente testes mais
adequados feitos antes de
serem colocados no mercado".

7. "Scanning" de
impresses digitais
A digitalizao de
impresses digitais no s eleva
o nvel de segurana no ponto
de acesso, exigindo
identificao que nica para
cada pessoa, como tambm
permite que os sistemas de
segurana possam manter o
controlo de quem est a entrar
num edifcio. "Ele apenas
capaz de dizer que [essa
pessoa] foi por esta porta nesse
momento - h uma enorme
Fevereiro 2014 | COMPUTERWORLD | 19

DOSSIER | SEGURANA
diferena entre isso que e '
uma chave mas realmente no
tenho ideia de quem era o seu
proprietrio'", diz Nickerson. "
o maior avano que temos".
A tecnologia de "scanning"
de impresses digitais est
longe de ser perfeita, no
entanto, porque as impresses
digitais podem ser transferidas
e copiadas usando materiais
gelatinosos, por exemplo. Mas,
como aponta Nickerson, os
fabricantes de sistemas de
segurana biomtricos tm, por
qualquer razo, feito grandes
avanos na melhoria das suas
falhas. "Os fabricantes
comearam a colocar sensores

de calor... e de presso e
mapeamento de calor no
scanner", diz. "E agora o exame
tambm tem que combinar a
estrutura venosa da pessoa. So
estes mltiplos factores de
autenticao que fizeram to
grande a biometria".

8. Reconhecimento facial
Parte dos avanos que tm
sido feitos na videovigilncia
a codificao do
reconhecimento facial. O
reconhecimento facial tornouse to avanado que no s
pode ser usado para verificar se
algum quem diz ser como
tambm pode ser usado para

Apesar das
falhas, a
tecnologia est
avanada o
suficiente para
ser fivel
escolher uma pessoa para a
retirar para fora de uma
multido.
"Pode-se usar codificao das
aces faciais, ritmo cardaco e
alteraes na retina ocular para
determinar enganos", diz
Nickerson, que usou o exemplo
de sistemas de codificao de
reconhecimento facial a serem
usados em casinos em Las
Vegas (EUA) para detectar
batoteiros nas mesas ou para os
manter fora do edifcio por
completo. "A lei em Vegas
permite fotografar imagens
genricas de pessoas e usar a
monitorizao em tempo real
nos casinos para essas
ameaas", acrescenta.
Alguns especialistas
argumentam que o
reconhecimento facial tem um

longo caminho a percorrer. Os


que tentam passar
despercebidos podem
simplesmente baixar os seus
chapus ou cobrir os seus
rostos, enquanto os sistemas de
verificao podem ser
facilmente enganados por uma
imagem do rosto de uma
pessoa.
Hauhn usa o exemplo de
como a polcia na Flrida usou
a videovigilncia com
reconhecimento facial de todos
os que tinham mandados
judiciais naquele estado,
quando foi palco do evento
desportivo Super Bowl h cerca
de 10 anos. Ele salientou que
havia milhares de falsos
positivos, mas Nickerson
sustenta que, apesar das falhas,
a tecnologia est avanada o
suficiente para ser fivel.
"Em termos de vigilncia e
monitorizao de entradas, tem
melhorado exponencialmente a
quantidade de controlo e de
preciso que temos", diz
Nickerson.<
Fevereiro 2014 | COMPUTERWORLD | 20