As camadas de segurança

O maior desafio da indústria mundial de software de segurança é, e talvez sempre tenha sido, prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. À proporção com que cresce a variedade de instrumentos digitais com a finalidade específica de se aproveitar de qualquer brecha, falha ou vulnerabilidade de uma corporação, aumenta a malha de soluções de segurança, com o intuito de dar uma cobertura cada vez mais forte e resistente para o usuário.

Por que um antivírus não é suficiente para deter um vírus, sendo que este é um dos principais problemas de segurança que ronda qualquer companhia com um mínimo de operação baseada em internet? Simplesmente porque os vírus de computador estão muito longe de ser o único vilão do crime digital, como também não são os mais fáceis de barrar, visto o nível de complexidade que esse tipo de ameaça vem ganhando rapidamente, a cada dia.

Mais do que simplesmente proteger a estação de trabalho, o PC do usuário, a companhia tem à sua frente a missão de garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada.

Mas antes de tratar da infra-estrutura de tecnologias que compreendem uma rede corporativa, é necessário avaliar, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo desse Programa de Segurança da Informação consiste em realizar o levantamento e a classificação dos ativos da empresa. Concluída essa primeira fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança.

O segundo quesito diz respeito a uma Política de Segurança, que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Esse trabalho normalmente é monitorado por um comitê específico, criado com membros interdepartamentais, junto dos quais serão identificados as responsabilidades, o posicionamento do grupo e sua área de atuação.

A infra-estrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Somente ao amarrar todos esses processos, é que o executivo de tecnologia parte para a fase de gerenciamento, passando pela análise de infra-estrutura da companhia, auditoria de processos, testes regulares de ataque a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes.

Por dentro da infra-estrutura

Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças.

No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas operações. Vamos a elas, de acordo com as suas funções:

Antivírus: faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. Basicamente, sua função está atrelada à ponta do processo, isto é, ao usuário que envia e recebe dados, mas por vezes pode estar no servidor ou até mesmo em um provedor de serviços. Os hackers já não são mais vândalos virtuais. Agora, eles criam vírus e worms que podem viver atrás dos Trojan Horses e que controlam a digitação dos usuários e procuram por informações sensíveis tais como as de cartões de crédito.

Balanceamento de carga: estas ferramentas estão relacionadas à capacidade de operar de cada servidor da empresa. Elas permitem que, em horários de grande utilização da rede, seja determinada a hierarquia do que trafega, bem como o equilíbrio da carga disseminada entre os servidores. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa.

Firewall: atua como barreiras e cumpre a função de controlar os acessos. São soluções que, uma vez estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa. Muitas vezes, recomenda-se a adoção do firewall para separar a intranet da companhia de seus clientes externos ou de servidores e serviços públicos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado. Como se baseia em uma análise binária para fazer a filtragem de dados, o firewall opera da mesma maneira, sem considerar variáveis externas. Assim, é vital que se estabeleça uma atualização constante de regras de filtragem para obter uma melhor performance.

Detector de Intrusão (IDS): ferramenta com função de monitorar o tráfego contínuo da rede, identificando ataques que estejam em execução. Como complemento do firewall, o Intrusion Detection System se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque etc.

Varredura de vulnerabilidades: produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores. O objetivo dessas ferramentas é encontrar brechas de sistemas ou configurações.

Rede Virtual Privada (VPN): uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais tunelados, fechados, utilizados para trafegar dados criptografados entre divisões de uma mesma companhia, parceiros de negócios etc.

Criptografia: é utilizada para garantir a confidencialidade das informações. Trata-se de uma codificação, uma cifragem que usa um processo de decifração para restaurar os dados ao seu formato original. As chaves criptográficas podem ser simétricas (privada) ou assimétricas (pública).

Autenticação: processo de identificação de pessoas, para disponibilizar acesso. A autenticação e conseqüente autorização de manipulação dos dados se baseiam em algo que o indivíduo sabe (uma senha, por exemplo), com algo que ele tem (dispositivos como tokens, cartões inteligentes, certificados digitais etc); e que ele é (leitura de íris, linhas das mãos etc).

Integradores: permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito. Aliás, que tem sido oferecido pela maior parte dos fornecedores de softwares de segurança. Pesquisas de mercado apontam que a falta de integração de produtos está entre as principais queixas de usuários quando o assunto é Segurança da Informação.

Sistemas de anti-spam: eliminam a maioria dos e-mails não socilitados.

Software de Backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los

Pela complexidade de cada uma das etapas que compreende um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação se baseando em projetos independentes. Uma vez que a companhia tenha completado o processo, entende-se que ela está pronta para gerenciar seu funcionamento. Análise de logs das ferramentas, backup de base de dados, auditoria, manutenção e atualização constante das ferramentas são os próximos passos.

Fontes consultadas:

Ivan Semkovski, CPM

Rodrigo Polydoro Oliva, E-trust

Delloitte Consulting

Bibliografia recomendada:

Segurança.com - Segredos e Mentiras sobre a proteção na vida digital

Bruce Schneier - Editora Campus