Belo Horizonte 2013 Paolo Bordoni Caldeira gestão de risco



Yüklə 184,19 Kb.
səhifə9/10
tarix04.11.2017
ölçüsü184,19 Kb.
#30151
1   2   3   4   5   6   7   8   9   10

4.7Contra medidas

Dentre as contra medidas mais conhecidas estariam:




  • Uso de Firewall.

  • Uso de antivírus.

  • Atualização de Patch de correção de sistemas.

  • IDS (Intrusion Detection System) – Sistema de Detecção de Intrusão.

  • IPS (Intrusion Prevention System) – Sistema de Prevenção de Intrusão.

  • Controles de Acessos Físicos.

  • VLANs.

  • Acessos Criptografados.

  • Conscientização, treinamento dos stakeholders.

  • Processos de Segurança bem definidos.

  • Ocultamente de redes wireless.

  • Sistemas de Proteção de Acesso: com NAP da Microsoft e NAC da Cisco.

  • Métodos seguros de descarte.

Tendo por base, principalmente, as ameaças acima e começando pelo engenharia social, de nada vale termos Processos de Segurança e o mais modernos dos sistemas de segurança se não houver conscientização e treinamento do fator humano envolvido. Esta conscientização deve estar arregrada a cultura da empresa, acompanhando todo o processo de ciclo de vida dos stakeholders dentro da empresa.


Imaginemos o seguinte cenário, sabemos que a empresa “A” possui fortes mecanismos de segurança contra ameaças externas e possui funcionários despreparados e mecanismos básicos de segurança para o ambiente interno. Vamos supor que um agente mal intencionado queira obter informações que esta empresa detém. Este agente poderia incorporar ao quadro de funcionário da empresa e assim ter acesso a informação que quisesse.
Procedimentos técnicos de segurança como, ocultamento do SSID da rede wireless e sua troca periódica dificuldade que o atacante consiga gerar uma Rainbow Table válida que consiga comprar o hash e obter a chave, assim como uso de níveis mais altos de criptografia também garantem maior segurança.
Voltando ao exemplo do funcionário infiltrado, caso a empresa tive a rede dividida por VLANs o método de Man in the Middle seria limitado à sub-rede que ele estaria inserido não propagando para toda rede, assim como uso de criptografia para proteção das informações interna dificultaria a obtenção de informações sem autorização.
A conscientização dos stakeholders é importante também pelo fato de que as informações não são mantidas somente no meio digital elas também se apresentam no meio físico, assim é necessário que estes se conscientizem da importância de que, não se pode deixar papéis jogados na mesa ou da importância de usar meios que impossibilitem a recuperação de informações descartadas como por exemplo incinerar ou picotar em múltiplas direções documentos de papel antes de irem para o lixo.

5PESQUISA




5.1Contexto da Pesquisa

Nesta seção, será apresentado uma caracterização geral do contexto mercadológico no qual as empresas, de pequeno e médio porte, que possuem um setor de tecnologia e informação da cidade de Belo Horizonte estão inseridas. O cenário que estas empresas atuam é o alvo de exposição neste momento, pois esta pesquisa tem como enfoque a percepção dos profissionais de T.I. e de seus empresários referente a segurança da informação.


Minas Gerais ocupa as primeiras posições dos levantamentos estatísticos quanto ao número de PMEs, e estas possuem relações diretas de troca de informações com grandes empresas em diversos segmentos, da indústrias a serviços.
As empresas de Belo Horizonte, em particular, refletem as características do mercado mineiro: fechado e conservador. Muitas vezes tradições familiares prevalecem à evolução do mercado, com isto empresas de tecnologia mesmo que tenham know how para acompanhar o movimento tecnológico, não existe a consciência de que é necessário começar a preparar a organização para garantir a integridade das informações, ou por falta de conhecimento, ou por falta de visão em investir em segurança.
O desenvolvimento, da pesquisa exploratória a seguir, descreverá o cenário geralmente encontrado em empresas de pequeno e médio porte.

5.2Apresentação, Discussão e Análise de Dados



CED Contabilidade
A CED Contabilidade Edvar Dias Campos Ltda é uma empresa especializada em serviços profissionais de contabilidade, consultoria, assessoria tributária, trabalhista e previdenciária, prestando seus serviços para empresas dos mais diversos segmentos do mercado. Suas atividades iniciaram em 1986, estando hoje solidamente segmentada no mercado, sempre buscando novas tecnologias que agilizem os trabalhos da equipe em prol dos melhores resultados para os clientes.
O entrevistado foi o Sr. Edvar Dias Campos, que respondeu os dois questionários o administrativo e o técnico, sendo que o segundo teve auxílio de um prestados de serviços terceirizado.
A empresa não possui área de TI interna, sendo esta função realizada por um técnico terceirizado. Sua infraestrutura está bem organizada, possuindo níveis básicos de acessos aos arquivos locais e ferramentas básicas para acessos originados no meio externo. Internamente a preocupação maior é quanto ao acesso de conteúdo indevido prejudicando a produtividade da empresa. Para isto a empresa conta com auxílio de um Proxy e um Gateway de Instant Messenger (IM).
Na entrevista fica evidente a não preocupação com a segurança, quando o assunto é acesso indevido, a preocupação maior é quanto a perda dela e acessos indevidos dos usuários quanto o assunto é produtividade. O Sr. Edvar acredita que não há segurança para proteger as informações de sua empresa, mas pondera que este fator não é visto como diferencial pelos seus clientes, mesmo sabendo que o maior ativo de sua empresa é justamente as informações dos clientes. A empresa não possui meios de monitorar e passar o roubo de informação dentro de sua rede local e o uso de uma dispositivo wireless doméstico este risco torna-se bem maior.
A entrevista administrativa, reforça justamente este cenário, cuja visibilidade da área de TI na CED Contabilidade é de suporte e não estratégica. A empresa que faz a manutenção da área de tecnologia, não é inserida nas estratégias do negócio e não participa do planejamento, assim adaptações são realizadas de forma não planejadas e os riscos não são mensurados.
Escritório SRGA. Advocacia e Consultoria Jurídica
O entrevistado do escritório de advocacia SRGA foi o Sr. Rodolfo, que apresentou um cenário comum em escritórios de pequeno porte. Poucos usuários, poucos computadores, sem área ou suporte de TI e informações descentralizadas, apesar deste último ser minimizado por uma computador de mesa que serve como servidor.
Em entrevista Rodolfo nos informou que diversos tipos de informações transitam no escritório, informações de grandes clientes e algumas vezes sigilosas, porém os questionários e a própria estrutura apresentada mostra a fragilidade da organização em proteger as informações.
Assim como alegado pelo Sr. Edvar, da CED Contabilidade, o cliente não vê como diferencial se o escritório tem mecanismos ou não de proteção de suas informações, nem mesmos os grandes clientes.
O cenário do escritório é de total desconhecimento dos riscos, como informou o Sr. Rodolfo nos questionários, não existe nenhum plano de criação ou implantação métodos ou procedimentos para manutenção da segurança das informações na organização. Da mesma forma que acontece com o escritório de contabilidade, o escritório de advocacia está vulnerável a violação e roubo de informação principalmente dentro de sua rede local, o uso na rede de dispositivos wireless permite que um atacante consiga acessar a rede local sem ao menos precisar entrar nos escritório usando scanner de espectro, criando um rainbow table, injeção de pacotes e man in the middle. É importante ressaltar que na SRGA, ao contrário do que acontece na CED Contabilidade, não existe o mínimo de preocupação quanto ao conteúdo acessado pelos usuários.
Mobiliadora Universal
Fundada em 25 de maio de 2000, inaugurou sua primeira loja em 13 de julho do mesmo ano, situada à Av. Silviano Brandão, no coração da Floresta, em um ponto estratégico e tradicional do ramo moveleiro de Belo Horizonte. Em busca de uma constante atualização em seu segmento, a Mobiliadora Universal está sempre presente em todos os acontecimentos do ramo que possam proporcioná-la aprendizado e possível crescimento.

Das empresas entrevistadas, esta talvez seja a com maior possibilidade de ambiente, pois além de suas lojas, ela possui áreas administrativas descentralizadas e um centro de distribuição.


O entrevistado foi o Sr. Anderson, dono da empresa e assessorado pela empresa terceirizada para preenchimento do relatório técnico. Esta empresa é responsável por todas a estrutura tecnológica da empresa, tanto das lojas, administrativo e centro de distribuição.
A Mobiliadora Universal realiza as conexões entre as lojas e seu centro de distribuição através de sessões remotos e através de acesso direto ao banco sem um canal criptografado. É procedimento da empresa não inserir a área de tecnologia nos planos estratégicos, não possui planos de segurança traçados, apesar de deixar como responsabilidade da empresas de TI que atende a empresa elaborar os procedimentos de segurança.
O resultado estas responsabilidades parciais é:


  • Como a empresas não deixa claro para o quadro de funcionário quais são os procedimentos, mas que existam eles não são seguidos.

  • Somente os procedimentos implantados por ferramentas tecnológicas e gerenciadas pela empresa de tecnologia que são usadas, pois não dependem da interação dos usuários

  • Como os usuários não estão inseridos no processo, falhas do tipo, exposição de senhas e acessos indevidos são constantes.

O setor administrativo da empresa detém além das informações cadastrais de seus clientes dados financeiros, xerox documentos, contracheques de clientes e funcionários e outros tipos de informações que poderiam ser usadas para fraudes e outros atos ilícitos.


É justamente ai que está o ponto crítico do processo desta empresa, como respondido pelo Sr. Anderson, ele só tem noção dos riscos a partir dos relatos da empresa da área de tecnologia, porém como a empresa terceirizadas não está inserida no processo do negócio ela também não tem noção do que deve proteger.
Como respondidos pelas outras empresas, mesmo Sr. Anderson entender que não está preparado para proteger as suas informações e principalmente a dos seus clientes, como não é percebido pelos seus clientes e nem torna diferencial ser uma empresa que promove segurança da informação, o plano de segurança não é tratado como deveria.
As respostas do questionário técnico evidenciam a preocupação do departamento técnico para minimizar os riscos e adotam medidas básicas para garantir o mínimo de segurança como uso de firewall, vpn, ocultamento das redes wireless, políticas de formação de senha e tentam conscientizar os usuários quanto ao sigilo de determinadas informações.
As medidas adotadas pela empresa tem por plano que os ataques aconteceram sempre do ambiente externo ao ambiente interno e assim como as outras empresas a Mobiliadora Universal encontra-se vulnerável a ataques acontecem de dentro da rede local.
Clube Atlético Mineiro
O Clube Atlético Mineiro é um dos maiores clubes de futebol do Brasil, fundado em 1908 possui na sua sede um centro de processamento de dados composto por dois servidores e trinta e cinco estação de trabalho, o clube procura reduzir custo nesta área devido aos problemas internos que este passa atualmente.
O entrevistado foi o gerente da área de tecnologia Admilson Rodrigues. Ele atua nesta área a mais de 10 anos configurando, planejando e desenvolvendo soluções para a área, possui grande domínio em Clipper onde desenvolveu vários softwares de gestão empresarial.
O clube possui uma rede que integra o Centro de Treinamento, os clubes e a sede administrativa, isto através de links dinâmicos e scripts de nos proxies de comunicações que refazem a conexão em caso de queda. Todos os servidores conectados na internet estão com firewall e regras que bloqueiam o acesso de tentativas de acesso mal sucedidas.
Rádios wireless proveem conexão aos dispositivos móveis dentro das dependências dos clubes, centro de treinamento e sede administrativa e que o uso de chaves de acessos existem em todos os sites mas o nível varia para cada ponto, a senha de acesso é de conhecimento de todos. Segundo ele existe uma preocupação muito grande por parte da equipe de TI do mandar e segurança das informações, apesar de não existir um comitê para criar e gerir procedimentos de segurança da informação.
Na rede do centro de treinamento existe divisões de redes, separada o acesso do futebol profissional dos de base, mas não existe nenhum monitoramento ou regras de firewall entre elas. Nos demais site não existe divisões na rede, sendo que fornecedores, repórteres e parceiros utilizam a mesma rede que o funcionários trafegam os dados importante e alguns sigilosos.
Apesar da experiência incontestável do Sr. Admilson e já ter ouvido falar de métodos como Man in the Middle, ele não sabia na prática como o ataque acontecia e consequentemente não saberia criar contramedida. Apesar do clube ter mais recursos que os escritórios anteriores e possuir uma rede de computadores bem maior, ele também estaria vulnerável aos do mesmo modo que os outros.
Phoenix Engenharia de Software
A empresa conta com 17 anos de experiência no mercado de informática. Empresa pioneira no desenvolvimento, manutenção e operação integrada de serviços na web, oferece soluções inéditas e surpreendentes para atender com rigor e exatidão as necessidades de pessoas e organizações.
O entrevistado foi seu diretor, Augusto Modesto, que dentre os entrevistados foi que transmitiu maior conhecimento e consciência da importância sobre a gestão de tecnologia da informação, muito provavelmente devido ao seguimento de seu empresa.
Na entrevista e no questionário técnico foi mostrado um cenários incomum para um empresa de pequeno porte, mas que é a tendência mundial, a locação dos servidores em Data Centers. O produto desenvolvido pela empresa é todo web, inclusive o ambiente de desenvolvimento, assim com foco na flexibilidade, mobilidade, agilidade e segurança, o Sr. Augusto transferiu toda sua estrutura para um Data Center, assim ele aumentou a disponibilidade do serviço, reduziu custos de manutenção de infraestrutura e garantiu a segurança dos dados por um equipe especializada. Neste cenário vemos outra coisa incomum para um empresa deste tamanho, todos os equipamentos tem seus licenças legalizadas e consequentemente os sistemas são devidamente atualizados, por não existir restrições das licenças.
Por outro lado percebesse um descuido quanto à segurança na rede local cujo acesso por ela é possível obter de forma obscura usuários e senhas dos acesos ao Data Center e consequentemente acesso a fontes e modelos de banco de dados. Por não existir um servidor na rede local relatórios e outros documentos são de responsabilidade de manutenção dos usuários e não existe um controle de backup destes dados. Na entrevista o Sr. Augusto aponta um brecha crítica de segurança, a sua rede wireless, que além de não ter o SSID oculto e alterado, está com WEP. A criptografia fraca permite acesso a rede local deixando a empresa suscetível, como as outras empresas entrevistadas, a ataques de Man in the Middle.
Das empresas entrevistadas, a Phoenix foi a que melhor se mostrou preparada e apta as mudanças e riscos dos ambientas, foi a única que mostrou preocupada em garantir a segurança de seus dados e de seus clientes. A sua área de TI, apesar de terceirizada, tem papel estratégico em seu negócio e é sempre consultada quando existe uma necessidade de mudança e expansão no negócio.
O Sr. Augusto respondeu que a preocupação com a segurança é uma preocupação primária e que existe dentro da empresa um comitê de segurança formado, com papéis definidos e que ajudam nesta manutenção.

Yüklə 184,19 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   10



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Dərs
Dərslik
Guide
Kompozisiya
Mücərrəd
Mühazirə
Qaydalar
Referat
Report
Request
Review

yükləyin