ESPECIAL | S21sec: Banca é um oásis no panorama da segurança

“Na senda do que já vem sendo visto desde os últimos dos ou três anos, a utilização deste tipo de serviços é potenciadora de inúmeras oportunidades para quem trabalha no mundo da segurança. Um dos temas que terá uma relevância exponencial durante este ano são as listas e informações sobre ameaças em tempo real, as chamadas feeds de Inteligência, as quais permitem às organizações terem uma ferramenta muito poderosa na prevenção de possíveis riscos de segurança, trabalhando em conjunto com as plataformas das organizações que analisam e deteta problemas localmente”.

Diz Carlos Silva que iIgualmente críticos serão todos os novos ataques de ramsomware, que continuarão a acontecer com cada vez maior frequência, já que os mesmos revelaram-se extremamente eficientes ao permitirem aos seus utilizadores/criadores uma fonte de financiamento eficaz e altamente lucrativa. “Continuaremos a assistir à exploração de vulnerabilidades conhecidas ou ao aparecimento de cada vez mais ataques dirigidos a determinadas organizações ao invés de ataques indiscriminados”. Os temas do Big Data, assim como a Internet das Coisas vão continuar a alimentar uma enormidade de oportunidades para os vários players de segurança, diz este especialista.

“Contudo, existe um tema que nos parece que vai ter uma adoção muito significativa neste ano de 2016 e que tem a ver com os serviços de monitorização e controlo das infraestruturas das várias organizações. Estas estão cada vez mais conscientes da mais-valia em conhecer (e atuar) de forma conjunta perante o estado da sua segurança num dado momento, algo só possível através da adoção de tecnologias e pessoas, ou de serviços externos, que permitam recolher informação crítica, salvaguardá-la, tratá-la, correlacioná-la e, só depois, tomar decisões de atuação informadas”.

As questões que a cloud levanta

A utilização de serviços na cloud empresarial, seja ela pública, privada ou híbrida, veio alterar o paradigma da proteção das infraestruturas e dos dados das organizações, garante este especialista. E assume que a noção do que é o perímetro é agora algo muito mais difuso e a ideia de que, protegendo os acessos à infraestrutura se protege o acesso aos dados, é algo que já não faz sentido.

“Neste momento o grande desafio das organizações é como proteger os seus dados com a proliferação de serviços de cloud, uns que estão (aparentemente) sob o seu controlo, e (muitos) outros que estarão menos controlados. Mesmo numa cloud privada, que garantias tem uma organização que os seus dados estão seguros? A sua comunicação utiliza protocolos seguros, com os dados cifrados? Quando estarão os dados cifrados? Com que mecanismo de cifra? E quem controla as chaves privadas? Que mecanismos são utilizados para as salvaguardar? Por outro lado, de que forma estão as organizações a proteger-se contra o aparecimento do shadow IT? De que forma as organizações controlam a utilização, por parte dos colaboradores, dos vários serviços on-line que permitem a troca e salvaguarda de dados? Como asseguram as organizações que os dados que são enviados para nuvem não são confidenciais e propriedade exclusiva das mesmas?”, questiona Carlos Silva.

A Internet das Coisas

A Internet das Coisas apresenta um conjunto enorme de desafios para a segurança, não só corporativa, diz Carlos Silva. “Sendo que o principal deles são mesmo as situações de risco de vida, se pensarmos nos wearable devices ou nas ligações a veículos automóveis”.

Aliás, do ponto de vista corporativo e empresarial, a S21sec é da opinião que a Internet das Coisas apresenta um novo vector de ataque poderosíssimo se as organizações não tomarem as necessárias ações preventivas, de controlo e monitorização dos mecanismos que estarão interligados à Internet e à sua própria rede corporativa.

“Se tivermos em consideração que teremos milhares de produtores de dispositivos que utilizarão um conjunto muito alargado de sistemas operativos e aplicações para ligarem esses mesmos dispositivos à Internet, é fácil percebermos que os riscos são grandes e podem tomar proporções gigantescas se não acauteladas desde início”.

E diz Carlos Silva que este tipo de preocupação deverá, desde já, ser garantido pelas organizações, investindo em consultorias tecnológicas que lhes permitam aferir os vários riscos, e possíveis impactos dos mesmos, colocados pela Internet das Coisas. “O mesmo tipo de análise também deveria ser feita pelas organizações que pretendem adotar serviços cloud empresarial de forma consciente e informada”.

Nem as grandes empresas não sabem o valor dos seus dados

Questionado sobre se as empresas já têm noção do verdadeiro valor dos seus dados e, daí, da necessidade da sua proteção, Carlos Silva admite que, infelizmente, este é um tema crítico em muitas organizações, mesmo em algumas das maiores do nosso tecido económico, já que muitas delas continuam sem mecanismos de cifra desses dados, de controlo e monitorização dos acessos aos mesmos e de um controlo sobre a forma como são acedidos e por quem.

“A produção de informação dentro de uma organização atinge números gigantescos diariamente e essa mesma informação continua muitas vezes sem estar classificada e com regras perfeitamente claras de acessos e manuseamento. Atualmente, os dados de uma organização são maioritariamente consumidos através de aplicações, que implementam controlos muito claros para gerir quem tem ou não acesso às mesmas”.

Contudo, o responsável confidencia que, na maioria das vezes, a ligação entre as aplicações e os repositórios dos dados é feita utilizando utilizadores genéricos, hardwired, na própria aplicação… “E aqui voltamos a ter um problema sério de como é feito a relação unívoca entre um utilizador consumidor de informação e um conjunto de dados que são acedidos. A definição e efetiva implementação de uma política de segurança é o primeiro passo para garantir que os dados de uma organização são utilizados por quem a organização autorize o seu acesso”.

Mas a verdade é que a proteção dos dados não termina só na implementação de uma política de segurança, mas na identificação das tecnologias necessárias para a sua proteção e garantias de confidencialidade para salvaguardar que os mesmos são devidamente utilizados nos vários processos de negócio. “E continua, igualmente, nas pessoas, nos técnicos de TI e segurança e nos responsáveis de negócio que, ao trabalharem em conjunto na definição dos principais indicadores de monitorização, irão permitir a criação de mecanismos de resposta perante ameaças à confidencialidade, integridade e disponibilidade dos dados de uma organização”.

Recursos internos são o principal vetor de ataque

Os recursos internos não são, de forma estrita e absoluta, as principais ameaças à segurança de uma organização, diz Carlos Silva. São, antes, o principal vetor de ataque que um atacante, ou entidade criminosa, podem explorar para conseguirem “arrombar a caixa forte” de uma organização e chegar à informação que pretendem. “Contudo, são as organizações como um todo, e não só as TI e os departamentos de segurança, que têm a responsabilidade de educar, treinar, consciencializar e proteger esses mesmos recursos internos. O malware seja ele avançado ou simples continua a ser a principal ameaça para as organizações seguido da proliferação de ataques na web ou utilizando aplicações web”.

Tendo em consideração estes dados — reportados por várias organizações, como a ENISA, analistas de mercado ou empresas de segurança — Carlos Silva diz ser relativamente fácil perceber que a grande maioria destas ameaças se conseguem concretizar devido às dificuldades das organizações em controlarem todos os acessos dos seus colaboradores e de que forma estes interagem com os recursos que lhe são fornecidos para exercerem as suas funções.

“A questão da utilização maciça dos smartphones e tablets em ambiente empresarial veio aumentar a exposição das organizações aos riscos resultantes deste tipo de ameaças, já que os recursos computacionais existentes neste tipo de dispositivos permitem a execução de um conjunto de ações que podem levar a falhas gigantescas na segurança da informação dentro de uma organização”.

Da mesma forma, Carlos Silva diz poder claramente afirmar que a esmagadora maioria das empresas não suporta de todo o conceito BYOD (Bring Your Own Device) já que quase todas elas não implementaram mecanismos que permitam controlar e monitorizar o acesso à informação corporativa por parte dos seus utilizadores através dos dispositivos móveis, os quais, muitas vezes, conseguem ter recursos computacionais superiores aqueles que lhes são entregues pelas organizações para exercerem o seu trabalho.

“O conceito BYOD implica a implementação de soluções de controlo dos dispositivos aos quais se quer permitir o acesso à rede, ou aos recursos da rede, de uma organização. Essas soluções de controlo, deverão ser utilizadas de forma a que um dispositivo que queira aceder à rede corporativa seja “obrigado” a disponibilizar um conjunto de funções que garantam de alguma forma a segurança da rede corporativa, como por exemplo a instalação e execução de uma solução de anti-malware”.

De igual modo, este especialista é da opinião que o conceito BYOD deverá garantir que a utilização profissional do dispositivo não é “contaminada” pela utilização pessoal do mesmo dispositivo e, desse modo, evitar possíveis falhas de segurança quando estes dispositivos se encontram ligados às redes corporativas.

“Mais do que o custo associado às soluções de controlo e monitorização, vemos como grande obstáculo à adoção clara do conceito BYOD nas organizações a inexistência de incentivos e/ou vantagens para os colaboradores para permitirem que os seus dispositivos pessoais sejam controlados e, no limite, vigiados pela sua organização. Tal como poderemos vir a assistir na adoção da Internet das Coisas, quando se permite que todos os colaboradores possam aceder ao seu email corporativo a partir dos seus dispositivos móveis (e só depois se preocuparem sobre o que fazer com os dados que ficam acessíveis a partir destes dispositivos), o que mais poderá uma organização “oferecer” aos seus colaboradores que os leve a aceitar a implementação deste tipo de conceito?”

Carlos Silva explica que com a redução bastante efetiva dos custos das ligações de dados também se conclui que, atualmente, os colaboradores de uma organização poderão prescindir de aceder à rede corporativa e fazerem os acessos às suas aplicações e dados pessoais e profissionais através de uma qualquer rede móvel de um operador. “Retirar o acesso a essas mesmas funcionalidades e/ou característica através da implementação de uma política de utilização responsável e comprometida com as regras da organização poderá não ser tão fácil como à primeira vista poderia parecer e daí também muito do insucesso de utilização do conceito de BYOD pelas organizações em Portugal”.

As grandes questões que os clientes colocam

Atualmente, muitas das questões que são colocadas à S21sec têm a ver com a segurança na cloud e como uma migração para este tipo de serviços poderá significar em termos de ameaças e riscos, conta o vice-presidente.

“Outro dos assuntos muito importantes para os nossos clientes é a questão da monitorização dos eventos de segurança que são produzidas nas suas redes e que são fontes inesgotáveis de informação e de indícios de problemas”. Monitorização essa que já começa a pressupor a gestão dos dispositivos para melhor se endereçar os temas em caso de  incidente de segurança, diz Carlos Silva.

“O tema das normas e regras de compliance já começa a ter uma grande preponderância junto dos nossos clientes, seja como forma de os ajudarmos a preparem-se para ações de auditoria à aplicabilidade dos controlos, processos e tecnologias, ou de forma a garantirmos, através de auditorias técnicas, a assertividade dos controlos e tecnologias que foram entretanto implementadas”.

Carlos Silva diz que um dos temas que continua a ser amplamente discutido e analisado com os clientes é o malware, mais concretamente o encontrado em dispositivos móveis assim como o malware avançado, destinado a organizações específicas ou sectores de atividade concretos. “Como controlar o malware em dispositivos móveis e como impedi-lo de ser um fator de stress e de preocupação para as organizações e como identificar e atuar perante a presença de malware avançado nas organizações. Como escolher e utilizar as várias feeds de inteligência disponíveis é uma outra dúvida recorrente por parte dos nossos clientes”.

Perguntamos a Carlos Silva como é que hoje uma típica PME portuguesa lida com a sua segurança. E a resposta não podia ser mais clara: “Vivemos num país de brandos costumes!”

O especialista diz ser isto que ouve de cada vez que se fala em possíveis repercussões na sociedade portuguesa dos inúmeros problemas de segurança nacional que temos assistido nos últimos anos na Europa e no resto do Mundo.

“Somos um país pequenino, ninguém quer saber de nós.”, é outra das frases típicas. “Este tipo de abordagem singela aos problemas relacionados com atividade terrorista e/ou criminosa do ponto de vista da segurança física e dos bens dos portugueses é, na grande maioria das vezes, levada para outras áreas, incluindo o mundo das TI, mais concretamente a segurança”.

Para Carlos Silva isto para dizer que o nível de maturidade das organizações empresariais em Portugal para o tema da segurança é muito baixo, com especial incidência nas PME.

“Em Portugal continuamos a ver enormes assimetrias ao nível das preocupações com a segurança lógica da informação e das infraestruturas entre os vários sectores de atividade existentes. O mundo financeiro (com especial foco no mundo bancário) tem um conjunto de organizações com um nível de maturidade sobre este tema altíssimo, do melhor que podemos encontrar no resto da Europa e do Mundo, mas acaba por ser um pouco como se tratasse de um oásis dentro do panorama global nacional”.

“Trabalhamos e conhecemos muitas outras organizações de outros sectores de atividade que também têm níveis de maturidade elevadíssimos, mas muitas vezes são as exceções que confirmam a regra. No caso das PME, o desconhecimento sobre a temática da segurança é quase total (com honrosas exceções), o que é um grande risco para estas organizações mas ao mesmo tempo uma oportunidade para que possam desenhar e implementar de raiz soluções que vão de encontro às suas necessidades e aos paradigmas atuais destas mesmas organizações”.

Por outro lado,  Carlos Silva admite que a questão do orçamento é, sem sombra de dúvida, um dos pontos fundamentais a corrigir já que, estas organizações, não têm orçamento para a área de segurança mas sim um orçamento global para as TI (“tal como dentro da própria organização muitas vezes não encontramos a figura do CSO e/ou do responsável pela segurança”).

Contudo, e isto é verdade para as PME como para as grandes empresas, Carlos Silva diz que a segurança nunca deveria ser vista como um centro de custo e como algo somente relacionado com as TI. “A segurança é transversal às organizações, é transversal aos processos de negócio. E deve ser exatamente por aí, pelos responsáveis do negócio, que se devia começar a discutir e a definir os necessários controlos de segurança de uma organização. Proteger os dados do negócio e as infraestruturas que o suportam devia ser a principal preocupação e daí deveria surgir o orçamento que tantas e tantas vezes não existe ou, se existisse, seria “desviado” para a compra de mais um conjunto de servidores para se conseguir responder ao aumento do número de pedidos à infraestrutura por parte dos clientes. A questão fica: Até quando teremos organizações preocupadas em disponibilizar recursos e informação sem se preocupar em controlar e monitorizar esses mesmos recursos e o acesso à sua informação?”