Política de Segurança da Informação: 5 questões importantes a considerar

por Felipe Dreher
InformationWeek Brasil
03/12/2010

As informações liberadas pelo WikiLeaks levantam a discussão sobre proteção de dados. Veja as dicas do especialista no assunto Edison Fontes

O WikiLeaks contém cerca de 250 mil documentos com dados confidenciais. E vem revelando-os. Isto casou desconforto diplomático mundo afora. Mas como o portal teve acesso a tantas informações? “O vazamento da informação pode acontecer, mesmo nos ambientes mais sofisticados tecnologicamente”, comenta Edison Fontes , que trata com propriedade sobre o tema em seu blog no IT Web.

Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

Ele lista outras cinco questões a se considerar na hora de pensar estratégias e políticas de segurança frente ao caso. Portanto, tenha em mente:

1-) Pessoas autorizadas podem vazar informação: As organizações precisam manter atualizada. “Garanto que na maioria das empresas dos leitores, existem identificações de usuários que não deveria estar mais autorizado a acessar informação, porém continua com acesso”, diz Fontes.

2-) Informações podem afetar a imagem da organização (ou país): O que foi divulgado até então causou mal estar diplomático e saia justa entre os envolvidos. “Ficou bem claro o quanto a imagem pode sofrer com acesso indevido e divulgação”, analisa.

3-) Proteger a informação existe esforço e conhecimento: Muitas vezes não pode explicitar em ROI (Retorno sobre investimento) sobre ações de segurança. Se a companhia visar retorno em tudo, corre o risco de ser sofrer situações como esta.

4-) Não adianta fazer de conta que não viu: “O Governo está minimizando. É uma nova marolinha. Tomara que seja. Mas, segundo o WikiLeaks, vem mais coisa por ai. Tem que se enfrentar o problema de frente, estruturar uma solução compatível com a organização e implantar”, comenta Fontes.

5-) Pessoas, o elemento mais importante: Não adianta, a corrente sempre falhará no elo mais frágil. Claro que sistemas são falíveis, mas uma política eficiente de segurança passa por uma cultura e treinamento dos usuários.

Caso WikiLeaks: o que nos ensina sobre segurança da informação?

por Felipe Dreher
InformationWeek Brasil
03/12/2010

Site deixa claro que origem dos dados não está segura e que há falha no controle de acesso. Depois de alguns avisos, WikiLeaks liberou uma centena de segredos de estado. O site contém cerca de 250 mil documentos com dados confidenciais. À medida que vêm a público, estas informações geram desconforto diplomático mundo afora. O portal com preceitos colaborativos virou, além de assunto em rodas de conversa, referência para imprensa internacional, que se esbalda com notícias baseadas em arquivos divulgadas no site. Mas que lição os responsáveis pela segurança da informação podem tirar do episódio?

A pergunta pertinente vem baseada em duas questões fundamentais. A primeira delas relaciona-se diretamente ao modelo de negócios do site, que tem como core business a divulgação de informações sigilosas. Isso mostra, na visão de Edgar D´Andrea, sócio da PwC e articulista de segurança da InformationWeek Brasil, que a origem das informação não está segura.

O segundo ponto, mais preocupante, vincula-se à uma estratégia do WikiLeaks divulgada recentemente, que revelou que o próximo alvo seria vazar informações confidenciais do mundo empresarial. "Acredito que, no futuro, iremos ter mais material pertencente à comunidade corporativa", disse Kristinn Hrafnsson, porta-voz da empresa, à Reuters. Segundo a agência de notícias, no início da semana, um executivo teria dito que o site possui dezenas de milhares de documentos internos de um grande banco norte-americano em fase de avaliação que pode vir a público no início do ano que vem.

Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

D´Andrea acredita que o caso deve gerar uma profunda reflexão nos responsáveis pela segurança da informação nas companhias. O especialista aponta algumas indagações válidas a estes profissionais, como se eles têm ciência dos dados que a empresa realmente precisa protege, se têm certeza de que eles estão bem protegidos ou há só uma falsa percepção de segurança. Possui mecanismos de verificação sistemática sobre a sensibilidade daquela informação? "Generalizar a proteção pode não ser eficiente se você não sabe a criticidade da informação que precisa ser protegida. À medida que conhece dados de alto risco, é fundamental ter capacidade de canalizar a segurança para aquilo", acrescenta o sócio da PwC.

O especialista Ricardo Castro, presidente da Isaca Capítulo São Paulo, acredita que a quantidade e o aspecto das informações vazadas indicam uma falha de controle de acesso humano às informações. Ele aponta que três recomendações que daria para empresas passam pela destruição ou sanitização de mídias descartadas e utilização de recursos de criptografia. "Formatação pura e simples hoje em dia não é obstáculo algum para quem quer recuperar dados", comenta, para acrescentar: "A criptografia não é garantia absoluta de que os dados não serão revelados, mas garante um bom grau de conforto". A terceira recomendação é "cuidado com o que escreve em comunicados formais da empresa".

Todo rebuliço gerado pelos incidentes revelados até então deixam ainda mais clara e pertinente a constatação de Edison Fontes, blogueiro do IT Web, que trata com propriedade sobre o tema: "O Grande Irmão é maior do que pensamos, e já deixou, há muito tempo, de ser Irmão".

China capturou 15% do tráfego da internet durante 18 minutos

A China redirecionou cerca de 15% do tráfego de toda a internet para servidores do país durante 18 minutos, abrangendo inclusive informações importantes do governo norte-americano, afirma um relatório do governo dos Estados Unidos.

Segundo o estudo, divulgado nesta quarta-feira, o incidente ocorreu em abril deste ano, causado pela empresa de telecomunicações chinesa China Telecom.

Ciberataques

O governo americano diz que ainda não é possível avaliar se o redirecionamento foi intencional e, se foi este o caso, qual seu objetivo.

"No entanto, pesquisadores de segurança da computação notaram que esta competência poderia permitir várias atividades mal-intencionadas", afirma o relatório, feito pela Comissão de Revisão Econômica e de Segurança das Relações EUA-China.

Entre o tráfico redirecionado para servidores chineses, estão trocas de e-mails entre funcionários do governo e acessos aos sites oficiais do Senado norte-americano, do gabinete do Departamento de Defesa, da Nasa e do Departamento do Comércio.

Nesta semana, o secretário de Defesa americano, Robert Gates, pediu que as agências militares e civis dos Estados Unidos atuem mais fortemente e em conjunto contra as ameaças de ciberataques.

Ataque chinês ao Dalai Lama

Já na Grã-Bretanha, especialistas ouvidos pela Comissão de Ciência e Tecnologia do Parlamento afirmaram que um ciberataque capaz de ter efeitos profundos na infraestrutura do país somente poderia ser lançado por um Estado inimigo - o que faria uma ação do tipo "politicamente improvável".

O especialista Ross Anderson, da Universidade de Cambridge, disse aos parlamentares que o poder público deve ser mais atento para questões de tecnologia da informação, e lembrou um caso em que esteve diretamente ligado a um ciberataque.

"Alguns anos atrás, um aluno meu ajudou o gabinete do Dalai Lama a se livrar de um malware (programa que se infiltra em um computador ou em uma rede com o objetivo de causar danos ou roubar dados) claramente criado pelo governo chinês", disse.