Sua empresa e a adoção de políticas Por Thomas Schmidt ID do Artigo: 3856 18 de maio de 2004
	Introdução Ambiente de ameaças atual O que pode ser feito? Abrangente adoção das políticas Conclusão Links Relacionados

Introdução
Como o recente worm Sasser.B demonstrou, as ameaças combinadas continuam a ser um problema significativo para empresas em todo o mundo. Mas qual o real significado deste problema? De acordo com a edição mais recente do Relatório de Ameaças à Segurança da Internet da Symantec, as ameaças combinadas representaram 54% das 10 principais submissões nos últimos seis meses de 2003. Além disso, espera-se que o aparecimento desse tipo de ameaça aumente regularmente com crescente complexidade. A melhor defesa contra essas ameaças consiste na adoção das melhores práticas e sua aplicação, juntamente com soluções de segurança abrangentes. Este artigo explorará o valor comercial da adoção de políticas e as maneiras como as empresas podem manter a conformidade com as políticas de segurança e regulamentações estabelecidas.

Ambiente de ameaças atual
Um dos relatos mais significativos da última edição do Relatório de Ameaças à Segurança da Internet foi que apenas um sexto das empresas analisadas relatou uma violação séria no primeiro semestre de 2003, enquanto que no segundo semestre do mesmo ano, metade das empresas relatou uma violação séria.

Os pesquisadores da Symantec descobriram que as vulnerabilidades recém descobertas têm sido cada vez mais graves. E, o que é pior, essas vulnerabilidades são cada vez mais fáceis de serem exploradas. Isso significa que nenhum conhecimento especializado é necessário para a obtenção de acesso não autorizado a uma rede ou que certas ferramentas estão facilmente disponíveis para ajudar os agressores quanto a essa obtenção.

Os agressores estão também se tornando cada vez mais eficientes, pois o tempo entre a descoberta de uma vulnerabilidade e sua exploração vem sendo reduzido. Por exemplo, o worm Slammer de janeiro de 2003 atacou uma vulnerabilidade que foi descoberta seis meses antes, enquanto o worm mais recente Sasser.B explorou uma vulnerabilidade encontrada apenas duas semanas antes.

Colocando todos esses fatores juntos, é compreensível que a Symantec acredite que as ameaças conhecidas como de “dia zero” estejam iminentes. Uma ameaça combinada de “dia zero” pode explorar uma vulnerabilidade, antes mesmo que essa vulnerabilidade seja anunciada e uma correção disponibilizada. Se tal epidemia ocorresse, o dano poderia se propagar antes mesmo que os usuários pudessem corrigir seus sistemas de forma efetiva.

O que pode ser feito?
Considerando esses acontecimentos como pano de fundo, um número de medidas dinâmicas pode ser adotado. Por exemplo, o governo dos Estados Unidos assumiu a liderança na criação de regulamentações que obrigam o aprimoramento da proteção da privacidade de empresas. Os decretos Sarbanes-Oxley, Gramm-Leach-Bliley Act e o Health Insurance Portability and Accountability Act (HIPAA) são apenas algumas das regulamentações recentes que requerem controles rigorosos sobre informações pessoais e financeiras armazenadas em empresas.

Há também um crescente conhecimento das diretrizes, padrões e infra-estruturas desenvolvidas para ajudar as empresas a atender às obrigações regulamentares e desenvolver um programa eficiente de segurança de informações. Talvez os mais conhecidos sejam o ISO 17799 e as Diretrizes OECD para a Segurança dos Sistemas e Redes de Informação (OECD Guidelines for the Security of Information Systems and Networks). O COBIT (Objetivos de Controle para Informações e Tecnologias Relacionadas, Control Objectives for Information and Related Technology) fornece também pontos de referência para as melhores práticas do setor.

É claro que as empresas precisam ter os recursos para garantir a segurança geral de seus ambientes, independentemente da necessidade de satisfazer aos requisitos regulamentares. Isso ocorre porque as diretrizes regulamentares e de segurança representam um nível mínimo de segurança que uma empresa é capaz de implementar. A Symantec recomenda que as empresas adotem políticas e soluções que ajudem a exceder os requisitos obrigatórios. Tais políticas e soluções devem ser implementadas para obter as inúmeras vantagens que uma segurança abrangente pode oferecer. Entre outras maneiras que essas soluções valorizam uma empresa, estão:

• Melhores serviços para seus clientes
• Proteção da propriedade intelectual e da marca da empresa
• Redução do tempo de inatividade associado aos sistemas de informação
• Aumento da eficiência econômica da empresa

• Descoberta, base e priorização – Essas etapas iniciais de gerenciamento de vulnerabilidades incluem a descoberta e avaliação das vulnerabilidades dos sistemas e da rede, a definição das políticas de configuração de segurança e a avaliação do ambiente com relação a essas políticas. Ao concluir essas etapas de gerenciamento das vulnerabilidades, as empresas poderão estabelecer um método de avaliação de riscos provenientes de ataques de ameaças internas e externas. Elas terão também um conjunto de padrões de configuração de segurança que, se implementados, minimizarão esses riscos.
• Redução – Após o estabelecimento de uma base de segurança, desenvolva processos e fluxos de trabalho em toda a empresa para apoiar a redução de vulnerabilidades, o que aprimorará a segurança geral do ambiente. A presença desses processos e dos recursos do fluxo de trabalho demonstra também a implementação operacional das políticas de alto nível que descrevem como uma empresa adotará as regulamentações dos requisitos de segurança da TI.
• Monitoração – Uma monitoração efetiva é um aspecto importante da manutenção da segurança da TI, uma vez que os ambientes de TI e as ameaças se transformam constantemente. Monitoração de vulnerabilidades, falhas nas políticas de configuração de segurança e nos processos de gerenciamento de acesso e identidade. A monitoração é obtida através da verificação quase contínua da avaliação de vulnerabilidades, freqüentes auditorias da conformidade com as políticas de configuração de segurança e análises dos registros de atividades dos aplicativos e sistemas.

Abrangente adoção das políticas
Não é necessário dizer que a estratégia de cumprimento das políticas adotadas por uma empresa deve ser robusta. Por exemplo, considerando o atual ambiente de ameaças, as empresas devem ser capazes de desempenhar milhares de verificações de segurança e de vulnerabilidades para avaliar se os sistemas e aplicativos estão configurados apropriadamente, e se são capazes de detectar vulnerabilidades sem correção, fazer o download automático e implementar as atualizações de segurança.

A estratégia deve ser direcionada pelas “melhores práticas” de segurança da indústria, para maior proteção contra os riscos de segurança em potencial. Os administradores de segurança devem ser capazes de avaliar e lidar com as fraquezas em potencial nas infra-estruturas de segurança de suas redes.

Além disso, as empresas precisarão documentar os registros de conformidade, para que sejam consistentes com os requisitos da auditoria.

E, finalmente, as empresas deverão entender que a adoção das políticas requer mais do que simplesmente medidas de tecnologia. As pessoas e processos devem também ser posicionados para avaliar os riscos e implementar proteção, antes que as ameaças de segurança tenham a chance de atacar.

Conclusão
Conforme a última edição do Relatório de Ameaças à Segurança da Internet da Symantec demonstrou, a constante descoberta de novas vulnerabilidades em sistemas de informações continua a impor sérias ameaças às empresas. Nesse ambiente, é essencial que as empresas alinhem suas políticas de segurança com suas estratégias comerciais. Ao garantir que os sistemas sejam utilizados de acordo com os padrões e corrigidos de acordo com as políticas, as empresas podem entender melhor sua postura de riscos de segurança, utilizar os recursos de segurança atuais de forma mais efetiva e planejar e priorizar os futuros gastos com segurança.

Links Relacionados:

• Symantec Enterprise Security Manager