Aprimorando
o Conhecimento dos Funcionários sobre
Riscos
|
 |
 |
|
Este é um dilema com o
qual todo profissional de TI está familiarizado:
as pressões da gerência para manter
alta a produtividade dos funcionários e, ao
mesmo tempo, manter afastadas as crescentes ameaças
e vulnerabilidades; tudo isso em uma época
em que a conformidade regulamentar é mais
importante do que nunca. Apesar de não existirem
soluções simples, um programa de conscientização
da segurança que enfatize a adesão às
melhores práticas de segurança é a
saída para a resolução desse
impasse.
O mutante cenário das ameaças
A educação de uma empresa sobre o cenário
de ameaças atuais pode ser uma tarefa formidável.
Uma razão para isso é a mutável
natureza do cenário em si. Até agora,
a maioria das pessoas já sabe que devem evitar
clicar em anexos suspeitos de e-mails. Porém,
cada vez mais os ataques se tornam mais sofisticados,
tomando a forma de ameaças combinadas, o que
representa um grande problema para as empresas. As
ameaças combinadas utilizam vários métodos
e técnicas de propagação e podem
causar danos gerais em toda a empresa muito rapidamente.
Essas ameaças continuam a evoluir e têm
se tornado cada vez mais bem-sucedidas. O Blaster,
Welchia e Sobig são exemplos de ameaças
combinadas que se espalharam em todo o mundo no ano
passado. No verão passado, em um determinado
momento, empresas e indivíduos tiveram que lidar
com quatro ameaças de alto impacto em um período
de oito dias.
Ao mesmo tempo, as empresas precisam lutar diariamente
contra uma crescente variedade de ameaças da
Internet. Mais de 100 novos vírus e quase 60
novas vulnerabilidades de software são descobertas
semanalmente. A edição mais recente do
Relatório de Ameaças à Segurança
da Internet da Symantec documentou um aumento de 19
por cento nas atividades de ataque durante o primeiro
semestre de 2003; e o que é pior, a gravidade
das vulnerabilidades descobertas estão cada
dia maior. As vulnerabilidades de alta gravidade proporcionam
aos agressores cada vez mais privilégios e acesso
a alvos ainda mais notórios. De acordo com o
Relatório de Ameaças, aproximadamente
80% das vulnerabilidades são passíveis
de exploração remota.
É necessário que as empresas entendam
que o período de tempo entre o anúncio
de uma vulnerabilidade e o lançamento de uma
exploração a ela associada está cada
vez mais curto, aumentando a probabilidade de que veremos,
em breve, a tão temida ameaça de “dia
zero”. Uma ameaça combinada de “dia
zero” pode ter uma vulnerabilidade como alvo,
antes mesmo que essa vulnerabilidade seja anunciada
e uma correção disponibilizada. Considere:
o recente worm Sasser, que passou a se espalhar globalmente
em 1º de maio, explorou uma falha em um componente
do sistema operacional Windows para o qual a Microsoft
lançou uma correção em 13 de abril.
A “janela de ameaça à vulnerabilidade” continua
a ser reduzida.
O ambiente regulamentar atual
É
claro que o mutante cenário de ameaças
não é o único fator que afeta
a segurança das informações. O
clima de regulamentação em que as empresas
operam atualmente também tem sido alterado profundamente
nos últimos anos. As empresas estão cada
vez mais sob pressão regulamentar, e para citar
apenas alguns exemplos, temos: nos EUA, os requisitos
de controle do Sarbanes-Oxley Act, os requisitos de
privacidade do HIPAA, as medidas internas de defesa
do Patriot Act, o Decreto Europeu de Proteção
de Dados (European Data Protection Act). A não
conformidade poderá resultar na perda de negócios
e da confiança do cliente, além de responsabilidade
legal e financeira.
Como afirmou recentemente um CSO à CIO Magazine:
“Nesse período de altas regulamentações
e responsabilidades com a conformidade, a maioria das
empresas encontram-se sob minucioso exame por parte
de agências governamentais, clientes ou parceiros
de negócios. À medida que renovamos contratos,
notaremos que cada vez mais são incluídas
cláusulas relacionadas às práticas
de segurança, além de solicitações
de declarações sobre as estratégias
de políticas, práticas e tecnologias.”
Para citar apenas um exemplo, considere o Sarbanes-Oxley,
que o Congresso Americano decretou em 2002, com o intuito
de restaurar a confiança pública na segurança,
aprimorar o gerenciamento corporativo, promover práticas
comerciais éticas e aumentar a transparência
e integridade das declarações financeiras.
Apesar do decreto de Sarbanes-Oxley não abordar
os requisitos de segurança das informações
especificamente, a segurança emerge aqui como
uma fundação essencial para a conformidade.
Em particular, as seções 302, 404, 409
e 802 do decreto possuem implicações
de segurança.
Conclusão: o gerenciamento não pode
contar de forma realista com a precisão das
suas declarações financeiras sem controles
de segurança apropriados.
Promovendo conscientização
sobre a segurança
Nesse ambiente, é de fundamental importância
que os funcionários de uma empresa entendam
os problemas de segurança das informações,
e se comportem de uma forma que minimize os riscos.
Um programa de conscientização sobre
a segurança corporativa permite a empresas aprimorar
sua postura de segurança, fornecendo aos seus
funcionários o conhecimento de que precisam
para proteger as informações corporativas
através de um comportamento dinâmico,
voltado para a segurança. As empresas devem
fazer tudo o que puderem para promover tal programa,
e nenhuma empresa deveria ficar sem esse tipo de programa,
uma vez que cada vez mais empresas vêm conduzindo
seus negócios através de redes públicas.
Um programa efetivo de conscientização
sobre a segurança fornece treinamento e recursos
de comunicação para ajudar as empresas
a atender aos requisitos regulamentares para a conscientização
dos funcionários sobre a segurança, além
da redução de vulnerabilidades, através
da criação de uma equipe mais consciente
sobre segurança. O programa deve ser baseado
nas melhores práticas de segurança da
indústria e nos padrões internacionais
de segurança (tais como aqueles estabelecidos
pelo ISO 17799).
Ao fornecer conhecimento e as melhores práticas
que os funcionários podem utilizar em suas tarefas
diárias, um programa de conscientização
de segurança ajuda as empresas a se manter em
conformidade com os requisitos regulamentares e a gerenciar
melhor as ameaças às informações
proprietárias, através da criação
de uma cultura corporativa em que os funcionários
participam ativamente da proteção das
informações contra ataques, acesso não
autorizado e fraude.
Melhores práticas
O que deve então ser incluído em uma lista das melhores
práticas de segurança? A seguinte lista foi oferecida
na edição mais recente do Relatório de Ameaças à Segurança
da Internet da Symantec:
- Desative e exclua os serviços de que não precisa.
- Se uma ameaça combinada atingir um ou mais serviços
da rede, desative-os ou bloqueie o acesso a eles até que possa
aplicar um patch para correção.
- Mantenha seus níveis de patch sempre atualizados, especialmente
no caso de computadores que abrigam serviços públicos
e são acessíveis através do firewall, como os de
HTTP, FTP, correio e DNS.
- Adote uma política de senhas. As senhas mais complexas
dificultam a violação dos arquivos de senha dos computadores
afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
- Configure seu servidor de e-mail para bloquear ou remover
e-mails que contenham arquivos anexados com extensões normalmente
usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
- Isole rapidamente os computadores infectados, a fim de evitar
um comprometimento ainda maior de sua empresa. Faça uma análise
posterior e restaure o computador usando meios confiáveis.
- Treine os funcionários a não abrir os anexos
não esperados. Além disso, não execute software
descarregado da Internet antes de submetê-lo a uma verificação
de vírus.
- Verifique se os procedimentos para respostas de emergência
estão corretos.
- Informe o responsável sobre as demandas de orçamento
para a segurança.
- Teste a segurança para verificar se os controles estão
posicionados adequadamente.
Conclusão
Os departamentos de TI continuam a ser pressionados
para fazer mais com menos recursos, e para agir mais rapidamente e
com maior impacto no sucesso da empresa. Ao promover ativamente um
programa de conscientização da segurança, as
empresas se colocam em uma posição mais adequada para
utilizar os recursos de forma mais eficaz, à medida que as
ameaças de segurança e as pressões regulamentares
aumentam.
A tecnologia, sozinha, não protege as empresas contra as ameaças
constantemente em evolução. As empresas precisam de uma
combinação de pessoas, processos, inteligência e
tecnologia funcionando em conjunto para manter uma
postura de segurança
adequada.
Links Relacionados:
|
|
|
