blog.dennyroger.com.br

Como proteger informações

Confira dicas para proteger as informações confidenciais da sua empresa. Por Denny Roger.

Embora as organizações implementem diversos mecanismos de segurança, dificultando o acesso indevido as informações, geralmente o ambiente computacional possui uma relação de confiança com outro ambiente computacional.

Existem diversos exemplos que colocam as empresas no mesmo “barco” da segurança da informação. O primeiro é quando a sua empresa conecta o ambiente computacional da filial a matriz. Isso significa que diretores e funcionários da filial poderão ter acesso às informações da matriz através do ambiente computacional.

A filial, porém, não tem implementado os mesmos mecanismos de segurança da matriz, tais como firewall, sistema de detecção de intrusos (IDS), antivírus gerenciável, treinamento interno, etc.

Outro exemplo interessante é quando a empresa contrata os serviços de data center. Com o objetivo de reduzir custos, as informações da empresa são armazenadas em servidores de terceiros. O ambiente computacional da empresa precisa estabelecer uma relação de confiança com o data center para ter acesso as informações. Algumas ameaças já podem ser identificadas neste exemplo.

Antes de contratar os serviços do data center, a organização precisa estar preparada para responder as seguintes perguntas:

1) Nossa empresa teve acesso ao curriculum vitae dos funcionários do data center responsáveis pelo backup das informações?

2) O funcionário responsável pelo backup pode ter trabalhado ou até mesmo ser “amigo” do principal concorrente da sua empresa.?

3) O departamento de RH do data center deve ter um documento chamado “antecedente criminal” relacionado ao funcionário responsável pelo backup? Essa análise é importante para identificar se o funcionário do data center teve algum problema com a polícia em relação a atividades de hacking.

4) A pessoa responsável pelo backup assinou algum termo de confidencialidade?

5) O serviço de backup do data center é terceirizado?

6) Em qual local são armazenadas as fitas de backup?

7) Como é realizado o transporte das fitas de backup?

Outro fato preocupante é quando a organização utiliza um servidor “compartilhado” no data center. Isso significa que as informações da sua empresa estão armazenadas em um servidor que é utilizado por outras empresas.

Caso seja executado um comando malicioso pelo funcionário da outra empresa, que utiliza o mesmo servidor, as informações da sua organização estarão comprometidas. Esse tipo de ataque pode permitir que outras pessoas tenham acesso as informações, armazenas e protegidas na sua empresa, através do data center.

O atacante poderá utilizar sua filial, parceiros de negócio, data centers, etc, para aprender como funciona o ambiente computacional da sua empresa. Podemos perceber que nesse momento o atacante está desenvolvendo o primeiro passo: identificação dos alvos.

O segundo passo (ganhar acesso) é o mais difícil de todos. As organizações concentram quase que todos os esforços da segurança para proteger as informações contra o acesso indevido.

Ganhando o acesso, conseqüentemente o atacante consegue de forma muito fácil concluir o terceiro passo (ganhar controle). Os próximos passos (encobrir evidências, instalar um backdoor e repetir tudo novamente contra o ambiente computacional com relação de confiança) exigem pouco esforço do atacante e pode afetar um número maior de pessoas ou empresas.

Conclusão

Toda informação é patrimônio da sua empresa e está associada a um único departamento. O executivo de mais alto nível desse departamento será o “Proprietário da Informação”, que é responsável pela criação, classificação, eliminação e destruição da informação.

Sendo assim, o Proprietário da Informação deve classificar a informação de acordo com sua confidencialidade e sua utilização.

Informações classificadas pelo Proprietário da Informação como “Confidencial Restrita”, “Confidencial” e de “Uso Interno”, devem sempre estar armazenadas no ambiente computacional da sua empresa.

Caso a sua empresa não tenha uma política de segurança definindo o papel do Proprietário da Informação e da Classificação da Informação, as informações da sua empresa podem estar nas mãos dos seus concorrentes, funcionários internos e hackers.

Denny Roger é um dos fundadores da Batori Software & Security, já atuou como Security Officer de instituições financeiras e é autor dos cursos Segurança da Informação em Ambientes de Rede e Sistema de Gestão da Segurança da Informação – ISO 17799. E-mail: denny@batori.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2006-08-09.8384913904/IDGColuna_view