blog.dennyroger.com.br

Por Tiago Souza

Este espaço é dedicado para um especial “Segurança da informação” e nada melhor do que iniciar com uma entrevista com o conceituado especialista em segurança Denny Roger.

Tive a oportunidade de conhecer o Denny em um pequeno evento na faculdade algum tempo atrás, apresentado pelo professor e amigo Charles Niza, o que me despertou maior interesse nessa área. Para quem não o conheçe segue um link do seu blog com informações: Blog Denny Roger.

Denny, obrigado pela colaboração com o Portal Tecnologia.
No final da entrevista constam alguns links interessantes.

1 – Nos conte um pouco de sua trajetória, sua formação e como surgiu seu interesse na área de segurança.

Denny Roger: Iniciei a minha carreira em 1995 desenvolvendo internet banking no Brasil. A oportunidade surgiu porque o meu pai trabalha com mainframes na área financeira e na época, ele ficou sabendo da abertura de vagas no banco e me convidou para participar do processo seletivo. Fui aprovado na entrevista técnica e iniciei a minha jornada de trabalho no segmento financeiro. Nesta primeira fase, o meu foco era fazer com que as strings utilizadas pelos modens sincronizassem com os modens do banco. Trabalhei durante 7 anos em 4 bancos no Brasil.

Em 1995 eu era aluno do curso superior em administração de empresas. Porém, investi um bom dinheiro na formação técnica em ambientes de rede Windows. Em 2002 participei do meu primeiro curso voltado para gestão em segurança da informação. Neste momento percebi que os cursos (tanto no Brasil quanto no exterior) não ensinavam muita coisa prática. Ou seja, os cursos não preparavam o profissional para atuar na área de segurança.

O que pude concluir é que não existem cursos no mundo capazes de acompanhar a evolução dos ataques na internet. A formação acadêmica não irá preparar o profissional que deseja atuar na área de segurança. Na faculdade não são ensinadas técnicas de visual ou link spoofing, engenharia reversa em vírus de computador, etc. Também não são apresentadas técnicas de defesa utilizando Web Application Firewall, por exemplo. Sendo assim, o profissional que pretende trabalhar na área de segurança da informação deve ter um perfil autodidata.

2 – Falando do mercado de trabalho, como é o mercado de segurança da informação, qual o papel do Security Officer e como ele atua no Brasil, há demanda para esse tipo de profissional?

DR: O profissional especializado em segurança da informação está em alta no Brasil. Isso ocorre porque existem tantos Crackers no Brasil que as empresas foram obrigadas a investir em segurança da informação. O internet banking que é desenvolvido no Brasil possui tantos recursos de segurança que é exportado para o mundo todo. Alguns ataques que são realizados por brasileiros, principalmente o roubo de senhas de internet banking, não são aplicados por Crackers de outros países. O brasileiro é muito criativo e a falta de uma legislação especifica sobre o assunto acaba ajudando os Crackers.

Algumas regulamentações estão contribuindo para o crescimento de vagas para profissionais de segurança. Isso está causando um efeito assustador. Estou comentando isso porque muitos Security Officers assumiram a gestão da segurança da informação sem possuírem experiência sobre o assunto. Ou seja, estou falando do profissional que atuava em alguma área da empresa e que por necessidade migrou para a área de segurança. Como conseqüência o departamento de segurança, recém criado, acaba utilizando os investimentos em recursos que não minimizam os verdadeiros riscos para o negócio da empresa. A culpa não é do “novo” Security Officer e sim do RH que não alocou um profissional com experiência para cuidar da gestão da segurança da informação.

Por causa da crise mundial que explodiu em outubro de 2008, as empresas estão analisando os recursos financeiros disponibilizados para a área de segurança e solicitando que não sejam realizados novos investimentos em 2009. Tudo isso por causa do prejuízo financeiro ocasionado por esta crise mundial. Ainda existem vagas em aberto para o cargo de Security Officer, porém, não sabemos como estará o mercado em 2009. Provavelmente as empresas irão reduzir ainda mais seus custos para recuperar os lucros que não foram obtidos em 2008 por causa da crise.

3 – Ainda referente ao mercado, quais os cursos e especializações que existem para se aprofundar na área de segurança e se tornar um especialista?

DR: Atualmente cada profissional que atua na área de segurança possui uma formação. Não existe um “padrão” neste segmento. A minha sugestão é que a pessoa interessada em trabalhar na área de segurança identifique em qual área tem mais facilidade em aprender. Por exemplo, algumas pessoas possuem mais facilidade em elaborar procedimentos e normas. Sendo assim, recomendo investir o seu tempo e dinheiro estudando a ISO da série 27000. Outras pessoas possuem mais facilidade em aprender sobre desenvolvimento de software em Assembler e C++. Essas pessoas devem procurar cursos específicos desta área. A mesma dica vale para quem trabalha com redes.

O mercado de trabalho não acredita no profissional generalista. Estou comentando isso porque algumas pessoas descrevem no currículo que conhecem UNIX, Windows, Firewall, Criptografia, Assembler, .NET, TCP/IP, DNS, etc. Por exemplo, só para estudar o Windows a pessoa precisaria de anos para conhecer a fundo esta tecnologia. O profissional genérico é rotulado pelo departamento de RH como funcionário “pato”: sabe nadar, voar e andar, mas não faz nada direito. Precisamos investir o nosso tempo na especialização do assunto que temos mais facilidade em aprender. É a melhor maneira de evoluir na carreira.

4 – Você acha que hoje em dia a área de segurança da informação já exerce um papel de importância que deveria ter nas empresas? Já há o investimento necessário nessa área?

DR: A área de segurança evoluiu muito nos últimos anos, principalmente quando começaram os ataques de engenharia social. Nesta época, as empresas presenciaram o vazamento de informações e começaram a dar mais atenção para o assunto.

Em 2005 algumas empresas alteraram seu organograma. A área de segurança da informação saiu da diretoria de TI ou Financeira para responder diretamente ao presidente da empresa.

Em 2007, o departamento de segurança da informação de algumas empresas mudou o nome para Gestão de Riscos. Tudo isso para atender normas do mercado.

Em 2008 ocorreu a migração do departamento de segurança da informação para a área de auditoria. Isso é muito estranho, porém, algumas empresas adotaram este tipo de mudança. O gestor da segurança responde para a diretoria de auditoria.

O ideal é a área de segurança estar na mesma posição que o departamento jurídico. O Security Officer deve responder ao presidente da empresa.

Em relação aos investimentos, o desafio que alguns Security Officers estão encontrando é justificar o investimento solicitado. O desenvolvimento da análise de risco pode ajudar a justificar o investimento. Isso ocorre porque serão mapeadas as ameaças para o processo de negócio da empresa e o valor do prejuízo caso não seja implementada uma contramedida. Caso o prejuízo seja maior que o valor da contramedida de segurança, a probabilidade de investimento na área é maior.

5 – Hoje com tanta informação na internet o usuário ainda clica em links maliciosos, o que está faltando, você tem alguma dica pessoal?

DR: As empresas perceberam que quanto mais controles de segurança são implementados, novos tipos de ataques surgem na internet. A maioria dos ataques relacionados a vazamento de informações depende da ajuda involuntária do usuário. Por exemplo, a pessoa precisa clicar no e-mail falso ou acessar a página clonada.

Há aproximadamente 2 anos, as empresas estão investindo nas campanhas de conscientização em segurança da informação. Estas campanhas têm como foco mudar o comportamento dos funcionários e minimizar riscos relacionados a e-mails falsos, páginas clones, instalação de softwares gratuito não homologados pela área de TI, etc.

As pessoas perceberam que os firewalls e antivírus passam uma falsa sensação de segurança. É importante ter instalados programas de segurança, porém, a atenção no momento da navegação na internet ajuda a minimizar os riscos.

É importante que as pessoas acessem o internet banking e e-mail pessoal e/ou profissional de computadores confiáveis. Não é recomendado utilizar computadores públicos ou da casa de amigos e parentes. O melhor é você acessar a sua conta corrente do computador da sua casa porque você sabe, ou deveria saber, o que está instalado no computador.

6 – Quais as formas de invasão e atuação de crackers que vemos hoje, principalmente no Brasil? Ainda há aquele papel do Engenheiro Social ou a questão é mais técnica?

DR: Atualmente os crackers estão focados em clonar cartões de crédito e roubar senhas e a chave de segurança (token) dos clientes do bancos.

No caso de clone do cartão de crédito são utilizados dispositivos em restaurantes, postos de gasolina e caixa eletrônico. Recomendo atenção redobrada quando entregamos o nosso cartão ao garçom do restaurante ou ao frentista do posto de gasolina. Neste momento é realizado o clone sem que o cliente perceba.

Os crackers voltaram a aplicar uma das técnicas mais antigas: o site clonado do banco. Esta técnica é utilizada para solicitar o recadastramento ou ativação do cartão/chave de segurança (token). A vítima informa todas as suas chaves de segurança para o site clonado.

7 – Como anda no Brasil a legislação e punição para crimes virtuais?

DR: Estão sendo criadas leis especificas para os crimes do “mundo virtual”. Atualmente as pessoas que comente algum tipo de crime utilizando o computador são enquadradas nos artigos 171 (estelionato), 155 (furto qualificado) e formação de quadrilha.

8 – Hoje há grande exposição da vida do usuário e das corporações nas redes sociais. Você acha que as redes sociais vêm para somar ou atrapalhar a vida dos usuários e das empresas?

DR: Estamos vivendo a época da geração Y. Estou falando das pessoas que nasceram “conectadas” a internet. Estas pessoas utilizam o mundo virtual para conversarem e trocar informações. O mais interessante é que a geração Y não utiliza o e-mail. São utilizados blogs, programas de mensagem instantânea, redes sociais e SMS para troca de informação. Ou seja, toda informação está exposta para qualquer pessoa na internet.

Algumas empresas tentam controlar a geração Y, o que é um erro. Outras empresas estão trabalhando em conjunto com esta geração e estão tendo muito sucesso.

Eu acredito que as normas internas e código de ética e conduta das empresas devem ser atualizadas.

As empresas não possuem recursos para controlar o vazamento de informações em redes sociais, blogs, etc. A conscientização é uma das ferramentas que as empresas devem utilizar para minimizar o risco e orientar as pessoas sobre como utilizar as redes sociais e blogs.

9 – Qual a importância da elaboração das políticas de segurança para as corporações? E como implementar uma política eficiente?

DR: A política de segurança é onde documentamos todas as diretrizes da empresa. Ou seja, tudo que é mandatório. Este documento deve ser elaborado por um comitê interdepartamental e com apoio da alta direção.

É necessário abordar os seguintes tópicos na política de segurança: diretrizes, classificação da informação e responsabilidades dos departamentos em relação a segurança da informação. Não devem ser tratados assuntos técnicos.

Após a elaboração da política de segurança o comitê inicia o processo de elaboração das normas de correio eletrônico, utilização de dispositivos móveis, acesso a internet, termo de responsabilidade, termo de sigilo, ações disciplinares, etc.

O próximo passo é a elaboração dos procedimentos relacionados a cada uma das normas.

Toda a documentação produzida pelo comitê é implementada na empresa com a ajuda do departamento de recursos humanos, marketing, TI e segurança da informação. Algumas empresas preferem solicitar que o funcionário assine o termo de responsabilidade declarando que leu e está de acordo com as novas regras. Outras empresas preferem realizar campanhas de conscientização sobre as novas normas e procedimentos. Existem casos em que a empresa apenas disponibiliza as informações na intranet.

10 – Quais recursos as empresas tem hoje para se proteger em relação a ataques, desde da Engenharia Social à ataques físicos?

DR: Antigamente os ataques eram baseados na camada de rede. As empresas implementaram firewalls, antivírus, sistemas de detecção de intrusos, anti-spam, criptografia e VPN contra este tipo de ataque.

Com tantos recursos de segurança implementados na rede, os atacantes iniciaram o envio de e-mails falsos e desenvolveram páginas clonadas para explorar o elo mais fraco da corrente, o ser humano. Estamos falando da engenharia social (a arte de enganar as pessoas).

Nos dias atuais, as empresas estão entendendo na prática o que significa “falsa sensação de segurança”. Os ataques são na camada de aplicação, passando por qualquer firewall, antivírus, sistema de detecção de intruso e criptografia. Ou seja, o atacante explora vulnerabilidades na aplicação utilizada pela empresa. Bancos de dados protegidos na rede corporativa estão sendo copiados através do servidor de aplicação que está na DMZ. Fotos estão sendo alteradas de forma indevida nas redes sociais através da manipulação da URL. Os sites de internet banking estão sendo vítimas de Cross Site Scripting.

A conclusão que podemos chegar é que os ataques não param de evoluir. As tecnologias de segurança não estão acompanhando a evolução dos ataques na internet. As empresas precisam investir em tecnologias conhecidas como Web Application Firewalls e Sigle Sign-on combinado com certificados digitais e tokens.

Recomendo que as empresas busquem conformidade com as boas práticas de segurança recomendadas pela ISO 27002 e ISO 15408 e realizem investimento em treinamento de segurança para equipes de desenvolvimento de software.

Abraços,
Denny Roger

Sites Relacionados:

EPSEC
Site Denny Roger
Blog Denny Roger
Coluna no Idg Now

Obrigado a todos pela colaboração e aguardem as novidades!

Tiago Souza

Fonte: http://www.portaltecnologia.net/especial-seguranca-da-informacao/

Sem comentários »