Seções iMasters
Você está aqui: Início > Tecnologia > Redes e Servidores > A culpa não é do Firewall!
Redes e Servidores + Segurança

A culpa não é do Firewall!

por

Segurança não é sobre firewall,
IDS, antivírus. Segurança é sobre processos.
Desde quando a questão da segurança de informação
se tornou crítica, se massificou a idéia de que
isto estaria resolvido através de bloqueios de acesso,
ferramentas de tecnologia (firewall, IDS, etc), produtos com segurança
embutida, como os bancos de dados, e da configuração
segura do ambiente que cerca os ativos de TI. Com o tempo percebeu-se
que isto era importante mas não o suficiente, Aí
surgiram as políticas de segurança e as práticas
de gestão integrada de segurança, apregoadas pela
ISO 17799. Infelizmente, continuamos com problemas. Por quê?

A insegurança dos velhos "novos
tempos"

A evolução vertiginosa do mercado
de tecnologia é apenas parte do problema. O mundo ficou
mais inseguro, As empresas deixaram de ser um local aonde você
poderia trabalhar 10, 20 ou 30 anos. A competição
aumentou, a globalização criou novos impérios
econômicos e derrubou outros tantos, empresas gigantes encolheram
e tiveram que mudar para não desaparecerem. Estamos em
um período de mudanças e não existe futurólogo
no qual se possa acreditar efetivamente, pois, comparativamente,
em termos de mudanças, estamos em um momento histórico
como no inicio do século passado ou na década de
50 passada, nas quais haviam grandes perspectivas da ciência
e tecnologia e quando as previsões eram as mais estapafúrdias
possíveis, como as colônias marcianas, transplantes
de cérebro, carros voadores, etc. Enfim, pelos exemplos
passados e a experiência adquirida, é impossível
saber, com certeza, aonde isto tudo vai parar.

Frente a isto a disputa pela informação
que, diga-se de passagem, sempre foi muito importante, tornou-se
vital para atender às necessidades dos negócios,
devido a rapidez com que os acontecimentos se sucedem, as oportunidades
surgem e desaparecem. Neste quadro, falsamente caótico,
a insegurança com as informações atinge a
todos, porque elas passaram a ter significado econômico
para as empresas e para os criminosos digitais ou não,
para as máquinas arrecadadoras dos governos e para os distribuidores
de e-mail indesejado.

Casa de ferreiro…

As áreas de TI precisam fazer a sua parte
da "mea culpa" quando falam de segurança da informação
na tecnologia. Existe local mais cheio de problemas de segurança
do que uma área de TI? Ao lado de salas cofre, equipamentos
de controle de acesso biométricos, "aquários
refrigerados" escurecidos e cheios de luzes piscando, sobrevivem
práticas de desenvolvimento de sistemas antiquadas, com
os "gatilhos" técnicos variados, acessos indevidos
às informações corporativas, exposição
de informações críticas em ambientes terceirizados,
etc. Se lembrarmos que os negócios estão cada vez
mais dependentes de TI, podemos vislumbrar o tamanho do problema
que temos nas mãos.

É claro que não podemos culpar as
áreas de TI das empresas pelo problema, os fornecedores
de tecnologia e serviços tem grande peso na confusão
que se criou, pois se esforçaram em difundir a crença
de que a solução dos problemas seria agregar mais
tecnologia e produtos, o que é muito confortável
para a indústria de software e os seus acionistas…

Desta situação, existe um aspecto
preocupante para o qual devemos chamar à atenção,
é o fato da incidência dos ataques havidos nos últimos
anos, que estão se concentrando na chamada "camada
7 do modelo OSI", que é onde se encontram as aplicações
críticas de negócio.

(*) As empresas estão começando a
despertar para o fato, ver matéria sobre o assunto:
(http://info.abril.com.br/aberto/infonews/102003/20102003-9.shl)

Alguma luz no fim do túnel…

A principal iniciativa para forçar a indústria
de produtos de tecnologia (hardware e software) a embutir segurança
no que produzem e melhorar a confiança entre os países
quando da compra ou venda destes produtos, tomou corpo com a divulgação
da ISO 15408 em 1999, que coroou um trabalho de muitos anos para
definição de um padrão internacional para
análise e verificação de segurança
de produtos de TI, particularmente, produtos de software.

Este padrão tem um nome: "Common Criteria
for Information Technology Security Evaluation". Este é
o padrão aceito pelos principais países desenvolvidos
e mais um conjunto de outros, que cresce a cada dia. A adesão
da indústria no exterior está aumentando e o requisito
já começa a aparecer em licitações
de governo, fazendo que gigantes como a Oracle, Microsoft e Sun,
estejam buscando certificar os seu produtos de mercado. A lógica
é simples: produtos certificados por estes critérios
em qualquer país, são automaticamente reconhecidos,
dentro da sua classificação de segurança,
pelos outros, podendo se apresentar com esta selo ao público
dos países signatários.

A existência de um padrão internacional
de segurança permite que comecemos a trabalhá-lo
nas empresas através da adequação dos processos
de desenvolvimento existentes, buscando na aderência ao
padrão e na mitigação dos problemas de segurança
nos aplicativos críticos em produção.

A implementação do modelo …

O processo de análise / verificação
de conformidade de uma aplicação com a ISO 15408,
deve ser desenvolvido em uma parceria muito estreita com a área
de desenvolvimento e gestores do negócio. O interesse maior
é garantir um produto de alta qualidade e dentro das melhores
práticas de mercado, tanto em termos funcionais e quanto
em termos de segurança para a informação
que é transportada e manipulada pela aplicação.

É vital controlarmos "tecnicismo"
das análises de segurança, o fundamental é
observarmos o processo, é ele que precisa de segurança.
A tecnologia com seus equipamentos de conectividade e servidores,
são muito importantes mas, na realidade, não resolvem
o problema do processo de negócio da empresa, no qual flui
um conjunto de informações e está contida
uma aplicação que, por erro de desenho ou de construção,
contém vulnerabilidades que permitem ataques internos ou
externos e é o principal suporte do negócio.

A beleza da visão à partir do negócio
é que a infra-estrutura não é vista como
o ponto principal à partir do qual a análise de
segurança de informação deva ser feita, mas
sim, como acessório importante para sustentar o negócio
do cliente, que está concretizado na aplicação.

Quando desenvolvemos um trabalho de análise,
utilizando a ISO 15408, não o fazemos para "enquadrar"
a aplicação nos moldes da ISO, mas sim, para avaliar
se os processos de definição da necessidade do negócio,
desenho da solução, construção e,
futuramente, de manutenção, coletaram adequadamente
as necessidades de segurança do negócio, planejaram
a incorporação destas necessidades ao sistema a
ser produzido, implementaram corretamente e se, no futuro, irão
mantê-los de forma adequada, para não gerar vulnerabilidades
no negócio da empresa. O guia para fazer isto, está
nas classes de referencia de avaliação constantes
na ISO 15408.

Os 2 requisitos de análise nos quais se
baseia a ISO 15408 são os Funcionais e os de Garantia.
O principio é sempre de não adianta apenas fazer
direito mas também devemos observar as garantias de como
será mantido.

Em próximo artigo falaremos mais sobre o
processo de análise e as classes
de análise.

Carlos Cruz

é Engenheiro de Sistemas de Computação pela UERJ e MBA de Gerência de Projetos pela FGV/RJ., com experiência em ambientes envolvendo mainframe IBM, AS/400, Unix e Microsoft, além de ser DBA Oracle. É sócio da Sereno Sistemas especializada em Análise de Segurança de Aplicações baseado na ISO 15408.

Página do autor Email

Leia os últimos artigos publicados por Carlos Cruz

Comente também

1 Comentário

eduardo

Como faço para buscar o valor do mês, ou de qualquer outra variável e setar uma ação (tipo gotoandPlay) de acordo com o mês em questão?
Grato
Fabrício Gomes Ximenes

Há 3294 dias Responder

Qual a sua opinião?