GESTÃO DE SEGURANÇA DA INFORMAÇÃO SOLUÇÕES DE SEGURANÇA EM AMBIENTES HETEROGÊNEOS Pós-Graduação Lato Sensu O Perigo nas Mãos Resenha Patrick Tracanelli Prof. Ricardo Leocádio Universidade FUMEC 2009 Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 1/6
Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 2/6
Sumário 1Perigo nas Mãos Artigo Revista Security Review...4 1.1Introdução...4 1.2Riscos Iniciais...4 2Soluções de Conformidade...4 3De olho nos aparelhos...5 4Bibliografia...6 Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 3/6
1 Perigo nas Mãos Artigo Revista Security Review 1.1 Introdução Os riscos associados a cada vez maior popularização dos dispositivos móveis (laptops, PDAs, celulares) dentro das corporações foram discutidos na resenha[1] anterior. Da mesma forma, uma série de riscos apresentados neste artigo foram antecipadas, e opções apresentadas na resenha anterior[1]. Dessa a avaliação deste artigo levará em conta apenas os aspectos não abordados anteriormente. 1.2 Riscos Iniciais Os riscos apresentados na introdução do artigo são característicos de um ambiente que adota mobilidade mas não adota procedimentos de controle. Os riscos são, fazendo uma analogia desnecessária, equivalente a um ambiente não móvel com acesso pleno a mídias móveis. Os dados ficam desprotegidos e podem estar em qualquer lugar, no computador, na rede, no ipod do funcionário ou num pendrive. Da mesma forma um ambiente descontrolado móvel, tem por entendimento essencial esses dados já disponíveis em mídia móvel: o disco do dispositivo. Os riscos da adoção tecnológica devem ser adequadamente avaliados e um plano de ação deve ser implantado para diminuir à níveis aceitáveis os riscos e impactos associados a falta de segurança em ambiente móvel. 2 Soluções de Conformidade Os profissionais citados no artigo concordam que apenas a adoção de soluções de conformidade, que garantam a aderência da estação móvel as políticas de segurança tecnológica da organização, não são suficientes. No entanto os mesmos profissionais não mencionaram que outros riscos não são tratados pela conformidade. Nem proporam medidas complementares de controle. Em meu entendimento a conformidade, quando não resolve, é motivada exclusivamente pela própria política de segurança adotada. Se esta não for estabelecida apenas com foco em componentes e dispositivos locais, ou seja, se prever componentes móveis, a aderência a mesma é requisito básico. Já existem dificuldades em adequar a conformidade, quando falamos de dispositivos móveis além de laptops. Apontar que são insuficientes é uma afirmação que não pode ser feita sem ser acompanhada de ponderações complementares e menos vagas. O roubo ou perda do equipamento é um dos riscos cuja ameaça é mais provável que ambiente não móvel. No entanto uma política adequada deve prever ações pro-ativas quanto a mídias móveis, descarte de informações e roubos. Se a política e ações implantadas forem suficientes, a conformidade do dispositivo móvel tende a ser suficiente também. Medidas como criptografia, remoção automatizada de conteúdo por exemplo, foram discutidas na resenha anterior[1]. A afirmação de André Carretto da afirmação, que deveria ser para ilustrar que conformidade não é suficiente, apenas ilustra que conformidade em essência basta, já que a política e melhores práticas em um ambiente onde a segurança da informação é bem gerenciada já prevê heterogenia de ambientes e classificação de informações e custodiantes. Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 4/6
A primeira coisa que muda, na avaliação de conformidade, é a exigência e auditoria mais rígida de que os dispositivos estejam em aderência à política de SI da organização. A mudança é primeiramente cultural. Cultura alias, que é prevista em política de SI. A educação de usuários, funcionários, o treinamento e capacitação destes, quando existentes, sua conformidade em ambiente móvel ajuda a mitigar consideravelmente os níveis de risco, atuando como medida de controle indireta. Carboni da F-Secure quer claramente vender seu produto. Anti-virus, criptografia e firewall não adicionam segurança no ambiente móvel mais do que no ambiente fixo. Apenas a criptografia no entanto torna-se requisito mais crítico. Os demais já o são. No entanto diferente do que esse artigo tende a apontar, mobilidade não se restringe a laptops. Gestores de forma geral usam amplamente PDAs, celulares, como ferramentas de apoio a seu trabalho. Na mesma proporção que usam laptops, quase sempre. Anti-virus, firewall e criptografia são menos viáveis nesse ambiente, seja tecnologicamente seja do ponto de vista de usabilidade/performance do dispositivo. Estes são apenas componentes adicionais de segurança em ambiente móvel. Em ambiente móvel o que deve ser seriamente tratado é a auditabilidade e autenticação de acesso. 3 De olho nos aparelhos Ilustrando a tendencia do artigo de apontar o problema para o laptop, Marcelo da ISS aponta que o investimento deve ser nos laptops. Sugere no entanto, de forma que considero extremamente perigosa, que dispositivos móveis como handhelds são pouco utilizados ou não contenham dados críticos para a organização. Enquanto é verdade que PDAs, handhelds e celulares podem não conter massas amplas de dados, como grandes projetos, planilhas contáveis e outros, esses dispositivos são amplamente utilizados por gestores e executivos como agendas pessoais. Enquanto não dispõe de informações vitais para a organização, dispõe de formas para acessar essas informações. Desde usuário e senha para acesso a extranet, correio eletrônico, à anotações de dados de contas bancárias, resultados de balanço financeiro resumido, dados de acesso à VPN e outros sites críticos da organização ou informações utilizadas pelo proprietário do aparelho são informações que não podem, sob qualquer hipótese, ser negligenciadas pois permitem acesso as informações da organização. Acreditar que apenas criptografia também seja suficiente para estas categorias de dispositivos é outra afirmação feita que, é no mínimo, inocente. A criptografia é camada de segurança exclusivamente associada ao acesso do dispositivo por outra pessoa. O artigo menciona ainda opinião Thomas que afirma que o mercado paga o preço do aumento da produtividade. Afirmação que da a impressão que a menor segurança do ambiente móvel seja uma punição à organização que faz uso da mobilidade. Não é. E a mesma tecnologia que gera o aumento da produtividade e gera o risco complementar, também gera soluções que controlem esse risco à níveis adequados. A máxima que sugere que a tecnologia existe para criar soluções para problemas que não existiam antes da tecnologia talvez ilustre adequadamente a situação. A produtividade é o Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 5/6
resultado da tecnologia que permite mobilidade. Os riscos à segurança são os efeitos colaterais. Da mesma forma que 30% dos remédios criados pelos grandes laboratórios são para diminuir efeitos colaterais de outros remédios, a tecnologia pode também ser utilizada para diminuir efeitos colaterais da ampla adoção tecnológica. 4 Bibliografia Mobilidade Corporativa - Resenha, Patrick Tracanelli, não publicado (hehe). http://forums.drugpolicy.org/viewforum.php? f=6&sid=39f516adca0c114f0430b6b54606d148 acessado em 4 Outubro 2009; Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 6/6