Palestra Sobre Pentest

Palestra ministrada aos alunos de ciência da computação e sistemas de informação da UniFil em Londrina.

Lembrando que a disciplina “Pentest, técnicas de invasão e defesa” será ministrada aos alunos da pós-graduação em redes de computadores e segurança de dados (UniFil) no final do mês de Agosto.

Anatomia de um Pentest

Teste de invasão (Penetration Test, ou simplesmente Pen-Test) é o processo de busca e identificação de vulnerabilidades de segurança em uma rede, sistema ou ferramenta, por um profissional de segurança contratado para tal. Durante o processo, é feita uma análise ativa de vulnerabilidades e deficiências da atual infra-estrutura física e lógica compondo os objetos em questão (como sistemas e localidades acessíveis ao público externo e interno de uma empresa), com destaque para avaliações de disponibilidade, integridade e confidencialidade das informações.

Fonte: Clavis

Definindo um Processo para Governança em Segurança da Informação

Conforme Ferreira [Ferreira 2008] a governança de segurança da informação pode ser definida como uma prática que visa garantir que o tema segurança da informação seja devidamente tratado e esteja alinhado com os requisitos exigidos pelas partes envolvidas no processo. Como tratado anteriormente neste artigo, segurança da informação não afeta apenas os dados aos quais protege, mas sim todo o negócio de uma organização.

Ao conhecer a estrutura de uma organização, seja como funcionário ou consultor muitos dos segredos contidos em seu funcionamento nos são revelados como vulnerabilidades e pontos onde a segurança é falha, ao se prestar um serviço que envolve a segurança da informação deve-se respeitar a organização solicitante, tratando seus dados com sigilo e ética assim como um médico trata seus pacientes. Extrapolando a analogia, uma empresa com um processo de segurança deficiente é como um ser humano sem anticorpos, evidenciando que qualquer ameaça exógena pode criar complicações na saúde da corporação.

Considerando o processo de segurança da informação como requisito de uma boa governança corporativa, pode-se tratar adequadamente as necessidades de uma organização através da análise e adequação de um processo, que tem como seu principal objetivo verificar se a tarefa de governar a segurança da informação esta sendo bem aplicada.

Conforme a figura 2 um processo foi desenvolvido tendo como base a série de normas ISO/IEC 27000 aliada a dinamicidade e capacidade de gestão contidas no Cobit e ITIL o processo de consonância entre as normas e os frameworks de governança foram dadas através dos tópicos relativos à governança de segurança da informação contidas nas bibliografias de Ferreira [Ferreira 2008] e Fontes [Fontes 2008], tornando possível o desenvolvimento de um processo de governança de SI alinhado às necessidades da empresa solicitante.

Uma breve descrição de cada etapa do processo assim como sua função será apresentada ao decorrer deste tópico.

Reconhecer Ativos Informacionais: Buscando o entendimento real dos ativos de uma organização de modo que as informações sejam avaliadas como um bem, os gerentes de segurança da informação recebem a missão de proteger os ativos de informação de acordo com as necessidades do negócio, estes objetivos poderão ser alcançados mediante a definição de procedimentos contidos em seu sistema de gerenciamento de segurança da informação.

Definir Política de Segurança da Informação: Em uma organização é necessário que cada colaborador conheça seu papel e suas responsabilidades perante as informações que manipula, ao estabelecer uma política de segurança da informação deve-se primar pelo objetivo de comunicar e estabelecer as responsabilidades pertinentes a cada colaborador, assegurando assim a confidencialidade, integridade e disponibilidade das informações.

A política de segurança deve ser estabelecida pela alta administração, e cabe ao gerente de segurança auxiliar nas decisões referentes à definição e manutenção da política, no entanto as ordens de cumprimento desta política devem ser dadas pelo presidente ou um grupo de alta gerência.

Formalizar Programa de Atuação: Buscando o cumprimento das medidas de segurança impostas na política, é dever do gerente de segurança definir e dimensionar um plano de atuação. Este plano deve ser claramente definido e comunicado a todos os participantes do processo de segurança através de meios que causem maior visibilidade como: cartazes, panfletos, e-mails entre outros. Cada colaborador deve estar apto a atuar de acordo com o plano concebido pela divisão de segurança.

Mensurar Ativos de Informação: Deve-se ter em mente que os ativos informacionais além de dados e informações englobam toda a infraestrutura de TI, sendo em sua maioria equipamentos de informática, redes e sistemas podendo residir ou não no ambiente físico da organização. Para que seja possível conhecer todos os ativos que devem ser protegidos é indispensável estruturar medidas de controle nas politicas e planos de segurança de forma que um inventário contendo todos os itens e sua criticidade para a organização seja desenvolvido e atualizado constantemente.

Implantar Banco de Vulnerabilidades: Seja pela mão do homem ou por fatores naturais os recursos de tecnologia estão suscetíveis à perda de sua integridade, confidencialidade ou disponibilidade, podendo afetar de forma drástica os ativos informacionais de uma organização. De forma a minimizar a ocorrência destas perdas é necessário que um programa de gerência de riscos seja estabelecido, porém antes de sua implantação deve-se responder a cada processo de negócio quais são suas vulnerabilidades, este objetivo pode ser alcançado através de um relatório de avaliação de riscos. O gerente de segurança deve assegurar que as vulnerabilidades da organização foram avaliadas e solucionadas de acordo com seu nível de criticidade.

Identificar e Gerenciar Ameaças: Para garantir que as expectativas da alta administração foram atendidas com relação à gestão dos riscos e ameaças, o gerente de segurança precisa garantir a identificação dos riscos e evidenciar que os mesmos estão cobertos pelos controles de segurança implantados, de forma que impactos aos ativos sejam minimizados ao máximo. O gestor de segurança garantir que exista uma estrutura de segurança da informação adequada que seja capaz de definir os riscos e contra medidas adotadas para cada situação.

Definir Nível de Segurança Ideal: Pode-se disser que essa tarefa é um dos itens mais subjetivos do processo, para se definir o nível de segurança ideal de uma organização é necessário avaliar o montante de recursos estabelecido para este fim, deve-se atentar também ao nível de satisfação da alta administração em relação aos resultados gerados no controle e previsão das ameaças. O gestor de segurança também pode utilizar sua experiência para definir ou buscar padrões e métricas apresentadas por entidades especializadas, proporcionando novas ideias e parâmetros de comparação.

Implantar Plano de Recuperação de Desastres: Um risco concreto e que ameaça o funcionamento dos negócios é a perda de informações. É função do gestor de segurança definir planos de recuperação e prevenção de desastres, a governança de TI e de segurança da informação devem cuidar para que recursos e tempo sejam empregados nesta atividade. Processos e sistemas advindos desse pensamento agregam muito mais confiabilidade e garantia de continuidade, desta forma acabam agindo como tranquilizadores para os gestores de negócios.

Disseminar Cultura de Segurança da Informação: De forma a garantir o sucesso na implantação de uma politica de segurança da informação torna-se imprescindível buscar a eficiência na comunicação entre os colaboradores e os responsáveis por gerir as políticas. Com o auxilio de departamentos especializados como o a área de comunicações internas ou relações públicas pode se obter uma maior aceitação das politicas implantadas.

O treinamento em segurança da informação é indispensável ao se implantar novas políticas e procedimentos, os colaboradores devem ter consciência dos motivos pelos quais estão sendo forçados a mudarem seus hábitos de trabalho, um cuidado especial com novos contratados deve garantir a conscientização e adequação já no inicio de suas atividades na organização.

Definir Ciclo de Avaliação Continua de Riscos: Estabelecer uma avaliação constante de riscos irá culminar em uma evolução e um aprimoramento dos controles estabelecidos pelo gerente de segurança, ao se avaliar continuamente os riscos acaba-se por refinar o processo aumentando a sua confiabilidade. O ciclo de avaliação contínua deve ser encarado como parte da governança de segurança da informação.

Proteger Ativos Físicos: Quando se pensa em segurança da informação logo se atribui a função de estabelecer normas, políticas e métricas para que os dados de uma organização sejam preservados, porém medidas relativas à segurança física do ambiente também atingem o escopo dessa função. O gestor de segurança precisa incluir em seu programa estratégias que visam proteger também os ativos físicos de uma organização, esse tipo de proteção será alcançada com uma serie de medidas, algumas comuns como instalar sistemas de alarme, controles de acessos e câmeras de vídeo outras não tão comuns como verificar se existem relatórios importantes sendo descartados no lixo.

Auditar Constantemente a Segurança: Todos os procedimentos implantados pelo gestor de segurança da informação devem passar por baterias de testes com o objetivo de assegurar a efetividade de tais mecanismos. Auditorias formais com tempo médio de seis meses devem ser conduzidas, documentações geradas através dos processos de auditoria devem ser seguidas visando o refinamento continuo do processo. Todas as sugestões obtidas através das auditorias devem ser reportadas para a alta administração o seu seguimento deve ser discutido e assegurado.

Sistema de Gestão em Segurança da Informação

Em sua bibliografia Fontes [Fontes 2008] define um Sistema de Gestão de Segurança da Informação ou Information Security Management System (ISMS) como um conjunto de processos, diretrizes, procedimentos e políticas que são metodicamente implantadas com o objetivo de prover segurança aos ativos organizacionais e tecnológicos. Este sistema deve ser proposto ou receber o aval da direção da corporação, suas normas deverão ser seguidas por todos aqueles que tenham relacionamento direto ou indireto com o setor de tecnologia da informação.

A análise de riscos no setor de infraestrutura de TI deve ser priorizada a fim de identificar as falhas e pontos vulneráveis dos sistemas em uso, estes deverão ser corrigidos para que posteriormente sejam auditados. Programas de conscientização e treinamento dos usuários devem ocorrer em paralelo com a implantação do ISMS por serem um elo fraco no processo de segurança.

Outra necessidade do ISMS é a definição de uma política de segurança da informação, que consistem em documentos que descrevem os procedimentos adequados para a utilização dos recursos tecnológicos da corporação, definindo regras e punições caso as regras sejam violadas. Estes documentos devem ser livremente divulgados e sua leitura deve ser incentivada pelos gestores da organização.

Ao buscar conformidade com as normas relativas à série ISO/IEC 27000 em uma organização, acabasse por instituir um sistema de gestão em segurança da informação, em uma visão simplista este sistema considera a proteção dos ativos, o gerenciamento dos riscos, os objetivos de controles e controles implementados, em sua bibliografia Ferreira [Ferreira 2008] afirma que o ISMS pode ser construído de acordo com as seguintes etapas exemplificadas na figura 1.

Em uma organização a implantação de um ISMS tem como fim a proteção dos recursos de informação, permitindo assim que o negócio da organização seja realizado de forma alinhada e contínua. Deve-se ter em mente que a série ISO/IEC 27000 (em especial a norma ISO/IEC 27002) fornece recomendações básicas para a gestão da segurança em um documento completo que marca o ponto de partida da organização rumo a gerenciamento seguro do seu negócio.