Consultoria em Segurança
As razões para a realização de uma consultoria deste tipo podem ser variadas e giram em torno à necessidade de uma organização de ser competitiva. Isto traz a necessidade de uma visão do modelo informático e de negócios futuros para ter uma idéia clara da direção na qual se deseja avançar.
Do ponto de vista da área informática, esta visão está encarnada em uma consultoria de segurança que permite pôr a tecnologia a serviço da segurança do negócio. Esta consultoria procura ajudar a alinhar os objetivos de negócio e tecnológicos com o fim de melhorar o valor que a empresa obtém a partir dessa tecnologia. É claro que a divisão de TI numa empresa deve existir para prover soluções aos problemas e necessidades dos processos de negócio.
Uma consultoria em segurança é o resultado de um processo contínuo. Na situação tecnológica de hoje em dia, a solução proposta pela Urudata Security Consulting –na qual se fundamenta nossa proposta consultiva- consiste em aproximações por meio de sucessivas versões ligadas à própria evolução do negócio. Isto é, em lugar de estipular a realização de um plano completo de um a dois anos, opta-se pela seqüência continua de processos, aproveitando a evolução tecnológica do negócio no período em consideração.
Dentro dos aspectos chave a levar em conta na hora de realizar um trabalho consultivo em segurança informática se incluem, entre outros, o desenvolvimento e aplicação de políticas de segurança corporativas, a segurança perimetral implementada a través de técnicas de firewalling, a autenticação e cifrado dos dados através de certificados e assinaturas digitais, a detecção de intrusos e a detecção de vulnerabilidades.
Atualmente, o aumento na exposição dos sistemas informáticos das organizações, propulsado pelas crescentes mudanças tecnológicas, levou as empresas a ter que manter um balance entre a exploração de novas possibilidades que potenciam os objetivos de negócio e os riscos que essa exploração produz.
Isto tem levado a que hoje em dia um dos aspectos mais críticos em toda organização é o de garantis a privacidade de seus dados e a inviolabilidade de seus sistemas. Para isto é necessário levar adiante uma gestão efetiva dos riscos e implementar as medidas necessárias para minimizar a superfície de ataque que os sistemas de informação apresentam tanto ao exterior como ao interior da empresa.
Todo sistema informático é, em maior ou menor medida, vulnerável a ataques maliciosos realizados a través da Internet ou inclusive dentro da própria empresa. Os resultados –roubo, modificação, perda de informação, queda de sistemas, envio de correio “lixo” a partir de equipamentos próprios, etc- pode gerar importantes perdas econômicas e dano à imagem da empresa.
Diariamente, os especialistas descobrem e publicam novas vulnerabilidades e inclusive aqueles sistemas cujos administradores aplicam as melhores práticas recomendadas pelos especialistas, organizações de segurança informática e os próprios fabricantes de software apresentam debilidades e brechas potencialmente exploráveis por intrusos e hackers.
Certamente é indispensável que os administradores levem adiante práticas sãs, que diminuam a exposição e mitiguem os riscos associados, entre outras: utilização de firewalls, atualização continua do software com os pacotes com correções de segurança dos seus fabricantes, manterem abertos somente aqueles portos TCP e UDP que estiverem sendo utilizados, baixar todos os serviços desnecessários, não utilizar senhas predeterminadas, em branco ou fáceis de decifrar, possuir procedimentos sistemáticos e submetidos a auditoria para fazer backup da informação, entre outros. Ao mesmo tempo, é necessário realizar auditorias periódicas, realizadas por empresas especializadas.
É neste marco que a Urudata realiza consultorias em segurança sobre ambientes multi-plataforma, integrando a capacitação e experiência de campos dos nossos engenheiros e o uso das ferramentas mais completas, específicas e atualizadas para a detecção dos diferentes tipos de vulnerabilidades.
O objetivo fundamental da presente proposta consultiva visa a realizar uma avaliação exaustiva em torno aos aspectos de segurança –tanto lógica como física- dos sistemas de informação dentro duma organização. Esta análise da situação dos sistemas de informação da organização permite avaliar o estado atual deles e compará-lo com as recomendações descritas nas normas ISO 27001 (norma certificável) e ISO 17799:2005 (recomendações). Desta comparação surge a brecha (gap) entre ambos estados de situação, que poderá ser reduzida ou eliminada totalmente mediante a implementação de uma série de controles e medidas propostas como resultado da presente consultoria (planos de projeto de curto e médio prazo). Mais adiante na proposta são mencionados os aspectos de segurança que serão levados em conta na hora de realizar esse estudo. Além da análise de brecha a apresentar, realiza-se uma série de recomendações tanto metodológicas como de produto de forma de poder atacar as diferentes falhas de segurança que possam surgir do estudo da situação.
Dentro deste processo de auditoria dos sistemas de informação críticos dentro da organização, é possível identificar as brechas de segurança que existem de forma de poder planificar sua progressiva eliminação.
Ao dispor desta informação, o cliente poderá ter uma imagem atual do nível de risco corrido pelos seus sistemas informáticos, e poderá responder de acordo com o resultado da consultoria.
Para poder realizar a consultoria, é necessário definir os ativos considerados críticos, que são submetidos a uma análise primária de risco, preparando a geração de um processo de Gestão de Riscos de nível global.
Dentro dos benefícios do processo consultivo destacam-se:
* Determinar o nível de segurança existente nos sistemas informáticos.
* Identificar as atualizações de segurança faltantes no sistema operativo e no software de base (servidores de banco de dados, correio, web, etc.)
* Identificar as possíveis entradas de ataques externos ou internos, avaliando as vulnerabilidades.
* Dispor de uma estratégia clara para alcançar níveis ótimos de segurança nos sistemas informáticos da organização, de acordo com as melhores práticas da indústria.
*Poder iniciar o caminho a um processo contínuo de Gestão de Riscos ou dispor de uma avaliação se esse processo já existe.
*Aproximar os processos e tecnologias da organização as indicações requeridas pela norma BS 7799-2, para assim poder visar no futuro a uma possível certificação.
Para realizar a análise de brecha (gap analysis) entre a situação de segurança atual e o cenário recomendado, a Urudata se baseia fundamentalmente nas normas ISO 27001/ISO1779:2005.
Por isso, as áreas consideradas nesta avaliação são os seguintes dez capítulos das normas citadas:
*Política de segurança
* Organização da segurança
* Classificação e controle de ativos
* Segurança de Recursos Humanos
* Segurança Física e Ambiental
* Gestão de comunicações e operações (Gestão de equipamentos e redes)
* Controle de acessos
* Aquisição, Desenvolvimento e Manutenção de Sistemas (Segurança de aplicativos)
* Gestão de incidentes de segurança
* Gestão de continuidade do negócio
* Cumprimento de compromissos legais e contratuais