Prezados Leitores,
Esta matéria é um pouco extensa, mas vale a pena ler.
Denilson Barbosa ®
Léia Machado 31/05/2010
Um cenário preocupante que combina vulnerabilidades crescentes e diversas, ausência de planejamento das empresas, falta de maior preparo aos desenvolvedores e um grande número de usuários dotados de pouco conhecimento acerca dos riscos a que estão expostos.
Esses são alguns dos principais pontos destacados em evento realizado na última semana pela Prodesp (Companhia de Processamento de Dados do Estado de São Paulo) com foco no tema Segurança da Informação.
Um dos destaques do encontro foi o relatório Global Security Report 2010, apresentado por Nichollas Percoco, Senior Vice President do SpiderLabs Trustware. O estudo apontou que, em termos de incidentes registrados, a rede hoteleira é o setor mais vulnerável, com 38% das ocorrências, seguida pelos segmentos de serviços financeiros, com 19%, e varejo, com 14,2% .
Já em relação aos testes de penetração, realizados para detectar os riscos externos e internos quanto às invasões de terceiros , o levantamento mostra que as empresas de TI são as mais vulneráveis, com 23,5%. Foram efetuados 1.894 testes, com testadores manuais, de penetração em empresas de 84 países.
“Quem é o responsável pela segurança nas empresas? É importante que saibamos quem tem acesso a essas informações para acompanhar de perto qualquer movimentação. O outsourcing, por exemplo, é responsável por 81% dos problemas de segurança, portanto, se for contratar um serviço de fora, a atenção tem que ser redobrada”, afirma Percoco.
A pesquisa também registrou que, a partir do momento em que esses criminosos conseguem entrar no sistema, eles ficam, em média, 156 dias praticando os mais diversos ataques dentro e através dessas plataformas.
Cenário desatualizado
Analista de segurança do CERT.br, Aritana Falconi ressaltou que há quarenta anos não havia muita preocupação com segurança, e que nos anos 80 os invasores tinham pouco acesso aos sistemas. Já nos anos 90 surgiram os ataques remotos, cavalos de tróia, varreduras, os rootkits e nos anos 2000 aconteceu a explosão dos códigos maliciosos, expressa atualmente pela diversidade e pelo dinamismo de nomes e ferramentas utilizadas pelos criminosos.
Entre as práticas adotadas, o analista destacou a evolução do número de notificações de páginas falsas de bancos, também conhecidas como phishing tradicional, com um aumento de 112% nos incidentes registrados em 2009. No quarto trimestre do ano esse crescimento foi de 40% em relação ao trimestre anterior e de 86% se comparado ao mesmo período de 2008.
O executivo afirmou ainda que a vulnerabilidade das empresas é ampliada em virtude do pouco enfoque em programação segura, além de aspectos como sistema operacional desatualizado e falta de treinamento. “Essa situação tem raiz nos problemas de desenvolvimento de software, e o problema está presente nas empresas e nas universidades que formam os profissionais de desenvolvimento de sistemas”.
Nichollas Percoco reforçou que os criminosos usam as velhas vulnerabilidades com aplicativos antigos, mas que mesmo assim, são muito eficazes. “Como muitos usuários não fazem as atualizações necessárias, os hackers aproveitam essa falha para atacar”, afirma o executivo. “E por outro lado, as empresas estão corrigindo os novos ataques, mas não combatem os antigos que estão em atividade. Podemos perceber isso vendo a variedade de ataques a que somos submetidos todos os dias”.
Mudança de atitude
Patricia Titus, Chief Information Security Officer para a Unisys Systems Federal (EUA), declara que os planos estratégicos podem ser um caminho para deixar os sistemas mais seguros. Em sua opinião, muitos executivos não têm planos concretos e acabam investindo em aquisições que quando colocadas em prática, não se mostram eficientes para o negócio, o que traz prejuízos consideráveis, tanto em termos de custo como de vulnerabilidade.
“Esses gestores vão para eventos de segurança, conhecem uma solução naquele ambiente, gastam milhões com determinada ferramenta e só depois percebem que não era o sistema adequado e simplesmente o descartam. Perdem milhões por falta de planejamento”. Além disso, a executiva afirmou que o princípio da segurança parte da atitude dos próprios usuários em ter responsabilidade no conteúdo acessado.
Falconi complementou esse raciocínio ao frisar a importância da mudança de comportamento dos usuários, especialmente no que diz respeito a não acessar sites ou seguir links recebidos em páginas sobre as quais não se sabe a procedência, assim como também, não executar ou abrir arquivos recebidos por email ou serviços de mensagem instantânea, mesmo que venham de pessoas conhecidas.
O executivo ainda apontou que as práticas de prevenção aliadas a uma boa formação dos profissionais podem melhorar o cenário e tornar o desenvolvimento dos sistemas complexos da atualidade em um processo mais confiável e com um volume menor de vulnerabilidades.
“Mas enquanto esse cenário macro não muda, as empresas precisam investir em reciclagem de seus desenvolvedores, com treinamentos voltados à compreensão do papel da segurança em todo o ciclo de desenvolvimento de software, e não somente na fase final de testes. Com um sistema e aplicativos mais robustos, a participação do usuário na aplicação de boas práticas de segurança fica muito facilitada”
