Seguranca

DOSSIER FEVEREIRO 2014

SEGURANÇA

http://www.computerworld.com.pt/

DOSSIER | SEGURANÇA

3MOBILIDADE RASGA VULNERABILIDADESA adopção de dispositivos móveis no acesso aos sistemas de informação dasempresas será o foco principal de desafios para os gestores de segurança, em

2014, de acordo com vários responsáveis do sector. As formas de lidar com o problemavariam.

7BIOMETRIA GANHA IMPULSOO domínio da biometria deverá alargar-se aos dispositivos móveis, enquanto ossistemas de encriptação de informação tendem a atrair maior procura.

9BIG DATA DE DOIS GUMESOs sistemas de Big Data criam necessidades no âmbito da segurança. Mastambém podem revelar muita informação útil para a gestão das protecções.

10CIBERCRIMINOSOS ESPECIALIZAM-SE MAS DIVERSIFICAM OPERAÇÕESAlguns grupos que operam actualmente na fraude bancária deverão

continuar a avançar para esquemas mais rentáveis, como os de sequestro de sistemas(ransomware), segundo projecções da Kaspersky.

11CSO PRECISAM DE PERCEBER MELHOR AS AMEAÇASA modelação de ameaças parece ser a prática mais adequada. As

organizações precisam de quantificar os seus riscos o melhor que podem, de formaperiódica, até para evitar decisões baseadas na emoção.

14NEGAR A INSEGURANÇA JÁ NÃO É“SOCIALMENTE ACEITE”A necessidade de proteger as infra-estruturas críticas é vista com maior

importância em Portugal, assinala Lino Santos, director do CERT.PT. Mas os índices deciberciminalidade não são baixos e há muito a corrigir no sistema judicial. É precisoainda investir em tecnologia para os sistemas do Estado e na formação.

17A EVOLUÇÃO DA SEGURANÇA FÍSICAA segurança física já percorreu um longo caminho desde o advento dafechadura e da chave. Mas em todas as suas alterações, o maior aspecto

da evolução da segurança física foi como se integrou no mundo digital.

Fevereiro 2014 | COMPUTERWORLD | 2

Av. da República, N.º 6, 7º Esq. 1050-191 LisboaDirector Editorial: Pedro Fonseca [email protected] Editor: João Paulo Nóbrega [email protected] Director Comercial e de Publicidade: Paulo [email protected] Telef. / Fax +351 213 303 791Todos os direitos são reservados.

A IDG (International Data Group) é o líder mundial em media, estudos de mercado e even-tos na área das tecnologias de informação (TI). Fundada em 1964, a IDG possui mais de12.000 funcionários em todo o mundo. As marcas IDG – Computerworld, CIO, CFO World,CSO, ChannelWorld, InfoWorld, Macworld, PC World e TechWorld – atingem uma audiênciade 270 milhões de consumidores de tecnologia em mais de 90 países, os quais represen-tam 95% dos gastos mundiais em TI. A rede global de media da IDG inclui mais de 460websites e 200 publicações impressas, nos segmentos das tecnologias de negócio, deconsumo, entretenimento digital e videojogos. Anualmente, a IDG produz mais de 700eventos e conferências sobre as mais diversas áreas tecnológicas. Pode encontrar maisinformações do grupo IDG em www.idg.com

www.computerworld.com.pt


A encriptação, biometria emdispositivos, as soluções parapolíticas seguras de BYOD -nas quais se incluem asaplicações de gestão dedispositivos móveis -, são vistascomo áreas de potencialdinâmica no segmento dasegurança durante 2014, porvários responsáveis do sectordas TIC em Portugal. Diversosfactores estão a produzirmudanças relevantes no quadrodos sistemas da informação eemergem lacunas merecedorasde atenção.

Mas a necessidade desuportar o acesso seguro e agestão da informação, em

contexto de mobilidade, estarána base de grande parte daspreocupações. Isso não querdizer que não haja outros focos,associados à conformidade comregulamentos, por exemplo.

As soluções assumem váriasformas conforme os quadrantestecnológicos dos fornecedores.Rui Melo Biscaia, gestor dedesenvolvimento de produto daWatchful, considera que “aindústria está num processo demudança de segurançacentrada na rede parasegurança centrada nos dados”.

Há vários anos que o sectorfala desta transição. Masactualmente esta parece ter um

maior impulso.Segundo este responsável, à

mudança está associada amigração para “o paradigma dacloud computing e a utilizaçãode dispositivos móveis”,segundo estratégias de BYOD.Já Hugo Abreu, director-geralda Oracle, destaca também autilização das redes sociais ouas aplicações de Big Data comoelementos transformadores.

“O sequestro de contas deutilizador passará a ser maisfrequente e não apenas emredes como o Twitter, mastambém em sites orientados anegócios, como o LinkedIn”,confirma Rui Duro, gestor devendas da Check Point, emPortugal.

De outra perspectiva, há osriscos sobre a segurançainterna de dados sensíveis.Embora tenha estado semprepresente � os funcionários sãoreconhecidos como a maiorameaça à segurança dos dados�, nos últimos tempos osfornecedores de tecnologia têminsistido neste tema,incrementando os seus alertas.

Empregados comoinstrumentos

A Check Point, por exemplo,“acha que se irão destacar aengenharia social, ascampanhas de malwaredirigidas, as botnets ou asameaças internas, ou seja, osataques às empresas a partir dedentro, usando os seus própriosempregados comoinstrumentos”, antecipa RuiDuro. Na perspectiva desteresponsável, a engenhariasocial através do emailpermanecerá como o métodopreferido para lançar ataquesde malware ou de phishing.


MOBILIDADE RASGA VULNERABILIDADES

AADOPÇÃO DE DISPOSITIVOS MÓVEISno acesso aos sistemas de informaçãodas empresas será o foco principal dedesafios para os gestores de

segurança, em 2014, de acordo com váriosresponsáveis do sector. As formas de lidarcom o problema variam.


“Os ataques e episódios apartir de dentro das empresas edirigidas a instalações e infra-estruturas públicas, vão obrigara redefinir a abordagem àsegurança, segmentando maisas redes, aumentando ainspecção de código nocivo eataques dentro da rede damesma forma que até agora naperiferia”, sugere.

Neste quadro, e de acordocom a estratégia da Watchful, as“tecnologias que aplicam asegurança e protecção dainformação diretamente nosdados - tais como classificaçãodinâmica dos ficheiros, IAM, egestão de politicas associadas àaplicação de direitos sobre ainformação” irão tornar-se maisrelevantes, defende Rui MeloBiscaia, da Wachtful.

Dispositivos de conteúdocada vez mais valiosos

Entre os responsáveisconsultados, as aplicações e otema da gestão dos dispositivosmóveis obtêm o maior número

de referências. “As soluções deMobile Device Management(MDM) e mais recentementeas de Mobile AccessManagement (MAM) têmvindo a registar uma procuracrescente, sendo expectávelque se venha a acentuar aindamais durante os próximos anos,tendo em consideração aexplosão do tráfego de dadosque se irá registar nasplataformas móveis”, consideraHugo Abreu.

As aplicações MAMpermitem disponibilizar um"container" - ou contentor ouárea virtual delimitada eprotegida -, no qual são alojadasas versões de mobilidade dasaplicações corporativas. “Oacesso a essas aplicações écontrolado de formacentralizada pelas organizações,e de acordo com as políticas desegurança associadas a cadautilizador”, explica oresponsável da Oracle. Étambém uma maneira deestabelecer uma fronteira entre

a utilização pessoal e o usoprofissional.

“Os dispositivos móveis estãona mira dos cibercriminosospor serem ferramentas detrabalho cada vez maispopulares e a sua utilização écada vez maior”, alerta PatríciaEsteves, directora de marketingda Panda. “São cada vez maisvaliosos por armazenareminformações confidenciais epessoais, como as passwords deacesso, códigos” ou outros. Oinvestimento em MDM seráum dos principais pólos decrescimento do segmento, em2014, segundo esta responsável.

Ameaças na mobilidadeaumentam

De uma perspectiva centradanum contexto mais externo, asegurança dos dispositivosmóveis, de tablets esmartphones, ganha aindamaior relevância, segundo oconsultor da Kaspserky Labs,Vicente Diaz. “O número desoftware nocivo destinado a

smartphones deverá aumentar,e surgirão novos troianosbancários, para mobilidade,sem necessidade de basearemem infecções prévias de PC”,prevê.

No entanto, o director deconsultoria de segurança daUnisys, Sérgio Sá, consideraque “a utilização deequipamentos pessoais paraacesso à informação daorganização, promete continuara crescer”. E o cenário agrava-se, teoricamente, com outratendência: os proprietários dosequipamentos vão começar aimplantar os controlos desegurança nos dispositivos.

“Provavelmente irão pôr emcausa ou limitar as capacidadesdos controlos de segurança daorganização”, alerta o consultor.Não admira por isso que odirector de tecnologia daMicrosoft, Miguel Caldaspreveja que a segurança e aprivacidade nas plataformasmóveis (ou a falta delas) vãoestar cada vez mais expostas.<


DÊ LIBERDADE E SEGURANÇA AOS SEUS COLABORADORES PARA ESTAREM

SEMPRE LIGADOS À ORGANIZAÇÃO

Bruno BerronesGestão de Produto Segurança PT

A mobilidade faz hoje parte da vida das pessoas, integrando a sua vida pessoale profissional. A utilização crescente de smart devices, dentro e fora do local de trabalho, mudou totalmente a forma como as pessoas interagem e trabalham.

Para implementarem esta mudança, as organizações necessitam de definir como ultrapassar alguns obstáculos, tais comoa configuração e a gestão dos dispositivos, a segurança e a proteção da informaçãoe a convivência de dados corporativos com dados pessoais no mesmo equipamento. Existem muitas abordagens tecnológicas disponíveis com vista à integração dos dispositivos móveis no ambiente corporativo. Porém, a diversidade de opções

dificulta a escolha por parte das organizações, preocupadas em proteger o seu investimento e definir soluções para o futuro.

Neste impasse, os colaboradores continuam a querer explorar todas as funcionalidades dos seus equipamentos e os departamentos de tecnologias de informação precisam de um sistema robusto, de simples e rápida instalação, que lhes permita garantir a segurança dos dispositivos e dos dados móveis.

Ao possibilitarem uma implementação com impacto mínimo nos sistemas de informação da organização, as soluções de MDM (Mobile Device Management) permitem proteger e gerir, de forma integrada, todos os terminais móveis e controlar o acesso remoto à rede corporativa através da implementação transversal de políticas de segurança, tais como encriptação de dados, validação de aplicações, controlo de acesso a conteúdos, entre outras.

A gestão dos equipamentos passa a ser efetuada centralmente pelo administrador de sistemas que administra todos os equipamentos móveis utilizados pelos colaboradores, separando os conteúdos pessoais dos empresariais.

Sem implicar qualquer investimento inicial, estas soluções são implementadas onlineem apenas alguns minutos e não requerem a instalação de hardware. O serviço é totalmente escalável, possibilitando aumentar ou diminuir a capacidade de forma flexível, com um custo de utilização por terminal.

Na cloud, a gestão centralizada de todos os terminais, aplicações e serviços móveis pode ser realizada, em qualquer lugar, a partir de uma consola de fácil utilização, acessível através de um browser com acesso à internet. A plataforma MDM e a informação passam a estar protegidas num data center que garante todos os aspetos críticos de segurança. Simultaneamente, a plataforma é operada de forma totalmente integrada com os sistemas corporativos internos,tais como Active Directory e Entreprise Data,

permitindo a sua total assimilação pela organização.

Os gestores das organizações deixam assim de se preocupar com a gestão da tecnologia e da segurança, podendo focar-seem proporcionar mais mobilidadeàs suas equipas com mais e melhores ferramentas de trabalho.

Porquê a PT?

A PT ajuda as organizações a desenvolverem a sua estratégia de mobilidade de forma flexível e sem preocupações com tecnologia, adequando os recursos às características e à evolução da sua atividade. Para isso, disponibiliza aplicações móveis corporativas, soluções de gestão de mobilidade empresarial, serviços de gestão TI e capacidade de banda larga com suporte na sua rede de fibra e 4G/LTE, com total cobertura nacional.As Soluções Cloud da PT estão suportadas na maior rede de data centers do país, potenciando redução de custos com as TI, aumento de produtividade e mobilidade, com elevados níveis de sustentabilidade.

Neste contexto, gerir todo o potencial das tecnologias móveis

passou a ser crucial para as organizações aumentarem a

sua produtividade e eficiência.

http://ptempresas.pt/


Bruno BerronesGestão de Produto Segurança PT

A mobilidade faz hoje parte da vida das pessoas, integrando a sua vida pessoale profissional. A utilização crescente de smart devices, dentro e fora do local de trabalho, mudou totalmente a forma como as pessoas interagem e trabalham.

Para implementarem esta mudança, as organizações necessitam de definir como ultrapassar alguns obstáculos, tais comoa configuração e a gestão dos dispositivos, a segurança e a proteção da informaçãoe a convivência de dados corporativos com dados pessoais no mesmo equipamento. Existem muitas abordagens tecnológicas disponíveis com vista à integração dos dispositivos móveis no ambiente corporativo. Porém, a diversidade de opções

dificulta a escolha por parte das organizações, preocupadas em proteger o seu investimento e definir soluções para o futuro.

Neste impasse, os colaboradores continuam a querer explorar todas as funcionalidades dos seus equipamentos e os departamentos de tecnologias de informação precisam de um sistema robusto, de simples e rápida instalação, que lhes permita garantir a segurança dos dispositivos e dos dados móveis.

Ao possibilitarem uma implementação com impacto mínimo nos sistemas de informação da organização, as soluções de MDM (Mobile Device Management) permitem proteger e gerir, de forma integrada, todos os terminais móveis e controlar o acesso remoto à rede corporativa através da implementação transversal de políticas de segurança, tais como encriptação de dados, validação de aplicações, controlo de acesso a conteúdos, entre outras.

A gestão dos equipamentos passa a ser efetuada centralmente pelo administrador de sistemas que administra todos os equipamentos móveis utilizados pelos colaboradores, separando os conteúdos pessoais dos empresariais.

Sem implicar qualquer investimento inicial, estas soluções são implementadas onlineem apenas alguns minutos e não requerem a instalação de hardware. O serviço é totalmente escalável, possibilitando aumentar ou diminuir a capacidade de forma flexível, com um custo de utilização por terminal.

Na cloud, a gestão centralizada de todos os terminais, aplicações e serviços móveis pode ser realizada, em qualquer lugar, a partir de uma consola de fácil utilização, acessível através de um browser com acesso à internet. A plataforma MDM e a informação passam a estar protegidas num data center que garante todos os aspetos críticos de segurança. Simultaneamente, a plataforma é operada de forma totalmente integrada com os sistemas corporativos internos,tais como Active Directory e Entreprise Data,

permitindo a sua total assimilação pela organização.

Os gestores das organizações deixam assim de se preocupar com a gestão da tecnologia e da segurança, podendo focar-seem proporcionar mais mobilidadeàs suas equipas com mais e melhores ferramentas de trabalho.

Porquê a PT?

A PT ajuda as organizações a desenvolverem a sua estratégia de mobilidade de forma flexível e sem preocupações com tecnologia, adequando os recursos às características e à evolução da sua atividade. Para isso, disponibiliza aplicações móveis corporativas, soluções de gestão de mobilidade empresarial, serviços de gestão TI e capacidade de banda larga com suporte na sua rede de fibra e 4G/LTE, com total cobertura nacional.As Soluções Cloud da PT estão suportadas na maior rede de data centers do país, potenciando redução de custos com as TI, aumento de produtividade e mobilidade, com elevados níveis de sustentabilidade.

Ao utilizarem as soluções de MDM na cloud, em modelo de Software

as a Service (SaaS), as organizações conseguem reduzir custos e usufruir

de um serviço capaz de evoluir à medida das suas necessidades.



“A introdução daautenticação por impressãodigital nos iPhone prometerevolucionar a indústria dabiometria e levar à suamassificação, de forma aproteger os dispositivos edados, deixando para trás otradicional [modelo de]utilizador/password”, consideraSérgio Sá, da Unisys. Mas oimpulso dado à área dabiometria não deverárestringir-se a esse tipo deautenticação baseada no corpodos utuilizadores. De acordocom este responsável, astecnologias de identificaçãopela íris e o reconhecimentofacial já estão suficientementemaduras.

No entanto, o desafio é

tornar as novas abordagens deautenticação com múltiplosfactores (com a substituiçãodesse modelo deutilizador/password) “o menosimpactante” possível, considera

Rui Melo Biscaia, da Watchful.A viabilidade económica

também é uma questãoimportante, capaz de serresolvida com a biometriacomportamental.

Sérgio Sá considera que abiometria nos dispositivosmóveis deverá abrir caminhopara a sua utilização noutrosserviços online. Os contextos

de e-commerce e de bancaonline afiguram-se compotencial para isso. Rui MeloBiscaia lembra que o Facebooke a Google também jáinvestiram em sistemas de


BIOMETRIA GANHA IMPULSO

ODOMÍNIO DA BIOMETRIA deverá alargar-se aos dispositivos móveis, enquanto ossistemas de encriptação de informaçãotendem a atrair maior procura.

A viabilidadeeconómicatambém é umaquestãoimportante


autenticação com múltiplosfactores.

Caso Snowden favoreceencriptação

“Depois do problema deconfiança levantado porSnowden, veremos um re-investimento em encriptação”,prevê Miguel Caldas, daMicrosoft. Também Sérgio Sáconsidera que, “possivelmente”,essa área estará entre as de“forte crescimento”.

O consultor norte-americano Edward Snowdenrevelou em 2013 práticas devigilância da National SecurityAgency (NSA), que podem terresultado em espionagemindustrial.

“O reforço deverá acontecer,principalmente, com a

informação e comunicaçõesinternas em que os controloseram menos apertados ouinexistentes. No exterior,embora já existisse,provavelmente também serárevisto, resultado dadiversidade dos meios decomunicação e acesso àinformação (dispositivosmóveis)”, concretiza oresponsável da Unisys.

Na mesma linha, MiguelCaldas prevê “um aumentogeneralizado de utilização daencriptação de nível elevadonas comunicações, tentandoevitar a intrusão de serviços deinformação apostados narecolha maciça de informação”.

O director de tecnologia daMicrosoft assinala que novasformas de encriptação(nomeadamente a homomórfica)deverão concentrar, em 2014,esforços de investigação. Osmaiores intervenientes nomercado deverão avançar já comprojectos-piloto, prevê esteresponsável.<


Ao referir o fim de vida do Windows XP como evento com potencialde marcar a segurança das informações, Miguel Caldas (Microsoft)sugere a possibilidade de o fim do suporte “ter impactos significa-tivos em muitas organizações”. Mas, mais importante, Vicente Diaz(Kaspersky) recorda que as empresas (e utilizadores) deverão espe-rar um surto de infecções relevante, após 8 de Abril de 2014, datado fim generalizado de suporte ao XP pela Microsoft. Não obstante, o fabricante do sistema operativo já prometeu que amesma se manterá até 14 de Julho de 2015 para os clientes empre-sariais utilizadores de várias aplicações de segurança, que vão con-tinuar a receber as actualizações para XP.<

O IMPACTO DO FIM DO XP

Aumentogeneralizado deutilização daencriptação denível elevado


Um dos efeitos das soluçõesde Big Data é alargarem oconjunto de fontes de dadosdos sistemas de datawarehousea fontes externas, como asredes sociais.

“A utilização de fontesexternas, e bem assim deinformação não estruturada, vaiobrigar à implantação demecanismos transversais deauditoria a todos estes tipos dedados, e que sejam capazes derecolher dados não estruturadose estruturados, consolidando-ose armazenando-os paraauditorias a realizarposteriormente”, consideraHugo Abreu.

Paralelamente, lembra oresponsável da Oracle, está a

aumentar a exigência e a pressãopor parte das autoridadesnacionais e organismos

internacionais (nomeadamenteda Comissão Europeia) sobregarantias de privacidade dosdados pessoais que estão naposse de diferentesorganizações, sejam elaspúblicas ou privadas.

O analista da Kaspersky,

Vicente Diaz, confirma quedeverão surgir novas normas deprivacidade e isso vai atingir osector público, mas também asempresas de infra-estrutura deTI que terão de tornar maisrobustas as suas política desegurança, serviços e modelos deregulação de negócios.

Rui Duro recorda um efeitomais positivo das ferramentas deBig Data, assinalando as“tremendas oportunidades” queas soluções deverão proporcionarna análise de ameaças,envolvendo a correlação deeventos, o reporte de informaçãoe a própria conformidade com osregulamentos.

Para este responsável daCheck Point, a partilha deinformação sobre as ameaças deforma colaborativa será umelemento-chave para garantiruma maior segurança eprotecções mais actualizadas.“As plataformas unificadas desegurança e a consolidação dacloud computing” serão outrosfactores positivos, diz.<


OS SISTEMAS DE BIG DATA criamnecessidades no âmbito da segurança. Mastambém podem revelar muita informaçãoútil para a gestão das protecções.

As plataformas de cloud computing deverão conquistar “um lugarproeminente” nas estratégias para lidar com a prevenção de perdasde dados (Data Loss Prevention) e de Disaster Recovery, nasprevisões de Miguel Caldas, da Microsoft. Já Hugo Abreu (Oracle), considera que “as soluções dos Portais deServiço na Nuvem, com capacidade para self-service (nomeadamenteauto-registo, autenticação/SSO e autorização) irão ser o facilitadorda democratização deste modelo de computação”.Apesar disso, Rui Melo Biscaia, da Unisys, considera que a adopçãodo modelo “continuará a levar o seu tempo”. As preocupaçõesrelacionadas com a segurança e privacidade dos dados são asprincipais razões para isso. E as organizações deverão manter umaabordagem “híbrida”.

CLOUD “PROEMINENTE” NO DISASTER RECOVERY

BIG DATA DE DOIS GUMES


Haverá alguma especializaçãomas outras organizações, deacordo com o analista daempresa, Vicente Diaz, vãocontinuar a diversificarnegócios. Tendem a procurar“melhorar capacidades para tirarproveito de outro tipo denegócio fraudulento”, diz.

Outras previsões: • embora haja alguns

indicadores sobre a utilizaçãode vários dispositivos,enquadrados na Internet dasCoisas para fins fraudulentos,a Kasperksy acredita que aindaestão longe de obter um

impacto muito grande. Masconsidera provável aocorrência de campanhas

direccionados aos utilizadoresde smartphones devemaumentar;

• o número de aplicações dephishing bancário devecrescer;

• a fraude contra alvos de médiae pequena dimensão tende aaumentar, incluindo ospagamentos eletrónicos, lojasonline, sites de leilões esociedades financeiras;

• o malware destinado aexplorar sistemas POSespecíficos deverá melhorar.<


CIBERCRIMINOSOS ESPECIALIZAM-SEMAS DIVERSIFICAM OPERAÇÕES

ALGUNS GRUPOS que operamactualmente na fraude bancáriadeverão continuar a avançar paraesquemas mais rentáveis, como os de

sequestro de sistemas (ransomware),segundo projecções da Kaspersky.

“Em 2013, um dos principais focos de investimento foi navisibilidade sobre eventos de segurança, para criar acapacidade de identificar e corrigir desvios às regras desegurança da organização e também para assegurar aconformidade regulamentar em alguns sectores de atividade”,revela Pedro Galvão, gestor sénior de consultoria na IBM.Na origem destes investimentos estiveram preocupaçõescom a seguranças da informação, associadas à adopçãodas tecnologias de mobilidade. E a eficiência operacionalna gestão da segurança está a ganhar destaque.As soluções de segurança em mobilidade e de "securityintelligence" estão a atrair muita atenção por parte de

todas as organizações, confirma Pedro Galvão. Mas otema da gestão “tem mais a ver com a forma deorganizar a equipa e a forma de explorar a tecnologiaexistente”. As soluções geridas parecem ser uma opção aconsiderar e permitem um maior enfoque “em áreas desegurança aplicacional por recursos internos”.Não obstante a visão da IBM, segundo a qual muitasempresas continuaram em 2013 a investir em segurança,Patrícia Esteves, da Panda, afirma que “com as diferentesmedidas de austeridade nos últimos anos, muitas entidadesportuguesas não conseguem acompanhar” a evolução,ficando com “o parque informático cada vez mais obsoleto”.

AUSTERIDADE COMPROMETE INVESTIMENTOS EM SEGURANÇA

específicas capazes de tirarpartido daquelesequipamentos;

• os hacktivistas tomarãocontacto com outros grupos(principalmentecibercriminosos jáestabelecidos) para aproveitartácticas e recursos;

• os códigos nocivos


Com a ocorrências deviolações significativas desegurança a tornarem-se quasediárias, torna-se claro que osatacantes estão a conseguirficar um passo à frente demuitas organizações. E éevidente que os profissionais desegurança (CSO) e os CIO nãose estão a concentrar osuficiente sobre as ameaças eos dados mais importantes.

Considerem-se os resultadosdo mais recente estudomundial e anual daPricewaterhouseCoopers e darevista CSO sobre a segurança

de informação. De acordo comos mais de 9.600 executivosentrevistados, as suasorganizações têm aumentadoos gastos com segurança de TI,mas o número de ataques a queestão a resistir e os custosinerentes aos mesmos sãocrescentes.

Portanto, não é tãosurpreendente saber queapenas 17% dos entrevistadosse preocupam em classificar oseu uso comercial de dados,cerca de 20% têmprocedimentos dedicados àprotecção da propriedade

intelectual e 26% (númerosurpreendentemente baixo)para activos de estoque ou paragestão de activos. Se asempresas quiserem melhorar,precisam de perceber commaior precisão as ameaças reaisprontas a incidir sobre as suasorganizações e asvulnerabilidades de TI na suaempresa. Qual é a forma decorrigir a situação? Amodelação de ameaças.

A realização de avaliações derisco e de modelos de ameaçasnão é um conceito novo. "Todosfazemos avaliações de condutade risco e modelos de ameaçasnas nossas vidas diariamente,se pensarmos bem.Imaginamos quem poderiaquerer roubar o nosso carro ouassaltar a nossa casa", dizWendy Nather, directora depesquisa em segurançaempresarial, da 451 Research.

Nem sempre somos bonsnisso - por exemplo quandotemos mais medo de ataques detubarão do que de acidentes


CSO PRECISAM DE PERCEBERMELHOR AS AMEAÇAS

AMODELAÇÃO DE AMEAÇAS pareceser a prática mais adequada. Asorganizações precisam de quantificaros seus riscos o melhor que podem,

de forma periódica, até para evitar decisõesbaseadas na emoção.


perto de casa. As pessoastendem a ficar mais nervosasquando embarcam num avião,do que quando se sentam atrásdo volante do seu carro.

Gestão emocional de riscosAs emoções assumem o

controlo, muitas vezes tambémnas empresas. Para melhorar assuas decisões, as organizaçõesprecisam de quantificar os seusriscos o melhor possível.

A tomada de decisão baseadana emoção deve ser evitada."Do ponto de vistaorganizacional, é importanteporque uma empresa precisa deperceber quais são e o que sãoessas ameaças, assim comouma pessoa deve querer saberquem são os seus concorrentes,capazes de constituir umaameaça competitiva", diz EricCowperthwaite, vice-presidente para a segurançaavançada e estratégia da CoreSecurity e ex-CISO daProvidence Health andServices, em Renton (EUA).

"Caso contrário, o CEO ficasempre inundado por toda afantasia das notíciasquotidianas", considera. A

modelação de ameaças não éum conceito novo para algunsmercados verticais, tais como odos serviços financeiros e das

infra-estruturas críticas ou dofornecimento de serviçoscríticos. "Os bancos têm feito amodelação de ameaças defraude desde sempre", dizNather.

"Porém, acho que, com opassar do tempo, a indústriaaprendeu que tem um modelode ameaça maior do que apenasa fraude", diz. Faz sentido, ascondições de negócio, asameaças e as vulnerabilidadesestão sempre a mudar.


Quais são os elementos necessários para um modelo deameaça? Varia conforme envolva líderes empresariais, asequipas de desenvolvimento, as de operações ou asequipas de segurança, na classificação da importânciados dados, das aplicações e das infra-estruturas para onegócio.A equipa de segurança também pode identificarvulnerabilidades dentro das aplicações e dos sistema, e ospotenciais cibercriminosos que gostariam de atacar. Aolistar estes intervenientes associados às ameaças, éimportante não ficar a pensar que cada ameaça é um riscopotencialmente significativo para a organização.

"Não se trata de ter defesas contra todas as ameaçaspossíveis", diz Wendy Nather, da 451 Research, "masapenas para aquelas mais prováveis". Como é que os ciber-criminosos poderão procurar atingir a sua organização?Bandos à procura de informações financeiras , hacktivistasinteressados em desfigurar o site da empresa, ou Estados àprocura de segredos comerciais, como poderãoprovavelmente tentar alcançar os seus objectivos? Combase numa avaliação de vulnerabilidades e de riscos, qual éa probabilidade de terem sucesso? Feche as maiores, maisimportantes lacunas associadas às maiores ameaças evulnerabilidades primeiro.

ELEMENTOS NECESSÁRIOS VARIAM

Os bancos têm feitoa modelação deameaças de fraudedesde sempre


Frequência gera maiorprecisão

É por tudo isto que osmodelos de ameaças periódicassão necessárias. Por exemplo,quando se trata de bancos eserviços financeiros, Natherexplica que, quanto mais assuas transações de clientespassaram para o online, osbancos tiveram de ter em contaos elementos de autenticaçãodos seus clientes e como elespodem ficar comprometidos,ou mesmo como os seusclientes podem também tentarcometer fraudes.

Quando Cowperthwaite foiCISO, fazia regularmente ummodelo de ameaças para obteruma melhor compreensão dosriscos subjacentes àorganização, e para acalmar asreacções emocionais maiscomuns a notícias de quebrasde segurança. Queria tambémpoder dar melhor enfoque aosseus gastos com segurança.

"O valor da modelação deameaças tanto para o CISO

como para a organização éprincipalmente a capacidade degerir de forma mais eficaz eeficiente os riscos", considera."A maioria dos programas desegurança de hoje, pelo menos,procura basear-se no risco, esimplesmente, um risco é umaameaça externa, interna ouambiental, associada a umavulnerabilidade".

"A modelação de ameaças éimportante para determinaraquelas capazes de atingir aorganização, e saber o nível depreparação da mesma face aessas ameaças específicas.Caso contrário, acaba-se por se

estar a tentar proteger aorganização contra tudo", diz.

Cowperthwaite lembra aaltura quando a notícia emtorno de cibercriminosospatrocinados por Estadossurgiram pela primeira vez,tendo como alvoprincipalmente as empresas detecnologia na época. "Porquereagiram emocionalmente,toda a gente saíu a correrpensando que o céu estava acair", explica. "Não estavam aavaliar bem a possibilidadedaqueles ataques específicosterem como alvo a suaorganização. Nem procuraram

olhar para um modelo deameaças adequado sobre quemos atacantes estavamrealmente a atacar, o quequeriam, e quais eram as suascapacidades".

"No meu modelo de ameaça,não considerei esses atacantescomo um risco devido aomodelo da sua ameaça ecomportamento. Eu estavanuma organização sem finslucrativos, e não parecíamoster qualquer coisa de valor paraeles e por isso concluímos quenão eram um riscosignificativo para nós", explicaCowperthwaite.<


A modelação de ameaças é importantepara determinar aquelas capazes deatingir a organização, e saber o nível depreparação da mesma face a essasameaças específicas. Caso contrário,acaba-se por se estar a tentar proteger aorganização contra tudo


Portugal está num patamardiferente quanto à atitudeassumida no tema dasegurança dos sistemas deinformação, considera odirector do CERT.PT, LinoSantos, mas falta aindacorrigir muitos aspectos, tantona tecnologia como naspessoas e no sistema judicial,que têm de ser melhorcapacitados.

Apesar de o espaçoportuguês ser uma zona-alvosecundária, os índices deciberciminalidade não sãobaixos. Sem arriscar previsões,confirma o potencial devulnerabilidades associado aosdispositivos móveis, esublinha a crescente ameaçaresultante do aproveitamentode recursos por parte doscriminosos: há uma melhor

conjugação de velhas técnicascom a capacidade deprocessamento e detransmissão.

Computerworld - Algunsanalistas dizem que 2014 podeser um ano particularmenteactivo na cibercriminalidade.Concorda? Faz sentido para oespaço português?

Lino Santos - Não consigoresponder directamente àpergunta. Era preciso umabola de cristal. Se analisarmoso ponto de vista da motivação,Portugal continuará a ser umalvo secundário.

Temos menos dinheiro e,considerando os custos delocalização como a língua,somos pequenos, quandocomparados com outrospotenciais alvos. Deve noentanto ser excluída destaconclusão os muitos gruposdedicados ao cibercrime debrasileiros.

Do ponto de vista dacapacidade e apesar dosespetaculares incidentesnoticiados nos últimos anos,tecnicamente pouco ou nadade novo surgiu no quadro dosvectores de ataque. A últimagrande novidade foi, talvez, oaparecimento de malwarepolimórfico. Já lá vão algunsanos.

O que temos visto é umacada vez uma melhor


NEGAR A INSEGURANÇA JÁNÃO É “SOCIALMENTE ACEITE”

ANECESSIDADE DE PROTEGER asinfra-estruturas críticas é vista commaior importância em Portugal,assinala Lino Santos, director do

CERT.PT. Mas os índices deciberciminalidade não são baixos e há muitoa corrigir no sistema judicial. É preciso aindainvestir em tecnologia para os sistemas doEstado e na formação.

LINO SANTOSDIRECTOR DO CERT.PT


conjugação de velhas técnicasaliada ao aumento decapacidade de processamentoe de transmissão. Portanto, anão ser que surja um novovector de ataque que altereradicalmente o quadro deameaça, não consigo prevergrandes alterações para 2014.

Não quero com isto dizerque os níveis de ciber -criminalidade são baixos.Longe disso. Ainda há umlongo caminho a percorrer naconsciencialização e naformação das pessoas, noinvestimento em tecnologia eprocessos de segurança dainformação nas empresas e noEstado, bem como nacapacitação do nosso sistemajudicial na prossecução destetipo de crimes.

CW - Vários fabricantes têmalertado para a emergência demalware dirigido a plataformasde mobilidade e diz-se que em2014 os ataques a dispositivosmóveis terá um grande

incremento. Outros alertampara os riscos inerentes àInternet das Coisas e para asameaças a infra-estruturascríticas. Que relevância têm,para o tecido empresarialportuguês, estas duas supostastendências?

LS - É um facto que aolongo dos últimos anos asempresas de soluções desegurança têm vindo aprojectar este tipo detendências: o crescimento daciberconflitualidade nosdispositivos móveis, infra-estruturas críticas, cloudcomputing e, maisrecentemente, na Internet dascoisas.

Colocando de parte queestas mesmas empresas são asprincipais beneficiárias destediscurso, é natural que osataques visando dispositivosmóveis – pegando aqui nesteexemplo em particular –apresentem um maiorcrescimento. Por um lado, atecnologia de smartphones é

mais recente do que porexemplo são os computadorespessoais ou os computadoresportáteis.

Por outro lado, osmecanismos e processos desegurança desenvolvidos paraestes dispositivos nãoapresentam o grau dematuridade já atingido poroutro tipo de tecnologias.Acresce em cima destesfactores o chamado "time-to-market" – um dos maioresinimigos da segurança –,muito mais curto nossmartphones do que noutrotipo de dispositivos.

Em suma, os dispositivosmóveis são mais vulneráveis enaturalmente o número deataques crescerá na medida dasua utilização e do valor dainformação neles armazenadaou transmitida.

Outro “departamento” é oda segurança das infra-estruturas críticas. No planointernacional temos vindo aassistir à entrada de actores


Objectivos do CERT.PTOs objectivos do CERT.PTsão, a par da gestãoadequada da rede CSIRT:• estabelecer a confiançaentre responsáveis pelasegurança informáticapara criar um ambiente decooperação e assistênciamútua no tratamento deincidentes;• criar indicadores einformação estatísticanacional sobre incidentesde segurança paraidentificar contra-medidas;• implantar instrumentos deprevenção e respostarápida num cenário deincidente de grandedimensão;• promover uma cultura desegurança em Portugal.


estatais e ao aumento dascapacidades de actores nãoestatais. Convém, no entanto,realçar o caminho percorridonesta matéria em Portugal.Nos últimos anos foi feito, porvárias entidades oficiais eoutras organizações, umgrande esforço de alerta econsciencialização relativa aeste assunto junto dosresponsáveis pelaadministração e operação deinfra-estruturas críticasnacionais.

O facto é que, hoje em dia,já não é “socialmente aceite” odiscurso de negação doproblema como acontecia hámuito poucos anos; muitosoperadores criaramcapacidades de resposta aincidentes, bem como planosde continuidade de negócio;trabalham em redes formaisou informais, nacionais ouinternacionais, para melhoraras suas capacidades. Ou seja,estamos num patamar dematuridade muito diferente

daquele onde estávamos hápoucos anos atrás.

CW - Quais foram as principaistendências de 2013, emPortugal, em termos decibercriminalidade e segurançada informação nas empresas?

LS - Contamos terminar orelatório de 2013 em breve,mas empiricamente diria quedos eventos e incidentes desegurança tratados peloCERT.PT, sentimos umincremento no número deataques do tipo negação deserviço (como vítimas e comoorigem dos ataques) e ummaior número de casos deransomware (nestes comovítimas).

CW - Como evoluiu o grau desofisticação das ameaçasdetectadas em Portugal? Tendea haver um aumento muitogrande em 2014?

LS - Não temos esses dados.Não trabalhamos as ameaças,trabalhamos os incidentes.<


Em Portugal,"sentimos umincrementono número deataques dotipo negaçãode serviço eummaiornúmero decasos deransomware"

A rede SIRTA Rede Nacional deComputer Security IncidentResponse Services (CSIRT) -ou equipas de serviços deresposta a incidentes desegurança informática ‒inclui em Portugal asseguintes entidades:- Cabovisão /OniCommunications- CC-CRISI (EMGFA);- CEM (Angra do Heroísmo);- CERT.PT;- CGD;- Claranet;- Dognaedis;- EDP;- FEUP;- IGFEJ;- Millenium BCP;- NFSI;- PT;- PT Servidor;- Refer;- Sonaecom;- UTIS;- Vodafone.


"O que estamos a ver é afusão de espaços electrónicos efísicos", diz Chris Nickerson,fundador e consultor-chefe daLares Consulting. "Já estamoslonge da simples segurançafísica para trabalhar com oslados sociais e electrónicos ecertificar de que uma pessoa équem diz ser".

Mas com a evolução surgeum novo conjunto de riscos evulnerabilidades, dos quaisapenas alguns conseguimosaprender a melhorar. Para quea segurança física funcione,precisamos de compreender asnovas tecnologias que nelas

estamos a incorporar. "Fizemosgrandes avanços, mas temosvindo a adoptá-las sem asaprender, de modo que nosexpusemos de uma forma quenão tínhamos antes nasegurança física", diz Nickerson

à CSO. "O risco é entender oque se está a fazer, não como.Se sabe o que está a usar e o usabem, então não há nenhumrisco".

O que se segue são oito dosdesenvolvimentos maissignificativos que ocorreram aolongo do tempo no campo dasegurança física, e como algunsdeles ainda estão a seraprefeiçoados.

1. Cartões RFIDA maioria dos edifícios

incorpora actualmente dealguma forma cartões RFID. Oscartões, que contêm duas peçascruciais de informação - ocódigo do site e o crachá deidentificação pessoal - permiteaos funcionários passar o seucartão próximo de um scanner,para ter acesso a certas áreas."São bons para saber quem estáa entrar e durante quantotempo", diz Nickerson. "ORFID tem algumasvulnerabilidades mas ainda émelhor do que as chaves reais,


A EVOLUÇÃO DA SEGURANÇA FÍSICA

ASEGURANÇA FÍSICA já percorreu umlongo caminho desde o advento dafechadura e da chave. Mas em todasas suas alterações, o maior aspecto da

evolução da segurança física foi como seintegrou no mundo digital.


onde se consegue obter umacópia de uma chave-mestra".

Na realidade, os cartõesRFID estão cheios de falhas desegurança. Eles são facilmenteclonáveis, por exemplo, eataques de força bruta podemser usados para aproveitar ofacto de que os números deidentificação do cartão sãotipicamente incrementais(embora o outro aspecto, ocódigo local, seja mais secreto)."A maioria das aplicações Webé 'inteligente' o suficiente parabloquear [o acesso, após váriastentativa fracassadas]", dizNickerson. "Mas o RFID? Podeusar força bruta durante todo odia. A maioria dos sistemasnem sequer o avisa se alguémtentou um milhão de vezes".

Além disso, algumasempresas colocam os seussistemas RFID emfornecedores externos decloud. Tudo o que um atacantetem de fazer é aceder a essefornecedor e, de repente, temacesso a todos os edifícios que

usam o serviço em nuvem."Estes são os sistemas de acessoelectrónico padronizados que,ao terem algum tipo deservidores centralizados,podem 'falar' com todos osleitores" [dos cartões], refereNickerson. "Num par de horas,conseguem-se encontrar todasas formas de abrir as portas".

2. VideovigilânciaA videovigilância já existe há

algum tempo mas melhoroudrasticamente desde a suacriação. A videovigilância éagora sofisticada o suficientepara incorporarreconhecimento facial evideocâmaras com maiorqualidade estão a criar imagenscom maior resolução. "A altadefinição [HD] é agora a normae acima da HD está a tornar-senormal", diz Jay Hauhn, CTO evice-presidente das relaçõescom a indústria da TycoIntegrated Security. "Ascâmaras de megapixéis navideo-segurança têm uma

muito boa imagem".Mas com isto vem o grande

desafio de fazer "streaming" emalta qualidade dessas imagensnas redes. "A largura de bandanão é amiga quando se está alidar com vídeo", diz Hauhn."Pelo que também estamos aaproveitar os avanços datecnologia no mundo doconsumidores e a usá-la paraconseguir distribuir maisvídeo".

3. Sistemas de segurançade perímetro

Já não é preciso dependerexclusivamente de muros oucercas para guardar operímetro de uma instalação,graças aos avanços em sistemas

de monitorização deperímetros. Alguns sistemas jáutilizam microondas ou ondasde rádio para estabelecer umperímetro e podem alertar asequipas de segurança quando aárea protegida está a serinvadida. "Pode-se ver quemestá do lado de fora da área eser alertado de antemão", dizNickerson. "É um enormeavanço para o alerta precoce".

4. Reconhecimento da írisNum equilíbrio entre ser

preciso e não-invasivo, oreconhecimento de íris permiteque as equipas de segurançapossam identificar as pessoascom base apenas no padrão doseu olho. "Sou um grande fã doreconhecimento da íris, dadoque os padrões são mais únicosdo que o DNA", diz Hauhn. "Asírises são realmente boas paraserem registadas por umacâmara de alta resolução àdistância".

Como o reconhecimentofacial, é possível contornar a



tecnologia de reconhecimentoda íris com uma fotografia doolho de outra pessoa, masHauhn sustenta que não se étão facilmente enganado.Afinal, como realça Hauhn,"tente obter uma boa imagemde um olho e fazer isso".

5. Agentes de segurança ecartões de identificaçãocom fotografia

Há algo a ser dito sobre asboas e antigas técnicas devigilância com os dois olhos doser humano. Com o uso decartões RFID e os sistemas deacesso colocados em entidadesexternas, o elemento humanoda segurança está a ficaresquecido. Saber quem acedeao edifício durante anos - ou,talvez, perceber que umapessoa está a usar um cartão deidentificação com uma foto deoutra pessoa simplesmenteporque o seu rosto não é o docartão - são coisas que umamáquina não pode fazer, masum ser humano sim.

"Esta relação com oambiente é o que se está aperder", diz Nickerson."Imagine que trabalhei durante10 anos na recepção de umhotel. Conheço o seu rosto.Posso até ser capaz de dizer quevocê não deveria estar lá combase num 'feeling'. Muito dissoestá a ficar perdido".

6. Segurança ligada adispositivos móveis

Não é raro nos dias de hojeter sistemas de segurança -especialmente sistemas desegurança domésticos - ligadosa um dispositivo móvel.Sensores inteligentes, trancasde segurança sem fios esistemas remotos decontrolo/manutenção podemser controlados pelo dispositivomóvel do utilizador. Masalguns dizem que, com uma tal

conveniência, vem a segurançacomprometida.

"Embora todos sejam formasconvenientes e agradáveis paramanter a sua casa 'segura', aomesmo tempo é tudo através deum telemóvel, um dosprincipais alvos actuais dosladrões, hackers, criadores demalware, etc.", diz Ryan Jones,consultor na Lares Consulting.

Embora os atacantes possamcapturar fisicamente otelemóvel para obter as "chavesdo castelo", "as pessoas parecemnão se conseguirem ajudar aoperderem os seus telefones ou atê-los roubados", diz Jones."Antecipo um problema comassustar uma pessoa com oroubo do seu telemóvel edesbloquear a sua casa edesligar o alarme", acrescenta.

No curto prazo, Jones sugereque as pessoas tomem medidasde segurança simples paraprotegerem os seus sistemas desegurança, como o uso debloqueio no telefone, no casodele ser perdido ou roubado.

Mas, a longo prazo, será precisoum melhor controlo dequalidade. "Tem-se essesexecutivos e celebridades quenão bloqueiam os seustelefones, porque éinconveniente, mas as pessoasprecisam realmente de usar [osbloqueios no telemóvel]", diz."A longo prazo... quanto maispessoas os comprarem, haveráprovavelmente testes maisadequados feitos antes deserem colocados no mercado".

7. "Scanning" deimpressões digitais

A digitalização deimpressões digitais não só elevao nível de segurança no pontode acesso, exigindoidentificação que é única paracada pessoa, como tambémpermite que os sistemas desegurança possam manter ocontrolo de quem está a entrarnum edifício. "Ele apenas écapaz de dizer que [essapessoa] foi por esta porta nessemomento - há uma enorme



diferença entre isso que e 'éuma chave mas realmente nãotenho ideia de quem era o seuproprietário'", diz Nickerson. "Éo maior avanço que temos".

A tecnologia de "scanning"de impressões digitais estálonge de ser perfeita, noentanto, porque as impressõesdigitais podem ser transferidase copiadas usando materiaisgelatinosos, por exemplo. Mas,como aponta Nickerson, osfabricantes de sistemas desegurança biométricos têm, porqualquer razão, feito grandesavanços na melhoria das suasfalhas. "Os fabricantescomeçaram a colocar sensores

de calor... e de pressão emapeamento de calor noscanner", diz. "E agora o exametambém tem que combinar aestrutura venosa da pessoa. Sãoestes múltiplos factores deautenticação que fizeram tãogrande a biometria".

8. Reconhecimento facialParte dos avanços que têm

sido feitos na videovigilância éa codificação doreconhecimento facial. Oreconhecimento facial tornou-se tão avançado que não sópode ser usado para verificar sealguém é quem diz ser comotambém pode ser usado para

escolher uma pessoa para aretirar para fora de umamultidão.

"Pode-se usar codificação dasacções faciais, ritmo cardíaco ealterações na retina ocular paradeterminar enganos", dizNickerson, que usou o exemplode sistemas de codificação dereconhecimento facial a seremusados em casinos em LasVegas (EUA) para detectarbatoteiros nas mesas ou para osmanter fora do edifício porcompleto. "A lei em Vegaspermite fotografar imagensgenéricas de pessoas e usar amonitorização em tempo realnos casinos para essasameaças", acrescenta.

Alguns especialistasargumentam que oreconhecimento facial tem um

longo caminho a percorrer. Osque tentam passardespercebidos podemsimplesmente baixar os seuschapéus ou cobrir os seusrostos, enquanto os sistemas deverificação podem serfacilmente enganados por umaimagem do rosto de umapessoa.

Hauhn usa o exemplo decomo a polícia na Flórida usoua videovigilância comreconhecimento facial de todosos que tinham mandadosjudiciais naquele estado,quando foi palco do eventodesportivo Super Bowl há cercade 10 anos. Ele salientou quehavia milhares de falsospositivos, mas Nickersonsustenta que, apesar das falhas,a tecnologia está avançada osuficiente para ser fiável.

"Em termos de vigilância emonitorização de entradas, temmelhorado exponencialmente aquantidade de controlo e deprecisão que temos", dizNickerson.<


Apesar dasfalhas, atecnologia estáavançada osuficiente paraser fiável

Seguranca

Documents

Transcript of Seguranca