03 jun 2016

Pensando em segurança da informação

 

A Segurança da Informação se refere à proteção de dados (toda e qualquer informação que possua algum valor para empresas ou pessoas). Para implementar a análise e a implementação da segurança em um determinado dado, é utilizado de atributos conhecidos como CIA (Confidentiality, Integrity e Availability, ou Confidencialidade, Integridade e Disponibilidade):

  • Confidencialidade: limita o acesso à entidades autorizadas apenas;
  • Integridade: garante que a informação não seja alterada por entidades não autorizadas;
  • Disponibilidade: garante que a informação esteja sempre disponível para uso de entidades autorizadas.

Com o avanço da tecnologia, e a ascensão inevitável de aplicações web, o cuidado que deve ser tomado durante e após o desenvolvimento deve ser completamente proporcional à tamanho avanço. Considerando que boa parte da população mundial terá a possibilidade de acesso à sua aplicação, e que uma parte está disposta a usá-la como um meio de crescer de forma ilegal (seja de forma monetária ou socialmente), e/ou prejudicar a vida e a usabilidade de outros usuários, o que certamente não queremos, é extremamente necessário que tomemos atitudes em relação a segurança.

Muitas das ameaças já são conhecidas por todos, mas mesmo assim caímos nos mesmos erros. Falta de atenção? Má vontade? Descrença? O motivo real varia de acordo com quem está no comando e no desenvolvimento da aplicação, porém a questão é que isso sempre vai trazer dor de cabeça e problemas à todos os envolvidos; falta a conscientização de que essas ameaças são reais.

OWASP (Open Web Application Security Project), uma organização fundada em 2001 com o intuito de impulsionar a visibilidade e evolução na segurança de aplicações, possui uma lista com o Top 10 das principais ameaças atualmente, juntamente com métodos para ajudar a se prevenir e/ou lidar com essas ameaças.

De acordo com a ultima lista divulgada, algumas ameaças merecem serem tratadas com atenção, como as Injections por exemplo. Algo tão corriqueiro e de conhecimento geral, é a 1º colocada já a algum tempo nesse top 10. Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) também são vulnerabilidades bastante conhecidas e figurantes nos últimos top 10.

Outras ameças interessantes são: exposição de dados sensíveis, falta de controle de acesso e a não validação de redirects.

Talvez outro motivo de tantos sites sofrerem esse tipo de ataques sejam por mera acomodação da equipe como um todo, com pensamentos do tipo “Ninguém se interessa pelo nosso site…” ou “Nós temos backups, então tá tudo certo!” . É necessário refletir e se preparar para encarar ameaças, durante todas as fases do projeto, com atitudes das mais simples às mais complexas, desde a cultura de testes ou utilização de firewalls e SSL, por exemplo.

Nesses cenários, há diversas boas práticas, no âmbito de gestão, que podem ser seguidas para evitar ao máximo esse tipo de riscos:

Controles de Acesso: Físicos ou lógicos, servem para proteger equipamentos, aplicativos e arquivos de dados, definindo quem deve possuir acesso a qual parte do sistema. Ex.: Catracas (físicos), logins/biometrias (lógicos).

Classificação da Informação: Serve para definir níveis e critérios para a proteção em cada tipo de informação, definindo prioridades de acordo com as organizações. Ex.: Definir um certo dado a ser classificado, e então definir um nível, dentre os seguintes:

  • Confidencial: o mais alto nível de confidencialidade;
  •  Restrito: médio nível de confidencialidade;
  • Uso Interno: O mais baixo nível de confidencialidade;
  • Público: todos tem acesso.

Políticas de Segurança da Informação: É um conjunto de princípios para ajudar na gestão da segurança da informação, com diretrizes que determinam as linhas que devem ser seguidas pelas organizações.

Planos de Contingência: É um conjunto de estratégias e procedimentos que uma organização deve possuir para caso haja algum problema que comprometa o andamento de processos , visando minimizar os danos. Normalmente seguem o seguinte roteiro:

  1. Identificar todos os processos de negócio;
  2. Avaliar os impactos no negócio;
  3. Identificar riscos e definir possíveis cenários de falha;
  4. Identificar medidas para cada falha;
  5. Definir forma de monitoramento após as falhas;
  6. Definir critérios para ativação deste plano;
  7. Definir o responsável pela ativação;
  8. Definir a forma de reposição do negócio ao estado normal.

Portanto, tendo em vista os problemas que podem ser causados por essas vulnerabilidades, sejam estes simples como lentidão no serviço, ou vazamentos de dados sensíveis, que gera um estresse muito maior, é necessário que tenhamos em mente que esses processos gerenciais, e atitudes em relação às vulnerabilidades durante o desenvolvimento podem evitar muitos problemas para a instituição, além de criar uma aplicação na qual o usuário final se sinta mais seguro.

CTA-ebook-transformação-digital

 

Leave a Comment