Nos últimos anos as empresas brasileiras adotaram massivamente a tecnologia buscando atender as necessidades de conectividade e mobilidade cada vez mais exigidas para a evolução de seus negócios. Para alguns setores do mercado, manter a disponibilidade de informações e serviços aos seus funcionários, fornecedores e clientes, há muito tempo deixou de ser um diferencial competitivo para se tornar uma necessidade básica e obrigatória, fundamental para sua existência. Mesmo que algumas atividades possam parecer não depender diretamente de apoio da área de TI, o negócio como um todo com certeza depende. Um exemplo muito claro é o que vemos em muitas metalúrgicas, com suas inúmeras máquinas ejetando milhares de peças sem parar. Empresas assim mantêm equipes de mecânicos de manutenção sempre apostos, a produção não pode parar caso alguma máquina emperre uma de suas engrenagens, pois na visão de seus diretores, os maquinários são os ativos responsáveis pelo lucro da empresa e portanto, devem estar sempre disponíveis. Pois bem, do que adiantará ter atingido a meta da linha de produção se o sistema que emite as notas fiscais dos produtos não estiver disponível quando as peças precisarem ser despachadas nos caminhões?
Garantir, além da disponibilidade, fatores como integridade e confidencialidade das informações estratégicas da organização, são exigências cada vez mais solicitadas aos departamentos de TI e como os ambientes onde são processadas, transmitidas e armazenadas estas informações sofrem constantes alterações físicas e lógicas, é factível que os controles de segurança aplicados até o momento das alterações possam não estar mais protegendo adequadamente estes ativos. A questão é: como descobrir isso antes da ocorrência de um incidente?
No cenário ideal, descobriríamos as falhas por meio de testes sistemáticos, simulando situações de ataques ou falhas operacionais que poderiam levar a uma indisponibilidade em determinados sistemas ou a corrupção de dados críticos, como uma base de dados com o cadastro de todos os clientes. Estes testes ajudariam a detectar vulnerabilidades até então desconhecidas pelos administradores da rede, assim como permitir aos gestores do negócio ter uma estimativa de possíveis prejuízos se tal incidente ocorresse. Também daria ao time de resposta a incidentes uma visão de quais ações necessitariam ser tomadas na concretização deste fato e mais do que isso, poderia ajudar a equipe de TI a adotar controles que mitigassem estes riscos. Todo este esforço no final das contas sairia mais barato do que uma única interrupção que pudesse afetar o negócio. Muitas vezes o prejuízo de uma interrupção não atinge somente a parte financeira da empresa, mas também sua imagem e reputação de forma negativa, provocando desgastes nas equipes envolvidas no problema.
Mas o que vemos na prática na maioria das empresas é o reflexo do padrão cultural do brasileiro, que prefere tomar ações reativas do que preventivas. Prefere correr o risco de passar por um incidente do que criar meios para tentar evitá-lo, ou seja, somente quando a rede é atacada, quando um sistema entra em falha e quando dados são perdidos é que se pensa em adotar os devidos controles de segurança. No entendimento da alta direção, isso nunca irá acontecer, pois ela gastou alguns milhares de reais em “firewalls” e “antivírus” e portanto, a rede está mais do que protegida. Porém, o que estes não compreendem é que para se ter um ambiente seguro não adianta colocar um firewall de última geração “padrão NASA” ou “padrão FIFA”, como vimos recentemente no país. Também não adianta comprar aquele antivírus com mais propagandas no mercado, se a equipe que for administrá-los não estiver plenamente capacitada, com disponibilidade para gerenciar as soluções e principalmente com seus controles de segurança alinhados com os requisitos e expectativas do negócio.
Como consequência desta má gestão, no primeiro grave incidente que paralise as operações da empresa, a alta direção baterá na porta do departamento de TI questionando “todo aquele investimento” em firewalls e antivírus, deixando a impressão de que não vale a pena “gastar” com TI. Analisando a situação, até entendemos porque a TI acaba sendo vista pelos demais departamentos como um ralo, escoando dinheiro da organização, pois como justificar que determinada falha ocorreu após a implementação de controles de segurança caríssimos? Como a TI pôde ser pega de surpresa numa situação como essa? A resposta é a falta de prevenção, algo enraizado na cultura dos profissionais brasileiros, que reflete diretamente na gestão destas empresas. Infelizmente, amigos leitores, este ainda é o cenário predominante nas organizações públicas e privadas de nosso país.
Porém há uma luz lá no fim do túnel que começa a trazer um pouco de esperança de que esta cultura possa ser modificada, mesmo que seja na base da obrigação, na necessidade de cumprir regras. A antiga Norma ISO 17799, hoje oficialmente conhecida como ABNT NBR ISO/IEC 27002 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática Para a Gestão da Segurança da Informação, lançada em 2005 (e atualizada em 2013), já citava a necessidade de atender a requisitos de auditorias de sistemas com o objetivo de minimizar o risco de interrupção dos processos do negócio. Esta norma ainda não é obrigatória, como praticamente vemos hoje com uma ISO 9001, porém a cada dia empresas com um certo grau de maturidade em seus processos começam a adotar determinados controles e também começam a exigir de seus parceiros os mesmos cuidados.
Temos também as recomendações das empresas de diferentes setores do mercado financeiro como bancos e operadoras de cartões de crédito, que cansadas de acumularem prejuízos com fraudes eletrônicas, iniciaram em setembro de 2006 a criação de um Conselho para debater e elaborar normas contendo as melhores práticas para o manuseio e armazenagem de dados de cartões de crédito, a Payment Card Industry (PCI) – Data Security Standard (DSS), mais conhecida como PCI-DSS. Isso está fazendo com que empresas que possuam operações de comércio eletrônico ou que prestam serviços a instituições financeiras comecem a adotar os seus requisitos, com destaque para o Requisito 11: Testar regularmente os sistemas e processos de segurança.
Neste requisito em específico, a Norma PCI-DSS exige que as empresas realizem vários tipos de testes periodicamente na rede interna e externa, incluindo avaliações nos pontos de acesso wireless, firewalls e aplicações. Estas Varreduras (Scan) e Testes de Penetração (Pentests) em alguns casos devem ser realizados trimestralmente ou após alguma modificação no ambiente de rede.
Desta forma, a busca por serviços relacionados a revisões dos procedimentos de segurança e especificamente dos controles de segurança aumentará de forma significativa, incluindo principalmente auditorias técnicas como os Testes de Penetração (Pentests). Porém, no mercado a divulgação deste tipo de serviço já acontece há algum tempo e a enxurrada de termos técnicos e siglas podem confundir até mesmo os gestores de TI mais experientes. Em meio a esta confusão, encontramos inúmeras empresas e especialistas que oferecem serviços a custos estratosféricos, simplesmente para rodar uma aplicação automatizada e gerar um relatório padrão, sem qualquer análise mais aprofundada.
Para garantir a correta contratação deste tipo de serviço, adequado à necessidade de cada empresa, com a qualidade reconhecida no mercado e principalmente dentro de uma margem de preço aceitável ao tipo de serviço contratado, apresentaremos nos próximos textos aqui no blog, alguns pontos básicos que todos os gestores deveriam entender antes de adquirir um Teste de Penetração (Pentest):
• O que é Pentest?
• Como é feito?
• Quando deve ser feito?
• Onde deve ser realizado?
• Por que tenho que fazer este teste?
Espero que com essa breve introdução, possamos contribuir com um melhor entendimento sobre a contratação deste tipo de serviço, de forma que a comparação das propostas comerciais não seja baseada unicamente no valor do contrato e sim numa avaliação conjunta e objetiva do escopo e da metodologia a ser oferecida.
Continuaremos na próxima postagem com o tema O que é Pentest?
Fontes consultadas: Revista Infra-Magazine
Imagens: Pexels
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec