Nunca antes a segurança
da informação esteve tão presente no dia a dia das pessoas. Esta é uma questão
que afeta a todos sem distinção, de grandes corporações, passando por pequenas
empresas e organizações sem fins lucrativos, até pessoas físicas. Por outro
lado, assistimos a uma grande difusão de dispositivos, não somente
corporativos, mas também dos próprios usuários que passaram a se conectar a
Internet para acessar aplicativos e informações, de forma ininterrupta.
E
o que isso representa em termos de segurança da informação? De imediato,
podemos perceber que as políticas tradicionais de segurança, especialmente
voltadas à proteção das estações de trabalho, não são mais tão eficazes para
conter as brechas de segurança, principalmente se levarmos em consideração a
mobilidade dos usuários e dos sistemas de informação. Mas o que a mobilidade
tem a ver com isto?
Não
há dúvidas que a mobilidade é, hoje, a palavra de ordem. Para se ter uma ideia,
segundo a IDC, foram vendidos cerca de 2,6 milhões de tablets no Brasil em
2012. Neste ano, este número deve saltar para 5,4 milhões. Outra pesquisa, da Our Mobile Planet realizada pelo Google
em parceria com o Instituto Ipsos, revelou que 14% dos celulares no País são
smartphones. O uso desses dispositivos móveis intensificou a utilização de aplicações
(apps), que segundo estimativas do Gartner, as lojas on-line de aplicações -
App Store e o Android Market - devem distribuir 70 milhões de aplicativos até
2014.
E
se por um lado a ubiquidade do acesso à tecnologia representa uma quebra de
paradigma, esta difusão de mobilidade tem por principal característica a
descentralização do acesso à informação, permitindo que seus clientes,
parceiros ou grupos de amigos realizem, a partir de ambientes não controlados,
interações sensíveis com seus aplicativos hospedados na Internet. Uma pesquisa
da Juniper Research informa que o número de colaboradores que usam smartphones
e tablets pessoais nas empresas vai mais que dobrar até 2014, chegando a 350
milhões em comparação com quase 150 milhões este ano.
Para
entender melhor o problema, vamos tratar da questão dos aplicativos. Em sua grande maioria, os ataques de hoje
começam por meio de brechas de segurança nos aplicativos utilizados pelas
pessoas para realizar suas atividades diárias, tais como acessar e-mail, canais
de atendimento, portais de notícias, enquetes, internet bank, etc. A partir
destas falhas, os criminosos estruturam operações com alvos específicos como a
prática de fraudes eletrônicas, roubo de identidade e crimes contra o sistema
financeiro. A fragilidade dos aplicativos disponibilizados por uma determinada
empresa pode, inclusive, determinar o grau de sucesso para atacar os seus
serviços e clientes.
Para
se ter uma ideia, nove de cada 10 aplicações corporativas que foram analisadas
pela RedeSegura possuem algum tipo de vulnerabilidade que pode ser explorada
por meio de ferramentas amplamente disponíveis na Internet. Destas aplicações
vulneráveis, apenas duas serão corrigidas em uma janela de tempo necessária
para evitar ataques mais sérios. Já o relatório de Tendências e Riscos X-Force dá conta que mais de 4,4
mil novas vulnerabilidades de segurança na web e em mídias sociais foram
encontradas no primeiro semestre de 2012. Destas, 47% não foram corrigidas.
Mas
por que isso acontece? Tradicionalmente as organizações nunca se preocuparam
diretamente com os aplicativos. Bastava assegurar que o usuário e o meio de
comunicação estivessem protegidos. Entretanto, neste jogo de
insegurança, perdem os dois lados. Perde o desenvolvedor do aplicativo, que
permite que seu sistema e dados de clientes sejam expostos de maneira
arbitrária, e perde o usuário, que muitas vezes é vítima de ataques facilitados
por estas falhas, instalando e hospedando malwares, programas maliciosos como botnets e cavalos de
troia.
Sem
a correta metodologia de detecção de falhas de segurança ainda na fase do
desenvolvimento dos aplicativos, procedimento muitas vezes esquecido, o
serviço, mesmo com funcionalidades perfeitas, será um calcanhar de Aquiles na
segurança. Além desta prevenção, é importante rodar um sistema
confiável que consiga rastrear, da forma mais eficiente possível, as brechas na
segurança dos aplicativos já existentes em produção. Estas são mudanças primordiais para o futuro da
segurança da informação neste mundo cada vez mais conectado.
*
Thiago Zaninotti, CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da
computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da
tecnologia patenteada da N-Stalker e CTO da REDE SEGURA TECNOLOGIA.
Sobre a REDE SEGURA TECNOLOGIA:
A
REDE SEGURA TECNOLOGIA foi fundada pela N-Stalker, empresa com mais de 13 anos
de experiência em segurança na internet, para licenciar com exclusividade o uso
do Sistema RedeSegura, que implementa uma metodologia de segurança dirigida
para as aplicações web e seus servidores. O uso do Sistema RedeSegura suporta o
processo de Gerenciamento de Vulnerabilidades, criando um ciclo contínuo de
melhoria da segurança que vai desde a avaliação da qualidade das entregas do
desenvolvedor (QA de Segurança), até o Monitoramento do Risco de ataques no
ambiente web de produção, cobrindo todo o ciclo de vida das aplicações web com
avaliações de segurança recomendadas pela OWASP, o PCI-DSS, e SANS/FBI. A
metodologia de segurança proposta pela REDE SEGURA TECNOLOGIA integra equipes
técnicas multidisciplinares em torno de uma política de segurança abrangente, e
em conformidade com melhores práticas, promovendo assim um avanço do Grau de
Maturidade das empresas na Gestão da Segurança da Informação. Para mais
informações: www.redesegura.com.br
Nenhum comentário:
Postar um comentário