posicionamento brasscom - segurança de informação
TRANSCRIPT
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-032 (PP&N Segurança da Informação ) v17 1/2
SEGURANÇA DA INFORMAÇÃO E DEFESA CIBERNÉTICA
POSICIONAMENTO NO SEMINÁRIO BRASSCOM POLÍTICAS PÚBLICAS & NEGÓCIOS
Brasília, 31 de março de 2016
A informação é atualmente considerada como ativo estratégico tanto para organizações
privadas quanto para governos ao redor do mundo. A gestão da segurança da informação e
comunicação, incluindo a garantia de inviolabilidade dos dados circulantes e armazenados e
proteção ante as tentativas de intrusão em áreas seguras por parte de atores não autorizados,
tornou-se um desafio global. A experiência no setor revela que as medidas de proteção devem
levar em conta a natureza altamente dinâmica das ameaças, seja decorrente da engenhosidade
técnica ou da motivação humana em buscar brechas e vulnerabilidades.
Neste sentido, entendemos que uma estratégia de segurança da informação e defesa
cibernética deve contemplar quatro aspectos fundamentais: segurança das comunicações de
dados; segurança dos sistemas e da infraestrutura; monitoramento e operação contínua da
segurança; processos e governança.
No âmbito das redes de comunicação observa-se uma forte tendência à utilização de
algoritmos de encriptação cada vez mais sofisticados. O foco moveu-se da inviolabilidade física,
e a consequente prevenção de escutas indevidas através de "grampos", na direção da
inviolabilidade lógica, na qual se garante que a informação permanece inexpugnável ainda que
submetida ao escrutínio alheio desautorizado. Por outro lado, a crescente necessidade de prover
acesso a informações e sistemas através de distintas redes, tais como, Internet e MPLS, bem como
por intermédio de diversos tipos de acesso, a saber, fibra ótica, ADSL, 3G, 4G e mesmo WiFi, torna
inócuas as técnicas de proteção que sejam específicas a um ou outro tipo de rede. Por fim, rígido
controle das chaves de encriptação é essencial para garantir a segurança sistêmica, como
demostra a experiência com o ICP Brasil.
Técnicas de criptografia também têm papel relevante na garantia da inviolabilidade das
informações armazenadas em dispositivos computacionais, tais como servidores, notebooks,
tablets e smartphones. O controle de acesso às informações e aos sistemas que processam as
informações reveste-se, portanto, de especial criticidade, impactando a arquitetura dos sistemas
e a governança de gestão, que implica necessariamente em constante monitoração. A detecção
de tentativas de acesso por parte de pessoal não autorizado e a consequente vedação em tempo
real são essenciais para evitar a violação da informação e o uso indevido de sistemas críticos. Tais
mecanismos usualmente cobrem tanto a infraestrutura computacional quanto a de rede local ou
interna, devotando-se especial atenção sobre gateways com a Internet.
O fator humano não pode ser desprezado! O violador pode estar a quilômetros de
distância, ou ser um membro da própria organização, gozando, inclusive, de certos privilégios de
acesso. Os mais sofisticados sistemas tecnológicos podem tornar-se indefesos ante o agressor
que esteja "dentro de casa". A concepção de processos robustos com níveis de delegação bem
definidos, o constante acompanhamento de atividades e a prática de auditorias recorrentes são
fatores críticos para garantir a higidez organizacional. Modernos sistemas de correlação de
eventos têm sido cada vez mais empregados para fazer frente as ameaças de invasão não
autorizadas, inclusive tentativas de introdução de códigos malignos, tais como vírus e Cavalos de
Tróia.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-032 (PP&N Segurança da Informação ) v17 2/2
Segurança também se traduz na disponibilidade dos sistemas. Ataques que
congestionam concentradores de acesso à Internet têm se tornado frequentes e cada vez mais
sofisticados. Aqui trata-se de um mundo sem fronteiras e não raro sem bandeiras. Centros de
operação de segurança altamente especializados têm sido constituídos tanto por Estados quanto
por corporações. A gestão da segurança da informação tornou-se uma área dinâmica e com alto
grau de especialização e colaboração. A rapidez com que novas ameaças são introduzidas tem
impulsionado empresas e nações a um esforço continuo de troca de experiências, visando maior
efetividade na prevenção e combate as ameaças através do aperfeiçoamento de sistemas e
práticas.
A adesão a padrões internacionais é fator crítico de sucesso em matéria de segurança
da informação! No tocante à aferição do nível de segurança e confiabilidade de produtos de TI,
já nos manifestamos em favor da adoção, por parte da Administração Pública Federal, do
Common Criteria, materializada pela adesão do Brasil ao Common Criteria Recognition
Arrangement (CCRA). A possível criação de um centro local de Common Criteria poderia atrair
volume de certificação de empresas multinacionais e contribuiria para reduzir os custos de
certificação para empresas brasileiras, possibilitando maior inserção no mercado internacional.
É preocupante a obrigação de auditoria de programas de equipamentos fornecidos a
Administração Pública Federal, introduzida pela Portaria Interministerial nº 141, na esteira do
Decreto Presidencial nº 8.135 de 2013. À luz do dinamismo com o qual se desenvolvem ameaças
à segurança e técnicas de intrusão, são questionáveis os resultados práticos de tal medida. Por
outro lado, o custo e a quantidade de recursos qualificados para a execução de tais auditorias
seriam, seguramente, desproporcionais ao possível benefício. É essencial para a credibilidade do
País garantir o respeito e a proteção da propriedade intelectual dos provedores de hardware e
software de primeira para que continuem motivados a fornecerem para a Administração Pública
Federal.
O desafio da segurança da informação requer uma visão holística, tecnicamente
aprofundada, perseverantemente evolutiva, que não negligencie processos e governança e que
respeite e proteja a propriedade intelectual dos provedores de hardware, software e serviços de
TI!