DEFINIÇÃO DE REQUISITOS DE SEGURANÇA
Nos dias de hoje, as empresas são totalmente dependentes de sistemas de informação. Isso significa que, se os sistemas de informação falharem, de alguma forma as atividades do negócio serão afetadas e algum prejuízo poderá ser produzido. Sendo assim, para minimizar a ocorrência de perdas devido a falhas (ou indisponibilidades de sistemas de informação) e mesmo sanções legais devido ao uso impróprio, é importante que os sistemas utilizados pela organização cumpram determinados requisitos de segurança, definidos pela própria organização e baseados nos objetivos do negócio. E isso vale tanto para sistemas já existentes quanto para aqueles que estejam sendo adquiridos ou desenvolvidos internamente.
Se tratando de sistemas já existentes, é preciso verificar se eles atendem aos requisitos da política de segurança da informação e, em caso de não conformidade, recomenda-se que se tente incorporar controles de segurança adicionais. Outra solução é a da substituição desses sistemas, desde que isso não inviabilize o negócio, afinal a segurança em sistemas de informação existe para o negócio e não o contrário.
A decisão de adquirir ou não um novo sistema cabe a um responsável que deve averiguar se o produto está de acordo com os requisitos de segurança organizacionais. Portanto, deve existir na empresa um processo formal para a aquisição de sistemas de informação.
Com relação aos sistemas desenvolvidos internamente, convém que os requisitos de segurança organizacionais sejam adotados desde as etapas iniciais dos projetos, o que é muito menos custoso do que adicionar controles de segurança em um projeto já em estágio avançado. Aliás, a adição de uma nova funcionalidade a uma aplicação também precisa estar de acordo com os requisitos e jamais deve incorporar riscos à segurança.
A organização deve utilizar somente softwares homologados e, para tal, deve contar com um setor de homologação. Logo, não deve ser permitido que os usuários façam a instalação dos softwares que bem entenderem em suas estações de trabalho, sob pena de sofrerem medidas disciplinares. A instalação deve ser feita somente por pessoal autorizado e com base em uma solicitação formal. E, até por questões de conformidade com requisitos legais, cópias não autorizadas devem ser expressamente proibidas.
VALIDAÇÃO EM SISTEMAS DE INFORMAÇÃO
Visando assegurar o processamento correto (sem perdas, sem erros, livre de modificações não autorizadas e fazendo bom uso da informação), convém que controles incluam validação dos dados de entrada e saída.
A utilização de controles de segurança para verificação dos dados de entrada ajuda a evitar ataques como a injeção de código e o buffer overflow e também inconsistências nas bases de dados.
Dentre os itens verificados, testa-se se as informações de entrada não contêm caracteres inválidos, não estão incompletas, não são incoerentes ou não autorizadas, não estão desrespeitando limites inferiores ou superiores, não estão fora de faixas de valores específicos e nem estão sendo duplicadas.
Mas ainda que os dados de entrada tenham sido validados, eles correm o risco de terem sua integridade e outras características de segurança violadas, seja por erros de processamento, falhas de hardware ou ações propositais. Por isso, os sistemas de informação precisam de controles que façam a checagem da consistência também dos dados de saída.
Na tentativa de prevenir a corrupção total ou parcial de informações durante o processamento, pode-se adotar alguns controles de monitoramento, que verificam se os programas estão rodando dentro do intervalo de tempo esperado, se estão sendo executados na ordem correta e se eles têm a execução interrompida diante de uma falha no sistema.
Outra forma de prevenção, principalmente contra ações deliberadas, se faz por meio do uso de controles criptográficos, que garantem não só a integridade da informação, mas também sua autenticidade, confidencialidade e não repúdio.
Constatada a existências de dados inconsistentes na saída, o evento pode até mesmo ser notificado como um incidente de segurança, quando então serão investigadas as causas e providenciadas as correções.
GERENCIAMENTO DE VULNERABILIDADES TÉCNICAS
Todo sistema de informação contém falhas, que mais cedo ou mais tarde acabam sendo descobertas por hackers, usuários ou pelo próprio fabricante. E essas vulnerabilidades, principalmente quando fazem parte de sistemas amplamente utilizados, acabam sendo divulgadas na Internet, se tornando disponíveis para qualquer pessoa, que pode utilizá-las para fazer o bem ou o mal.
Visando diminuir a possibilidade de que a segurança das informações organizacionais seja comprometida devido à exploração de vulnerabilidades técnicas conhecidas, convém primeiramente que seja feito um inventário completo e atualizado dos ativos de informação (fabricante, versão, usuários internos etc.).
Com base nessas informações, a organização deve, em tempo hábil, fazer um levantamento das vulnerabilidades que seus ativos possuem. Tais informações provavelmente serão encontradas no site do fabricante ou em sites especializados. Recomenda-se também a utilização de um scanner de vulnerabilidades. Faça isso antes que um invasor o faça!
Identificadas as vulnerabilidades, passa-se a ter uma ideia do quão exposta está a organização a vulnerabilidades técnicas, que devem ser eliminadas por meio da aplicação de patches de correção, priorizando sistemas de alto risco. Convém ainda a realização de testes para ter-se a certeza de que os problemas realmente foram solucionados. E, para fins de auditoria, todo o processo deve ser registrado.
No caso de não existirem patches de correção, uma das seguintes propostas precisa ser considerada: desativação do serviço, instalação de novos controles de acesso ou o monitoramento constante da vulnerabilidade.
GERENCIAMENTO DE SISTEMAS OPERACIONAIS
Com o objetivo de evitar que danos ou alterações indesejadas aconteçam nos sistemas operacionais da organização, é preciso estabelecer regras para sua perfeita utilização.
Para começar, a escolha dos sistemas operacionais a serem utilizados deve levar em consideração os requisitos de segurança e do negócio e, para isso, esses sistemas precisam ser muito bem testados. Além disso, deve-se avaliar a questão do suporte, que geralmente é deficiente em versões mais antigas.
Uma vez definido quais sistemas operacionais serão utilizados, eles precisam ser devidamente configurados, pois as configurações padrões geralmente contêm várias brechas de segurança que precisam ser eliminadas.
Com exceção à equipe de desenvolvimento, não há o porquê da existência de compiladores nos sistemas operacionais da organização, que devem conter somente códigos executáveis autorizados.
Outra questão relevante se refere às atualizações. Um sistema operacional só deve ser atualizado para uma versão mais nova, caso a versão atual não suporte mais os requisitos do negócio, visto que novas versões podem ser menos estáveis e seguras. Logo, a operação de atualização deve ser realizada somente por profissionais autorizados.
Às vezes pode ser desejável que um sistema operacional retorne a um estado anterior. Dessa forma, antes que qualquer mudança seja realizada, é apropriado certificar-se de que tais alterações poderão ser desfeitas depois.
Sugere-se ainda que patches de correção para sistemas operacionais sejam aplicados sempre o mais breve possível.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.