fevereiro 23, 2009

[Segurança] 10 passos para se proteger contra uma Guerra Cibernética

Sei-lá-porque, acabei caindo na página de um artigo de 2007 da NetworkWorld chamado "10 steps to prepare for cyberwar", que foi escrito na época do ataque DDoS de grupos russos a Estônia, que levantou uma discussão generalizada sobre a possibilidade efetiva de uma guerra cibernética (ou Guerra 3.0, como eles chamaram). Eu achei este artigo bem interessante pois ele simplifica 10 dicas bem genéricas sobre como as empresas devem encarar a segurança e a necessidade de resposta a incidentes.

Abaixo eu reproduzo emas, com alguns comentários adicionais meus, para complementar o artigo:
  • Manter um inventário de rede: de fato, esse deve ser o primeiro passo para tudo. Antes de mais nada, a empresa tem que saber que ativos possui. Quais equipamentos, qual a configuração e qual o uso. Depois vamos pensar em segurança. A única vez que vi isso acontecer foi na época dao Bug do Milênio, que as empresas relacionaram todos os seus ativos e testaram tudo para garantir que não teriam problema (ou para consertarem os problemas antes de ocorrerem). Foi um trabalho que, certamente, muitas empresas jogaram fora depois da virada de ano. Duvido que muitas empresas tenham mantido esse levantamento atualizado até hoje.
  • Mantenha a rede privada separada da Internet, logicamente e fisicamente: Só forneça acesso a Inernet para quem realmente precise disso. Muitos servidores são para uso interno e não precisam ter acesso a Internet.
  • Seja vigilante, mantenha um time de monitoramento de rede ativo constantemente, 24x7, com conhecimento sobre a sua rede, seus equipamentos e com ferramentas para monitorar o ambiente.
  • Eduque seus profissionais sobre as práticas de segurança em TI. Todos os profissionais, incluindo os usuários e o seu time de TI (analistas de suporte, de redes, de servidores, além de BDAs e desenvolvedores) devem ter conhecimentos básicos sobre as necessidades e ameaças de segurança e, principalmente, devem ser orientados sobre como realizar suas atividades de forma segura. Muitas empresas estão acostumadas a desenvolver campanhas de conscientização para seus usuários, mas nem todas se preocupam em orientar o seu time de TI sobre como realizar o trabalho deles seguindo boas práticas de segurança - este é um conhecimento mais especializado que poucos possuem, embora esteja disponível facilmente na Internet e em vários livros.
  • Tenha políticas e planos de segurança e os teste periodicamente. Sem comentários... A Política de Segurança deve exitir e ser a base para todas as atividades da empresa.
  • Saiba como contactar o seu ISP em caso de emergência. O provedor de acesso (ISP) desempenha um papel fundamental para ajudar as empresas que estejam sofrendo um ataque. Eles podem auxiliar na identificação da fonte do ataque, podem ajudar com orientações e com sua experiência. Muitos ataques podem ser barrados pelo ISP antes de chegarem a afetar o link de comunicação e os servidores da empresa.
  • Tenha um plano de backup. Nenhuma empresa deveria funcionar sem ter um Plano de Continuidade de Negócios (PCN) que a oriente como agir em caso de um problema em sua infraestrutura (por exemplo, o que fazer se o sistema de faturamento parar) ou em caso de um incidente de maior proporção (por exemplo, se a empresa deve ter um datacenter backup ou não, e como agir). Muitas empresas sequer tem uma política de backup de dados consistente, o que pode ser trágico para os negócios. Hoje a capacidade de criar, manter e proteger a informação é crucial para todas as empresas.
  • Reduza sua exposição. O artigo chamou este ítem de "Reduce your profile" e incluiu uma dica de aumentar a segurança física das instalações da empresa, mas eu interpreto aqui como sendo a necessidade de diminuir as informações sobre a empresa que são mantidas publicamente ou que são divulgadas (intencionalmente ou não). O objetivo é evitar que um atacante descubra informações que facilitem seu ataque, como saber aonde fica o local da empresa, os nomes dos executivos, os telefones de contato, etc. Evite divulgar qualquer informação sobre a empresa, sobre seus equipamentos e sobre seus profissionais (por exemplo, divulgar qual é a infra de TI em um artigo para uma revista especializada ou um funcionário que fale "mais do que devia" em uma lista de discussão). Ah, e não esqueça da segurança física. Vejo muitos profissonais de Segurança da Informação se preocupando com os aspecto tecnológicos e relevando, ou não dando a devida atenção, para a segurança física do ambiente.
  • Cuidado com o usuário interno. Essa é uma dica que falamos constantemente: os piores ataques e fraudes são causados por funcionários internos, que possuem acesso a sistemas e, repentinamente, os utilizam para fins malignos.
  • Finalmente, mantenha um plano de resposta a incidentes. Isto deve fazer parte da sua política de segurança (dica 5) e estar relacionado também ao seu PCN (dica 7). O plano de resposta a incidentes define quem é responsável por agir em caso de um ataque cibernético e orienta estas pessoas a como e quando agir. Este time deve ser treinado e deve realizar simulações periodicamente, pois devem estar aptos a responder a um ataque a qualquer momento. Responder a um ataque, no caso, corresponde a saber identificar um ataque, isolar sua origem e seu destino, saber como barrar este ataque e como realizar uma análise forense dele (se necessário).

Como disse anteriormente, este artigo é bem interessante e estas dicas se aplicam a qualquer empresa e a qualquer tipo de incidente de segurança, e não apenas no caso de uma guerra cibernética (como o título leva a crer). Boa leitura :)

[Cyber Cultura] Blogosfera Policial

Na Campus Party 2009 eu tive a oportunidade de assistir o painel Blogosfera Policial, um debate muito interessante entre os policiais que possuem blogs e os utilizam como forma de falar sobre qual é a realidade do dia-a-dia deles. No debate foram discutidos os tipos de blogs, os aspectos positivos e negativos e, o mais interessante, a dificuldade desses policiais manterem seus blogs frente as rígidas regras policiais e militares, que regulam a liberdade de expressão deles.

O Alexandre de Souza, do blog "Diario de um PM" e o blog "Abordagem Policial" juntos criaram uma lista de blogs policiais, que totaliza 59 blogs de policiais de todo o Brasil e de várias polícias (policiais militares, civis e federais). Alguns destes "policiais blogueiros" usam a Internet para divulgar o trabalho da polícia, outros para dar dicas de segurança para as pessoas, outros para divulgar conhecimento entre os profissionais (como posts explicando novas armas, tecnologias ou qualquer coisa relacionada ao trabalho) e, por fim, alguns utilizam a Internet para discutir os problemas da corporação. Alguns blogs falam um pouco de tudo, outros acabam seguindo uma temática mais específica.

O uso da Internet está se infiltrando tanto entre esses policiais que alguns deles possuem Twitter e eles também criaram o site PM Tube, para compartilhar vídeos sobre o dia-a-dia dos policiais.

fevereiro 18, 2009

[Cyber Cultura] A história da Internet

Há um vídeo-documentário muito interessante no YouTube sobre a "História da Internet", de 1957 até os dias de hoje. Mostra rapidamente, através de uma narrativa fácil e objetiva, as principais motivações e evoluções tecnológicas que foram responsável pelo surgimento da Arpanet e o seu crescimento até a atual Internet.

fevereiro 12, 2009

[Cyber Cultura] Quadrinhos "Geek"

Eu adorei essa tirinha, mas acho que poucas pessoas vão rolar no chão de rir ao meu lado...



Este site, xkcd.org, tem vários quadrinhos engraçados, onde vários deles tem uma temática voltado para o público "nerd", conhecedor de tecnologia e de ciências exatas (principalmente matemática).

fevereiro 09, 2009

[Segurança] Dia da Internet Segura



Amanhã, dia 10 de fevereiro, será comemorado o Dia da Internet Segura, uma ação que foi criada para promover a necessidade de segurança no uso da Internet através de diversas ações como palestras, seminários, desenhos e jogos. Também foram criados alguns vídeos divulgando o evento, que estão disponíveis no YouTube.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.