Fonte : IDG News Service
Especialistas detalham as questões que tornam os ambientes públicos de acesso à internet um problema para a segurança da informação
Os funcionários das empresas abrem brechas para exposição de informações pessoais e corporativas quando se conectam a redes WiFi. De acordo com especialistas em segurança, apesar de os problemas ainda serem pequenos, o aumento do uso de smartphones, notebooks e outros dispositivos portáteis tende a gerar desastres para a organização.
O diretor de segurança da informação da PricewaterhouseCoopers Advisory Services, Ryan Crumb, já viu todos os tipos de informações em pontos de acesso – incluindo números de CPF, dados financeiros corporativos e informações sobre acordos de fusões e aquisições – que não eram para ele ver. Algumas vezes, Crumb faz uma procura para verificar quais dados desprotegidos estão viajando pelas redes sem fio. “É um problema próprio de se estar em um espaço público”, afirma Crumb.
Na mesma linha, o diretor de questões governamentais da instituição de ensino de segurança (ISC)2 norte-americana, Marc Noble, explica: "Pontos de acesso são ótimos para cibercafés, mas as pessoas que conduzem os negócios têm de entender que é responsabilidade delas proteger a si mesmos.”
Falta de informação dos funcionários
Enquanto muitos profissionais de TI sabem dos riscos desses chamados “buracos negros” e o que é preciso para minimizá-los, os líderes de segurança afirmam que os trabalhadores comuns não são tão bem informados, deixando dados importantes vulneráveis. “É um desafio resolver isso, porque os usuários querem ser móveis. Eles querem usar qualquer dispositivo para trabalhar com suas planilhas ou apresentações nesses pontos de acesso”, afirmou Crumb. “Mas basta um computador vulnerável para causar danos a uma companhia inteira.”
O diretor da ISC, como outros especialistas, afirma que não é nenhum dispositivo em particular que representa o problema. Ao contrário, ele afirma que é uma combinação de fatores que torna os pontos de acesso problemáticos em termos de proteção de dados.
Um problema é o próprio ponto de acesso, e Crumb diz que não se trata apenas das redes sem fio, mas as conexões de internet com fio também podem ser uma zona vulnerável. “O perigo é o ponto de acesso público. O risco é estar em uma rede, de outra pessoa, que você não controla. Você não sabe quem é o seu vizinho.”
Informações decodificadas nessas redes podem ser vistas por qualquer pessoa que saiba procurar, afirma o diretor. Além disso, computadores portáteis, smartphones e PDAs podem se comunicar nas redes, mesmo quando os usuários não quiserem fazer isso.
Ataques “homem do meio”
Usuários também estão vulneráveis aos ataques “homem do meio” (MITM - Man In The Middle, em inglês), afirma o analista do Gartner John Pescatore. Nestes ataques, o cracker imita uma conexão legitima para interceptar as informações.
Em qualquer um destes pontos de acesso, “alguém pode estar sentado ao seu lado fingindo ser o ponto de acesso para te enganar” e receber uma conexão sua, afirma Pescatore. Não acontece com frequência, mas acontece, diz ele. O cracker então pode utilizar essa conexão para vasculhar seu computador e roubar não apenas dados mas informações de autenticação de sistemas corporativos.
“Se ele for inteligente o suficiente para conseguir um ID e uma senha, então essa pessoa é inteligente o suficiente para saber como usá-las”, comlpeta o engenheiro sênior de segurança da informação da Raytheon Co, Bob Batie.
Os potenciais problemas apresentados por pontos de acessos não são novos para as equipes corporativas de segurança de TI. Mas o vice-presidente da consultoria de segurança SystemExperts Corp, Brad Johnson, afirma que a proliferação de pontos de acesso tem elevado a questão na lista de preocupações tratadas pela empresa. “A realidade é que a proliferação dos pontos de acessos mudou o cenário. Eles eram escassos, mas agora estão em qualquer lugar”, diz Johnson.
Políticas corporativas
Ainda assim, as práticas e políticas corporativas têm falhado, segundo Johnson. “Eles não olham para a questão como um problema com os pontos de acesso, mas como os funcionários devem manipular os dados quando não estão no ambiente corporativo”, explica ele. Enquanto as políticas podem proibir a transferência de informações corporativas em computadores domiciliares, por exemplo, pode não haver proteção suficiente para garantir que um trabalhador não envie por e-mail dados sensíveis por meio de um ponto de acesso de um hotel.
Segurança do ponto de acesso
Mesmo se a conexão for segura, o e-mail não é sempre criptografado automaticamente, e dispositivos móveis não são automaticamente configurados para utilizar a VPN da companhia quando conectados ao ponto de acesso, afirma Johnson. Além disso, as opções de segurança de dispositivos móveis nem sempre estão configuradas adequadamente, aumentando a vulnerabilidade.
O setor de TI até pode identificar esses problemas com funcionários utilizando pontos de acesso, mas isso não significa que há uma correção fácil, dizem os especialistas. “Há uma demanda constante para que as pessoas trabalhem de seus próprios notebooks ou smartphones. É o que chamamos de consumerização do TI”, diz Pescatore. E essa consumerização dificulta o reforço das políticas corporativas e configurações nestes dispositivos de propriedade privada.
O custo também influencia, afirma Batie. O uso constante de uma VPN oferece proteção, mas nem todas as companhias conseguem arcar com os gastos relacionados. E, neste cenário econômico, as empresas não estão planejando adicionar gastos – mesmo por questões de segurança – para setores que já recebem muitos investimentos, diz Batie.
Fatores humanos também contam
O parceiro da companhia de legislação Duane Morris Llp, Eric J. Sinrod, que tem acompanhado essa questão, afirma que muitas companhias precisam fazer mais para evitar potenciais problemas com pontos de acessos.
“Há algumas companhias que estão por dentro do assunto e tentam resolver a questão, mas há outras que não estão”, afirma Sinrod. “E esse problema é uma área nova, que ainda está se desenvolvendo, e provavelmente estamos apenas no começo de uma onda. Não sei se isso já afetou a massa, mas se começarmos a ouvir mais e mais sobre incidentes, ele terá de ser resolvido.”
Batie também não descarta falhas humanas em termos de segurança nos pontos de acesso. “Acho que as pessoas pensam, erroneamente, que suas informações não são tão importantes e que o treino de segurança que elas recebem não funciona muito bem, afirma.
Isso nos leva ao exemplo de Crumb buscando arquivos em pontos de acessos. Ele afirma que os usuários devem ter uma responsabilidade maior pelos potenciais problemas quando utilizam pontos de acesso.
Por que é importante
Companhias geralmente não percebem quando os dados foram comprometidos via pontos de acesso até depois do incidente, afirma Pescatore. Mas não há dúvidas de que o custo destes erros é significante. Considere alguns destaques do estudo “Custo de Falhas de Dados”, realizado em 2009 pelo Ponemon Institute LLC, que analisa questões em 45 organizações.
De acordo com os resultados, o custo médio de um vazamento de dados de uma organização foi de 6,75 milhões de dólares em 2009, crescimento em relação aos 6,65 milhões de dólares do ano anterior. E o custo do vazamento de dados por registro comprometido chegou a 204 dólares, pequeno aumento em relação aos 202 dólares registrados em 2008.
Cerca de 42% dos casos inclusos na pesquisa de 2009 envolviam erros de terceiros; 36% de todos os casos se tratam de dispositivos perdidos ou roubados e 24% dos casos incluíam um ataque malicioso ou criminal resultando na perda ou roubo das informações.
As organizações integraram uma série de ferramentas para prevenir futuros vazamentos: 67% delas utilizaram programas de treino e conhecimento, 58% utilizaram controles e procedimentos manuais e outros 58% ampliaram a utilização de criptografia.
O que o TI pode fazer
As companhias podem combater os perigos de um ponto de acesso com autenticação forte, conexão automática a uma rede VPN e criptografia automática, afirma Crumb. Eles também devem estar atentos à administração de atualizações para todos os dispositivos utilizados no trabalho, além de cuidar para que as políticas e procedimentos institucionais garantam ao TI a configuração correta destes dispositivos.
Outra possibilidade: modems 3G, que são “conexões de banda larga direta”, segundo Johnson. “Eles são uma alternativa para o ponto de acesso porque você pode utilizá-los em qualquer lugar que receba serviço da operadora”.
Outra saída é que os grupos de TI “podem tomar a atitude proativa de verificar quando esses dispositivos são conectados a rede e, a partir daí, garantir que eles estão configurados corretamente”, afirma Johnson.
A chave para garantir que os pontos de acesso não causarão nenhum tipo de vazamento de dados é automatizar ao máximo as medidas de segurança, segundo Crumb. “É como o telefone: a segurança deve existir. Então quanto mais o TI puder fazer para garantir que ela aconteça, maior será seu sucesso no final”, completa.
Medidas que o TI pode seguir para proteger os dados em pontos de acesso
- Estabelecer e reforçar políticas de autenticação fortes para dispositivos que tentam acessar redes corporativas.
- Solicitar o uso de uma rede virtual privada (VPN) para os funcionários e criptografia ao fazer uma conexão. Ainda melhor: configurar os computadores dos funcionários para que os dispositivos se conectem automaticamente à VPN e criptografem os dados depois de ter certeza que o computador ou aparelho não foi perdido nem roubado.
- Ter certeza de que todos os dispositivos e softwares estão configurados corretamente e atualizados.
- Garantir que as políticas de segurança corporativa não deixem os funcionários transferir dados sensíveis a dispositivos móveis ou computadores não autorizados.
Copyright 2010 Now!Digital Business Ltda. Todos os direitos reservados.
Um comentário:
Sorry for my bad english. Thank you so much for your good post. Your post helped me in my college assignment, If you can provide me more details please email me.
Postar um comentário