Segurança de TI
A evolução da sua Empresa é um objectivo fundamental que pode ser alcançado através do alinhamento entre os colaboradores, os processos e a tecnologia. Dado que os processos de negócio e a actividade da Empresa se encontram assentes nos sistemas de informação é fulcral proteger este activo.
A segurança das TI não envolve apenas a tecnologia, o hardware e o software, envolve a protecção dos dados, a informação, os processos, a cultura organizacional – envolve toda propriedade intelectual da Empresa. O crescente número de ataques às TI destaca a necessidade de considerar a segurança dos sistemas de informação como um factor crítico de negócio.
Para reduzir o risco de disrupções de negócio, de mitigar falhas complexas nos sistemas, de cumprir com os requisitos legais envolventes e garantir a sustentabilidade futura da Empresa, estas devem ter implementado controlos que permitam obter uma visão global efectiva do nível de segurança presente nas suas infra-estruturas.
Em que a PwC pode ajudar?
A PwC permite criar confiança através do suporte na gestão de riscos no ciber espaço, mais especificamente através de testes de intrusão, os quais envolvem a execução de ataques diversificados e com elevada frequência à infra-estrutura de rede de modo a conseguir comprometer as protecções lógicas de segurança e ter acesso a componentes restritas.
Os resultados dos testes de intrusão permitem identificar objectivamente que vulnerabilidades existem e quais os riscos associados.
Nos dias de hoje as principais ameaças à segurança são:
DOS/ DDOS (Denial Of Service/ Distributed Denial Of Service): Direccionado a criar indisponibilidade de serviço e impossibilitar a empresa de operar os seus sistemas, levando a uma potencial perda financeira.
MITM (Man-in-the-middle): Ataques que visam obter acesso privilegiado a informação. Se for efetuado na rede interna poderá ter impacto elevado.
Password cracking/Bruteforce: Processo de descoberta de passwords, através de tentativa e erro. Só é passível de ser efectuado se os serviços não estiverem protegidos com os devidos controlos de segurança.
Ramsomware: O ataque que tem sido mais noticiado. A informação é encriptada e apenas fica disponível após pagamento de uma quantia. Pagar este valor não garante a recuperação dos dados. Este tipo de ataque normalmente é despoletado através da rede interna, contudo a ameaça pode ser proveniente do exterior (e.g. abertura de um e-mail infectado)
Ataques de engenharia social: Uma das grandes vulnerabilidades dos sistemas, encontra-se nas pessoas que os operam. Apenas estas são capazes de contornar controlos, por mais rígidos que sejam. E é por este motivo que é importante não descurar possíveis ataques de engenharia social. É fundamental a consciencialização para o tema, normalmente denominada por “security awareness”.
Antes de avançar para as melhorias no ambiente de segurança, é fundamental efectuar a devida análise de risco.
É necessário um forte investimento financeiro para tornar as aplicações robustas do ponto de vista de segurança e acima de tudo é necessário assegurar que este investimento é feito periodicamente, pois estão constantemente a surgir novas ameaças. É neste sentido que a análise de risco se torna fundamental, para determinar quais são as aplicações mais críticas para a continuidade do negócio e quais são as aplicações que contêm dados mais relevantes.
O foco de segurança deve ser essencialmente sobre estas aplicações, para assegurar que caso haja uma falha de segurança, os dados não serão divulgados a terceiros.
Quanto maior a exposição à internet (e-mails, websites, outros serviços), maior é a probabilidade do ser alvo de ataque. Também deve ser ponderada a real necessidade de exposição de determinados serviços.
Apenas após a determinação do âmbito é que devem direccionar os esforços à melhoria do ambiente de TI.
Assumindo que já foi feito o exercício de IT Risk Assessment para determinar quais são os assets críticos e respectivas dependências e necessidades, é altura de elaborar um plano de ação para salvaguardar os mesmos. Entre outros, deve ser considerado o seguinte:
- Equipa de IT é experiente e tem conhecimentos de segurança de informação? Se não existirem estes conhecimentos dentro da empresa é fundamental formar elementos e/ou contratar serviços específicos na área
- Caso o serviço esteja contratualizado com fornecedores externos, assegurar que estes cumprem com boas práticas de segurança de informação (e.g. certificações ISO27001)
- Assegurar que existe dentro da empresa uma consciencialização para a segurança de informação. Os colaboradores são também uma linha de defesa muito relevante que não deve ser descurada.
- Confirmar que as comunicações estão a ser efectuadas por um canal seguro, para não serem passíveis de ser interpretadas
- Assegurar que software/hardware (Sistemas Operativos, Antivírus, Bases de dados, Firewall, VPN’s) em uso é actual e tem as últimas actualizações de segurança. Assegurar a existência de um processo de revisão para garantir a actualização atempada dos mesmos.
- Software deve ser testado para garantir que foi desenvolvido com elevados padrões de segurança e não está vulnerável a ataques (e.g. bruteforce, SQL Injection,…)
Os testes de intrusão devem ser considerados apenas como última etapa, apenas após assegurarem que já foram implementados todos os controlos necessários. Para a realização de testes na segurança da rede são utilizadas diversas ferramentas e métodos de avaliação de vulnerabilidade.
Os testes de intrusão realizados pela PwC incidem sobre todos os elementos da infra-estrutura IT:
- Aplicação – análise de vulnerabilidade no servidor no qual assenta o sistema, configurações, funcionalidades;
- Plataformas web – testes de intrusão a partir da Internet e Intranet;
- Testes de carga – os quais permitem simular a utilização intensiva de utilizadores e avaliar a estabilidade da plataforma;
- WIFI – análise de vulnerabilidade no acesso e métodos de encriptação na comunicação Wireless
- Firewall – identificação de vulnerabilidades às configurações
- VPN – identificação de vulnerabilidades sobre a VPN;
Através dos testes de intrusão é possível avaliar:
- Nível de segurança implementado na configuração dos sistemas;
- Eficácia dos mecanismos de prevenção e de detecção de ataques;
- A natureza de informação potencialmente comprometida por atacantes.
Conteúdo relacionado
Contacte-nos
Follow us
