Segurança de TI

Antes de avançar para as melhorias no ambiente de segurança, é fundamental efectuar a devida análise de risco.

É necessário um forte investimento financeiro para tornar as aplicações robustas do ponto de vista de segurança e acima de tudo é necessário assegurar que este investimento é feito periodicamente, pois estão constantemente a surgir novas ameaças. É neste sentido que a análise de risco se torna fundamental, para determinar quais são as aplicações mais críticas para a continuidade do negócio e quais são as aplicações que contêm dados mais relevantes.

O foco de segurança deve ser essencialmente sobre estas aplicações, para assegurar que caso haja uma falha de segurança, os dados não serão divulgados a terceiros.

Quanto maior a exposição à internet (e-mails, websites, outros serviços), maior é a probabilidade do ser alvo de ataque. Também deve ser ponderada a real necessidade de exposição de determinados serviços.

Apenas após a determinação do âmbito é que devem direccionar os esforços à melhoria do ambiente de TI.

Assumindo que já foi feito o exercício de IT Risk Assessment para determinar quais são os assets críticos e respectivas dependências e necessidades, é altura de elaborar um plano de ação para salvaguardar os mesmos. Entre outros, deve ser considerado o seguinte:

• Equipa de IT é experiente e tem conhecimentos de segurança de informação? Se não existirem estes conhecimentos dentro da empresa é fundamental formar elementos e/ou contratar serviços específicos na área
• Caso o serviço esteja contratualizado com fornecedores externos, assegurar que estes cumprem com boas práticas de segurança de informação (e.g. certificações ISO27001)
• Assegurar que existe dentro da empresa uma consciencialização para a segurança de informação. Os colaboradores são também uma linha de defesa muito relevante que não deve ser descurada.
• Confirmar que as comunicações estão a ser efectuadas por um canal seguro, para não serem passíveis de ser interpretadas
• Assegurar que software/hardware  (Sistemas Operativos, Antivírus, Bases de dados, Firewall, VPN’s) em uso é actual e tem as últimas actualizações de segurança. Assegurar a existência de um processo de revisão para garantir a actualização atempada dos mesmos.
• Software deve ser testado para garantir que foi desenvolvido com elevados padrões de segurança e não está vulnerável a ataques (e.g. bruteforce, SQL Injection,…)

Os testes de intrusão devem ser considerados apenas como última etapa, apenas após assegurarem que já foram implementados todos os controlos necessários. Para a realização de testes na segurança da rede são utilizadas diversas ferramentas e métodos de avaliação de vulnerabilidade.

Os testes de intrusão realizados pela PwC incidem sobre todos os elementos da infra-estrutura IT:

• Aplicação – análise de vulnerabilidade no servidor no qual assenta o sistema, configurações, funcionalidades;
• Plataformas web – testes de intrusão a partir da Internet e Intranet;
• Testes de carga – os quais permitem simular a utilização intensiva de utilizadores e avaliar a estabilidade da plataforma;
• WIFI – análise de vulnerabilidade no acesso e métodos de encriptação na comunicação Wireless
• Firewall – identificação de vulnerabilidades às configurações
• VPN – identificação de vulnerabilidades sobre a VPN; 

Através dos testes de intrusão é possível avaliar:

• Nível de segurança implementado na configuração dos sistemas;
• Eficácia dos mecanismos de prevenção e de detecção de ataques;
• A natureza de informação potencialmente comprometida por atacantes.