NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. CSO e a importância da monitoração remota
11 AGO 2003

CSO e a importância da monitoração remota






Arquivo do Clipping 2003

11 de agosto de 2003

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Prevenir, deter, detectar e responder. Em conjunto, esses quatros verbos conjugados podem definir bem a importância da monitoração remota na implementação de segurança em sistemas em rede de uma organização.

Para falar sobre o tema, entrevistamos Augusto Paes de Barros, profissional da área de Security Office do BankBoston e um dos palestrantes do 1º Encontro Nacional de Chief Security Officer (CSO), que será realizado no próximo dia 19, em São Paulo.

"Nem sempre é possível evitar que ataques sejam bem sucedidos. Por isso dizemos que a implementação de segurança deve atuar não apenas para prevenir e deter ataques, mas também detectar e responder a eles. Com isso é possível minimizar os danos causados por uma invasão e até mesmo evitá-los ao detectar as primeiras ações do ataque", avalia Augusto.

A esse cenário, somam-se os dados divulgados pela 8ª Pesquisa Nacional de Segurança da Informação, realizada pela Módulo entre os meses de março e agosto de 2002. Nela, 78% das empresas no Brasil reconheceram que tiveram perdas financeiras em decorrência de incidentes de segurança.

A preocupação com esses incidentes envolve tanto vetores externos, como os hackers, apontados por 48% dos entrevistados como os principais responsáveis por ataques e invasões, como os vetores internos, em que 24% e 12% dos participantes da pesquisa apontaram, respectivamente, os funcionários insatisfeitos e prestadores de serviços como os outros responsáveis por incidentes em seus sistemas.

Assim, qual seria o papel do Security Officer na implementação dos sistemas de monitoração? Veremos a seguir.

Aspectos da monitoração

Primeiro, é preciso entender alguns aspectos que envolvem um sistema de monitoração. Segundo Augusto Paes de Barros, a monitoração remota requer investimentos em hardware e software para detecção de ataques (IDS) e para consolidação e tratamento de logs.

"É necessário que os profissionais que recebem a informação sejam capazes de identificar o que está ocorrendo e o real nível de criticidade da situação. Um ajuste fino dos níveis de alerta é imprescindível, uma vez que um alarme que costuma disparar sem motivo tende a ser ignorado, mesmo quando há motivos reais", explica.

Porém, para o especialista, o mais importante é a definição dos processos. "A infra-estrutura de monitoração implementada sem os processos necessários para sua operação acaba sendo abandonada, com telas cheias de alertas sem acompanhamento nenhum", diz.

Nesse momento, constata-se a importância do Security Officer. "Cabe ao CSO montar o plano de implantação da monitoração não apenas visando a tecnologia, mas também definindo os processos de acompanhamento e resposta (inclusive o time de resposta a incidentes), além de promover a calibragem dos sensores para evitar o excesso de falsos positivos", confirma Paes de Barros.

Parece que essa visão se torna unânime entre as empresas brasileiras. Entre as principais medidas de segurança adotadas em 2002, os itens detecção de intrusos (intrusion detection) e monitoração de logs foram apontados por 61% e 55%, respectivamente, dos entrevistados, durante a 8ª Pesquisa Nacional de Segurança da Informação.

Equipes de resposta a incidentes (CSIRT)

Mas afinal, você sabe o que significa um CSIRT? Em inglês a sigla CSIRT significa Computer Security Incident Response Team. Em português, ela é traduzida para Equipe de Resposta a Incidentes de Segurança.

Entre as principais funções destas equipes, Augusto Barros, do BankBoston, destaca duas situações. "Uma delas são as ações a serem tomadas por ocasião da divulgação de novas vulnerabilidades, coordenando as equipes de suporte na instalação de correções e nas ações mitigantes. A outra é a resposta a incidentes em si, após a detecção, visando quantificar e minimizar o impacto, corrigir as falhas utilizadas, identificar os responsáveis, retomar as atividades e documentar as lições aprendidas", explica.

Em entrevista recente, Cristine Hoepers, Analista de Segurança sênior do NIC BR Security Office (NBSO), disse que "hoje em dia qualquer instituição que julgar necessária a instalação de um grupo de resposta a incidentes deve fazê-lo".

Porém, a adoção no país ainda é gradual se compararmos ao cenário de outros países. "No Brasil ainda são poucas as instituições que tem um grupo dedicado às tarefas de um CSIRT, mas no exterior podemos ver CSIRTs que atendem países, universidades, bancos, operadoras de cartão de crédito e até a Cruz Vermelha americana", revelou a especialista.

Outsourcing: vantagens e desvantagens

Segundo a 8ª Pesquisa Nacional de Segurança da Informação, 86% das empresas são favoráveis a algum tipo de outsourcing. Ainda no estudo, 66% dos entrevistados consideraram importante o outsourcing dos serviços de segurança da informação, "uma vez que é uma atividade que necessita do apoio de especialistas".

"A infra-estrutura e o conhecimento necessários para a implantação de um sistema de monitoração remota completo, que funcione 24x7, são extremamente caros. Empresas que não podem contar com uma equipe de segurança exclusiva para a monitoração podem se beneficiar da terceirização, concentrando os recursos disponíveis nas ações de prevenção", diz Augusto.

No entanto, o especialista diz que as vantagens com a redução de gastos devem ser analisadas em relação a possíveis riscos que esse tipo de serviço poderá trazer. "Porém, como em qualquer ação de outsourcing de serviços de segurança, corre-se o risco de ter terceiros acessando dados de alta criticidade. Além disso, pessoal externo costuma ter mais dificuldade no entendimento dos riscos associados ao negócio", finaliza.

CSOs brasileiros reunidos

No dia 19 de agosto, terça-feira, em São Paulo, os principais profissionais de Segurança da Informação do país estarão reunidos no evento 1º Encontro Nacional de Chief Security Officer (CSO).

Por lá, a comunidade de segurança poderá discutir temas gerenciais (ISO 17799, Legislação, Certificação Profissional, entre outros) e temas técnicos (Wireless, Segurança em redes, Biometria, Certificação Digital, entre outros).

Na programação do evento, o tema "Monitoração Remota" será o mote principal da palestra ministrada por Augusto Paes de Barros, do BankBoston. Mais informações sobre o encontro podem ser obtidas no hotsite do evento.

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso