Segurança da Informação no Brasil, qual é nossa realidade?
Qual é a realidade do Brasil no que diz respeito à adoção de políticas de segurança, tanto no governo quanto nas corporações? Damos a devida atenção ou estamos defasados se comparados com outros países?
Segurança da Informação no Brasil
Trabalhando como consultor da área de segurança em TI, presenciei várias falhas, muitas vezes absurdas e primárias mesmo, em sistemas e redes, o que só mostra que o brasileiro ainda não está consciente dos riscos que corremos ao enfrentarmos um atacante com forte intenção maliciosa.
Isso talvez seja devido ao fato de que a Internet só chegou no Brasil em meados dos anos 90, quando Kevin Mitnick já cumpria pena na prisão. A defasagem tecnológica que vivemos no início da era digital era muito grande, o que também afetou o desenvolvimento de metodologias e políticas de segurança. Tanto que a maioria das empresas não possui políticas de segurança bem definidas e nem procuram adquirir uma certificação ISO 27001 ou ISO 17799.
Um exemplo disso é que só em 2008 o governo brasileiro decidiu liberar uma Instrução Normativa (a Instrução Normativa GSI n°1 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências) que regula a adoção de políticas de segurança da informação em instituições públicas, sendo que nos EUA, por exemplo, essa é uma preocupação existente há muito anos.
Talvez nossa nação não tenha a devida preocupação com tal necessidade pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (por exemplo, EUA, URSS, Iraque, China etc). E nem mesmo temos invasores maliciosos (crackers) com grandes conhecimentos técnicos, ou intenções para causar grandes prejuízos ao governo. Talvez isso gere uma aparente sensação de segurança, onde achamos que vivemos em um ambiente inócuo e seguro. Lêdo engano, meus caros!
Não temos grandes ataques, mas temos pequenos roubos! Até aqui o jeitinho brasileiro de querer aproveitar-se em cima da ingenuidade dos outros prevalece. Mas se temos script kiddies que possuem conhecimento suficiente pra burlar sistemas bancários e financeiros, ou apenas enganar o usuário, em alguns anos poderemos ter atacantes profundamente perigosos, que vendem suas pilhagens para os concorrentes das empresas que invadiram. Essa é a paisagem que podemos vislumbrar se não conscientizarmos os usuários dos riscos que correm. Mas para isso os administradores precisam se conscientizar em primeira mão.
Meu trabalho como articulista é basicamente esse: escrever sobre vulnerabilidades, técnicas e dar dicas sobre como um atacante age, ou como podemos criar sistemas robustos, mais difíceis de invadir. Pois nesse ponto tenho que concordar com Eugene H. Spafford, quando ele diz:
"O único sistema realmente seguro é aquele que está desligado, enterrado em um bloco de concreto e selado em uma sala cofre protegida por guardas armados."
Como último exemplo desse artigo, vamos apenas testar o seguinte: digite na pesquisa do Google as palavras "Currículo + CPF", sem aspas, e veja o resultado. Espantado? Então, imagine o que uma pessoa maliciosa, mesmo sem conhecimentos técnicos, poderia fazer com os dados das pessoas que aparecem nessa busca. E é justamente daí que surgem os laranjas!
Então, tenhamos mais cuidado, tanto com nossas informações pessoais, quanto profissionais.
Até a próxima!
Isso talvez seja devido ao fato de que a Internet só chegou no Brasil em meados dos anos 90, quando Kevin Mitnick já cumpria pena na prisão. A defasagem tecnológica que vivemos no início da era digital era muito grande, o que também afetou o desenvolvimento de metodologias e políticas de segurança. Tanto que a maioria das empresas não possui políticas de segurança bem definidas e nem procuram adquirir uma certificação ISO 27001 ou ISO 17799.
Um exemplo disso é que só em 2008 o governo brasileiro decidiu liberar uma Instrução Normativa (a Instrução Normativa GSI n°1 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências) que regula a adoção de políticas de segurança da informação em instituições públicas, sendo que nos EUA, por exemplo, essa é uma preocupação existente há muito anos.
Talvez nossa nação não tenha a devida preocupação com tal necessidade pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (por exemplo, EUA, URSS, Iraque, China etc). E nem mesmo temos invasores maliciosos (crackers) com grandes conhecimentos técnicos, ou intenções para causar grandes prejuízos ao governo. Talvez isso gere uma aparente sensação de segurança, onde achamos que vivemos em um ambiente inócuo e seguro. Lêdo engano, meus caros!
Não temos grandes ataques, mas temos pequenos roubos! Até aqui o jeitinho brasileiro de querer aproveitar-se em cima da ingenuidade dos outros prevalece. Mas se temos script kiddies que possuem conhecimento suficiente pra burlar sistemas bancários e financeiros, ou apenas enganar o usuário, em alguns anos poderemos ter atacantes profundamente perigosos, que vendem suas pilhagens para os concorrentes das empresas que invadiram. Essa é a paisagem que podemos vislumbrar se não conscientizarmos os usuários dos riscos que correm. Mas para isso os administradores precisam se conscientizar em primeira mão.
Meu trabalho como articulista é basicamente esse: escrever sobre vulnerabilidades, técnicas e dar dicas sobre como um atacante age, ou como podemos criar sistemas robustos, mais difíceis de invadir. Pois nesse ponto tenho que concordar com Eugene H. Spafford, quando ele diz:
"O único sistema realmente seguro é aquele que está desligado, enterrado em um bloco de concreto e selado em uma sala cofre protegida por guardas armados."
Como último exemplo desse artigo, vamos apenas testar o seguinte: digite na pesquisa do Google as palavras "Currículo + CPF", sem aspas, e veja o resultado. Espantado? Então, imagine o que uma pessoa maliciosa, mesmo sem conhecimentos técnicos, poderia fazer com os dados das pessoas que aparecem nessa busca. E é justamente daí que surgem os laranjas!
Então, tenhamos mais cuidado, tanto com nossas informações pessoais, quanto profissionais.
Até a próxima!
Bom artigo. O tema de segurança nem sempre é dada a devida atenção pois é difícil mensurar os ganhos com ele, por ser intangíveis.
"Talvez nossa nação não tenha a devida preocupação com tal necessidade pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (por exemplo, EUA, URSS, Iraque, China etc)."
Quanto à esta afirmação, não muito tempo atrás roubaram um laptop da petrobrás com dados sigilosos. Foi bem divulgado esse roubo até!
No mais o artigo tá jóia!
Jeff