Segurança de TI

Que sistemas devem estar salvaguardados?

É necessário um forte investimento financeiro para tornar as aplicações robustas do ponto de vista de segurança e acima de tudo é necessário assegurar que este investimento é feito periodicamente, pois estão constantemente a surgir novas ameaças. É neste sentido que a análise de risco se torna fundamental, para determinar quais são as aplicações mais críticas para a continuidade do negócio e quais são as aplicações que contêm dados mais relevantes.

O foco de segurança deve ser essencialmente sobre estas aplicações, para assegurar que caso haja uma falha de segurança, os dados não serão divulgados a terceiros.

Quanto maior a exposição à internet (e-mails, websites, outros serviços), maior é a probabilidade do ser alvo de ataque. Também deve ser ponderada a real necessidade de exposição de determinados serviços.

Apenas após a determinação do âmbito é que devem direcionar os esforços à melhoria do ambiente de TI.

Como salvaguardar a sua organização? Assumindo que já foi feito o exercício de IT Risk Assessment, é necessário elaborar um plano de ação no qual deve ser considerado o seguinte:

• Experiência da equipa de IT
  Entenda se equipa de IT é experiente e tem conhecimentos de segurança de informação. Se não existirem estes conhecimentos dentro da organização é fundamental formar elementos e/ ou contratar serviços específicos na área.
• Cumprimento de boas práticas de segurança de TI
  Caso o serviço esteja contratualizado com fornecedores externos, assegure que estes cumprem com as boas práticas de segurança de informação (e.g. certificações ISO27001);
• Consciencialização para a segurança de informação
  Certifique-se que existe dentro da organização uma consciencialização para a segurança de TI. Os colaboradores são também uma linha de defesa muito relevante que não deve ser descurada.
• Comunicações efectuadas por canal seguro
  Confirmar que todas as comunicações estão a ser efetuadas por um canal seguro, para não serem passíveis de ser interpretadas.
• Atualizações de software / hardware
  Assegurar que software / hardware (sistemas operativos, antivírus, bases de dados, firewall, VPNs) em uso é atual e tem as últimas atualizações de segurança. Assegurar a existência de um processo de revisão para garantir a atualização atempada dos mesmos.
• Testes ao software
  Software deve ser testado para garantir que foi desenvolvido com elevados padrões de segurança e não está vulnerável a ataques (e.g. bruteforce, SQL Injection,…).

Os testes de intrusão devem ser considerados apenas como última etapa, apenas após assegurarem que já foram implementados todos os controlos necessários.

Os testes de intrusão realizados pela PwC incidem sobre todos os elementos da infraestrutura IT:

• Aplicação – análise de vulnerabilidade no servidor no qual assenta o sistema, configurações, funcionalidades;
• Plataformas web – testes de intrusão a partir da Internet e Intranet;
• Testes de carga – os quais permitem simular a utilização intensiva de utilizadores e avaliar a estabilidade da plataforma;
• WIFI – análise de vulnerabilidade no acesso e métodos de encriptação na comunicação Wireless
• Firewall – identificação de vulnerabilidades às configurações
• VPN – identificação de vulnerabilidades sobre a VPN; 

Através dos testes de intrusão é possível avaliar:

• Nível de segurança implementado na configuração dos sistemas;
• Eficácia dos mecanismos de prevenção e de deteção de ataques;
• A natureza de informação potencialmente comprometida por atacantes.