terça-feira, 9 de setembro de 2008

Dicas para evitar falhas invisíveis de segurança

O estabelecimento de acordos de não-divulgação é a primeira etapa na contratação de um consultor que terá acesso à infra-estrutura de rede

A equipe de TI veio falar comigo enquanto eu esperava pelo elevador, depois de um longo dia trabalhando na captura e análise do tráfego na rede do hospital. As portas do elevador se abriram, mas não entrei. As portas se fecharam. Olhei para a equipe de TI e perguntei: "Por que não posso ir embora neste exato momento?".

Meu estranho comportamento despertou preocupação na equipe. Era óbvio que alguma coisa estava errada. Apontei para a maleta do laptop e disse a eles que eu levava comigo todas as informações que havia reunido naquele dia. Meus arquivos de rastreamento continham senhas definidas em texto simples e nomes de login que levavam aos bancos de dados, assim como aos registros de bancos de dados vinculando as pessoas aos remédios que haviam sido prescritos para elas.

Qual é o grau de experiência da maioria dos departamentos de TI quando se trata do envolvimento com os contratantes? Quando o desempenho de uma rede é insatisfatório, as companhias geralmente recorrem a uma consultoria e dão a ela acesso ilimitado à sua rede. As informações sobre o tráfego devem ser utilizadas com o mesmo cuidado com o qual se lida com os registros confidenciais dos bancos de dados da companhia.

O estabelecimento de acordos de não-divulgação é a primeira etapa na contratação de um consultor que terá acesso à infra-estrutura de rede. Esta é a forma de proteção mais simples e, mesmo assim, é negligenciada com freqüência. Além disso, todos os arquivos referentes ao trabalho que são fornecidos para o consultor e também os que são gerados por ele precisam ser mantidos em um conector USB seguro.
Por fim, armazenei as informações confidenciais dos clientes no conector USB da Ironkey. Os relatórios sobre drives USB que foram perdidos ou laptops que foram roubados e que tinham informações confidenciais arquivadas levaram-me a procurar um meio alternativo de lidar com os dados dos clientes.

Os dados de meus clientes são criptografados em hardware utilizando criptografia no Padrão de Criptografia Avançada por Encadeamento de Blocos de Cifras (AES-CBC, na sigla em inglês). O chip de criptografia interno gera as chaves de codificação quando o conector USB da Ironkey é inicializado. Caso meu conector USB seja perdido ou roubado, quem quiser acessá-lo terá um número limitado de três tentativas para fornecer o nome de usuário e a senha corretos. Depois de dez tentativas incorretas de inserção de senha, o Ironkey bloqueia as tentativas seguintes e inicia um processo de auto-destruição.

Esta é uma boa opção para os executivos corporativos que viajam levando consigo dados confidenciais - mas é preciso tomar cuidado com aqueles distraídos, que geralmente esquecem suas senhas. Um Ironkey secundário como backup mantido em segurança é um investimento sábio.
Desse modo, enquanto você observa seus consultores saindo de sua companhia, pense em perguntar a si mesmo se eles estão saindo sem levar nada de importante - ou se estão carregando com eles dados contidos na rede da organização.

* Laura Chappell é a fundadora da Wireshark University e do Protocol Analysis Institute, Ela se apresenta todos os anos nas Conferências Sobre Segurança, realizadas na FAAP, em São Paulo. Ela escreveu com exclusividade para InformationWeek Brasil.

Reações:

0 comentários: