MESA REDONDA

:: Sobre o evento :: Eventos realizados :: Fale Conosco :: Anuncie

Em Telecom, é um olho no gato,
outro no passarinho.

Elizabeth,
da Brasil Telecom
“Com o hardening, reduzimos o risco no firewall.”

Silva,
da Siemens
“Precisamos que os fornecedores tenham um papel consultivo.”

Franco,
do CPqD
“Se você só investe em tecnologia, não está pensando de forma sistêmica.”

Mangelli,
da Telemar
“Os usuários de banda larga turbinaram o número de ataques, por causa dos scripts.”

Blanco,
da NEC
“A retaguarda disso tudo que estamos falando é um verdadeiro inferno, a briga é brava.”

Mariano,
do Pinheiro Neto Advogados
“Meu conselho é: conhecer os danos diretos antes de discutir contratos.”

Raras são as empresas que mantêm sua própria rede de telecomunicações. A maioria contrata algum serviço de comunicação de dados de alguma operadora de rede de comunicações. Portanto, é importante saber o que pensam os profissionais especializados em segurança, os que trabalham para as operadoras ou nas operadoras. Foi o que o Informática Hoje fez nesta mesa-redonda, coordenada pelo diretor editorial, Wilson Moherdaui, e pelo editor executivo, Márcio Simões. Esses profissionais enfrentam desde os problemas comuns a qualquer CIO, como treinar funcionários e monitorar empresas terceirizadas, até ajudar a Polícia Federal a combater pedofilia. Os participantes foram: Elizabeth Teixeira Miliante Ribeiro, gerente de segurança de rede e informações da Brasil Telecom; Jairo Martins da Silva, CIO para o Mercosul da Siemens; João Henrique de Augustinis Franco, consultor do CPqD; Leonardo Mangelli, líder de tecnologia do escritório de segurança da Telemar; Lucas Blanco, gerente do programa de segurança da NEC; e Rodrigo d’Avila Mariano, sócio do escritório Pinheiro Neto Advogados.

IH — Nem sempre é fácil dosar corretamente a quantidade de tecnologia para resolver um problema de segurança. A correção de um problema sério pode exigir pouca tecnologia, e vice-versa. Como vocês encaram a questão?

Elizabeth Teixeira Miliante Ribeiro — Parabéns pela escolha do tema, porque o pessoal faz um curso de firewall, acaba associando a segurança à tecnologia e se autodenomina especialista em segurança. Mas, pela minha experiência, não precisamos de grandes tecnologias para resolver problemas, inclusive grandes problemas. Uma coisa que adotamos na Brasil Telecom foi uma política de hardening.

IH — E o que é hardening?

Elizabeth — Hardening significa elevar o nível de segurança de um ativo pelo fechamento de portas e de serviços que não serão usados. Você instala uma máquina seca, só com o serviço que vai rodar ali e só as portas que serão usadas pelo serviço. Criamos políticas de hardening para sistema operacional, aplicativos, bancos de dados, roteadores, switches, tudo o que vai na rede. Um dos subprodutos dessa política são scripts e procedimentos de hardening. Quando um ativo novo vai ser instalado, o operador roda o script e ele vai fechando portas, habilitando os logs necessários (para perícia posterior), habilitando e desabilitando os acessos por usuários e administradores. Tudo transparente para o operador. Com o legado, nós temos procedimentos, porque já tem uma aplicação em produção, não podemos desligar. O operador vai executando o procedimento linha a linha. Se não dá para executar o procedimento, o operador aciona um desenvolvedor ou um engenheiro de rede. Desenvolvemos cartilhas, como desenvolver em PHP seguro, como desenvolver em C++ seguro. Isso vai para desenvolvedores e parceiros. Desenvolvemos uma metodologia baseada na BS 7799, no Cobit e no Coso: sempre que um produto ou serviço está sendo criado na Brasil Telecom, passa por segurança. A gente identifica vulnerabilidades, ameaças, impacto no ativo caso alguém explore uma determinada vulnerabilidade. Com base na avaliação de risco, definimos os controles a implementar. Isso gera um insumo para que o gestor do negócio passe a gerenciar seus riscos. Com a política de hardening e a homologação de segurança, a gente reduziu bastante os riscos no firewall. Chegamos até a adiar a compra de novos firewalls, porque o tráfego no firewall caiu.

Lucas Blanco — Estou no programa de projetos de segurança da NEC. Acho que um primeiro ponto a abordar é que a tecnologia tem um limite. Ela consegue até certo ponto reduzir os riscos, mas só até certo ponto. Então, a questão é criar condições para identificar quando esse ponto é alcançado, para que haja uma ação de algum recurso humano. Equilibrar tecnologias, recursos humanos e procedimentos é difícil, tudo parece muito caro. Mas, quando a empresa consegue identificar os riscos conseqüentes de um problema de segurança, fica mais fácil justificar o investimento. O ponto de vista é o do fluxo de caixa invertido, é assim que temos trabalhado.

João Henrique de Augustinis Franco — O CPqD é originário da antiga diretoria de pesquisa e desenvolvimento da Telebrás, mas hoje é uma fundação privada. Fazemos pesquisas na área de telecomunicações, com recursos de fundos públicos, mas também prestamos serviços para empresas do setor privado. Somos um meio caminho, por assim dizer, entre a universidade e a indústria. Um ponto interessante é a certificação de equipamentos com criptografia. O governo quer saber o que está comprando. Estamos trabalhando para estabelecer um arcabouço com a parte legal e a parte tecnológica. Vai mais ou menos no exemplo do governo norte-americano, de usar o poder de compra governamental para primeiro cobrir os custos dessa certificação, e assim dar mais segurança ao comprador, inclusive o da iniciativa privada. Também temos uma boa linha de pesquisas com dinâmica de sistemas, system dynamics. É basicamente ter uma visão sistêmica, por exemplo com simulação; a simulação dá o insight, serve para testar sua compreensão do sistema e para passar informações ao cliente. Por exemplo, se você aumenta o preço do cigarro, para inibir o consumo, você também incentiva o contrabando. Segurança também é sistêmica; se você investe em tecnologia, mas não investe em treinamento, não está pensando de forma sistêmica.

Jairo Martins da Silva — A Siemens passou por um processo de globalização muito forte, no início da década de 90, o que levou a uma grande descentralização da sua cadeia de valor. Cada país tem suas competências produtivas e competências de desenvolvimento. Vocês devem perceber daí o tamanho da problemática da TI, com uma troca muito grande de informações entre os países. Isso levou a gente a tomar muito cuidado com as informações. Antes, a gente trabalhava com T grande e I pequeno. Agora, o negócio se inverteu. Na realidade, o que é estratégico é a informação, a tecnologia eu apenas tenho que saber comprar bem, porque ela já está disponível. O avanço do software e da microeletrônica colocou muita tecnologia à disposição; nessa mudança de perfil, nós ficamos muito mais próximos das áreas de negócio, vendo como o negócio acontece, como as pessoas vão buscar informações. Na tecnologia, nós procuramos padronização, porque isso reduz realmente os custos de operação. Considerando a Siemens mundial, às vezes a gente tinha o mesmo sistema em centenas de versões. Hoje, temos uma cadeia de valor descentralizada, mas integrada. Tivemos que reformular toda a nossa política de TI. Nessa reformulação, percebemos que a segurança está muito mais ligada a treinamento, a postura, a disciplina do que a qualquer outra coisa. Hoje, a prioridade número um da Siemens é ter um sistema de governança muito claro; a número dois é a segurança da informação, porque informação é estratégica. Nossa política de segurança inclui os dois lados, com treinamento para as pessoas e procedimentos para os fornecedores de tecnologia, inclusive com as famosas cartilhas para desenvolvedores; e uma monitoração muito grande. A gente centralizou mundialmente uma área que faz testes de intrusão. Renovamos o parque de máquinas, justamente para aplicar antivírus, aplicar firewalls dentro dos nossos datacenters. Então, eu diria que a tecnologia está de certa forma dominada. Estamos nos ocupando mais com o nosso colaborador.

Leonardo Mangelli — Também trabalhamos muito o problema da conscientização e também temos nossas cartilhas de hardening. Mas o usuário final — é ele quem paga a conta — muitas vezes não tem noção do que pode acontecer. Se não acontecer nenhum problema, você não fez mais que a obrigação; se acontecer: por que você não fez aquele investimento? Então, na parte de gestão de identidades, a gente entrou muito no usuário final. Num primeiro momento, o usuário pensa “vai complicar a minha vida”, mas depois ele consegue perceber que eu consigo tratar um funcionário que saiu e que não deve mais ter acesso ao sistema, pois isso pode gerar uma fraude. Trabalhamos muito também as questões de logs. Temos vários sistemas para monitorar logs e um processo de análise de logs. Entra a tecnologia para tornar o dado em informação legível, mas o processo que nos tomou mais tempo foi o de analisar tudo para correlacionar dados em informação útil. Trabalhamos bastante na política de segurança, com a ajuda do RH e do jurídico. Os padrões da lei Sarbanes-Oxley ajudaram a desengavetar projetos. Não adianta ter tecnologia se o usuário final, o operador, não acredita naquilo. Esse é o foco, tirar a imagem de vilão da TI, essa pessoa que quer atrapalhar o sistema que eu quero implementar. No caso da Telemar, eram 16 empresas, culturas diferentes, Estados diferentes, não é fácil juntar tudo e fazer todo mundo entender a questão da segurança, mas acho que já estamos em uns 90% de homogeneização da cultura de segurança. E além disso a Telemar tem ainda a telefonia móvel, com muitos produtos que integram telefonia fixa e móvel, com PDAs. Isso duplica a preocupação com a segurança.

IH — Juridicamente, como fica a divisão de responsabilidades numa empresa formada por várias empresas, com vários clientes internos e externos?

Rodrigo d’Avila Mariano — Um viés comum ao que todos disseram aqui é o da cultura. No começo, havia uma preocupação maior com tecnologia, agora há uma preocupação maior com prevenção. Na hora de discutir responsabilidades, o cliente de um sistema quer estender a responsabilidade para o fornecedor, até onde a vista alcança, o fornecedor quer limitar ao máximo sua exposição a riscos, e esse é um ponto de eterna tensão. A discussão chega num ponto em que não tem remédio legal, resposta mágica. Do ponto de vista da lei civil, você se responsabiliza pelos danos diretos que causar. Se alguém quebra a lanterna de um carro, tem de pagar só a lanterna, e não o negócio que o motorista perdeu porque chegou atrasado na reunião. Então, a discussão sempre chega num ponto em que exijo do fornecedor a responsabilidade por danos indiretos que eu nem consigo quantificar. Meu conselho é conhecer os danos diretos antes de discutir contratos. Já existem seguros no mercado para cobrir gastos com quebra de contrato, mas é preciso quantificar o valor primeiro.

Elizabeth — Eu queria fazer uma colocação. Contrato é uma coisa que sempre tem que estar muito clara, mas eu acho que a postura das empresas vem melhorando muito, o comprometimento com o usuário final está muito grande. Bancos, empresas de telecom e o NBSO (o escritório de segurança do comitê gestor da Internet), por exemplo, estão trabalhando juntos para combater o crime organizado. Se um banco tem a página clonada, por exemplo, eles ligam para a Brasil Telecom e, num tempo curtíssimo, o acesso ao site clonado é cortado, nem cobramos nada, é comprometimento mesmo. Também estamos inseridos no combate a spam. Em agosto, cancelamos contratos de spammers profissionais, está claramente no contrato que o cliente não pode fazer mau uso da rede.

IH — Pode ser uma decisão unilateral?

Elizabeth — Não pode. Nós temos um processo de varredura. Fazemos varredura, identificando smtp relay e pop relay. Fizemos, junto com o nosso jurídico, uma carta-padrão, que diz assim: “Os seus serviços estão mal configurados”. Porque pode não ser má-fé. Então o pessoal vai lá e configura. Avisamos uma vez, a segunda, até que chega um momento em que realmente fica caracterizada a má-fé. E o contrato é cancelado mesmo. Recentemente, cancelamos vários contratos de spammers profissionais.

IH — Quantos foram?

Elizabeth — Só um deles representava 70% do spam, mas quando você cancela um contrato aparecem outros spammers, acaba aparecendo na estatística. Então, o sucesso desse trabalho depende de uma equipe comprometida, capacitada e com o apoio da alta administração. Quando você fala em grandes tecnologias, ninguém faz muita restrição, parece que todo mundo adora. Quando você fala de processo, por incrível que pareça, é mais difícil. Então, a chance de sucesso é menor se você não tem uma equipe capacitada, treinada e com o apoio da alta administração. Na Brasil Telecom, também estamos iniciando, com o nosso jurídico, um trabalho de combate à pedofilia.

IH — É preciso fazer também um hardening jurídico, para dificultar o surgimento de questões que se transformem em problemas judiciais?

Mariano — Exatamente. O caso do spam, por exemplo: o provedor de acesso não pode abusar de seus direitos, pois toda empresa pode mandar propaganda para seu público; mas não pode fazer isso de forma abusada, que aí já é spam, prejudica o usuário. Então, o provedor pode monitorar o serviço, para achar quem está fazendo mau uso da rede. No caso da pedofilia, não posso dizer nem sim nem não, é a frase típica de advogado, mas existe o risco de o provedor ou a operadora serem responsabilizados. Recentemente, com as alterações do Código Civil, existe aquele conceito de que todos aqueles na cadeia de fornecimento de um determinado produto, desde o que produziu até o que vende ao usuário final, podem ser responsabilizados por defeito, vício ou ato ilícito.

Elizabeth — O provedor, sim, pode ser responsabilizado. A empresa de telecom, não. É como se fosse um cano de água, é o condutor. O condutor não tem como saber o que passa ali, eu teria que instalar um sniffer, o que eu nem posso instalar.

IH — As soluções tecnológicas estão a contento para vocês?

Elizabeth — Nós tivemos um requerimento assim: queríamos análise de pacotes IP no firewall. Por exemplo, eu quero monitorar qualquer tentativa de violação de um SAP, de um CRM ou de um billing. Das oito ferramentas que se propunham fazer esse tipo de alerta, só três atenderam esses nossos requerimentos.

Blanco — A gente está aqui meio no nível de um lorde inglês, mas a retaguarda disso tudo que estamos falando é um verdadeiro inferno, a briga é brava. A gente tem problemas sérios todos os dias. Tem encrenca toda hora.

Silva — Não adianta ser só preventivo. Tem gente que recebe e-mail com “clique aqui, ponha o número do seu CPF, para ver se saiu sua restituição do imposto de renda”. Tem gente que clica, por mais que a gente fale: se não conhece o remetente, pode apagar.

Elizabeth — Filtro de conteúdo é complicadíssimo. Os fornecedores estão sempre correndo atrás. Até existem boas ferramentas de anti-spam. Bloquear e filtrar peer-to-peer é complicado. E quando o fornecedor lança alguma coisa, é sempre um módulo à parte. Você paga substituição o ano inteiro, prevendo que qualquer benfeitoria será agregada ao produto, mas a benfeitoria é sempre um módulo à parte. Eu estou muito aborrecida com meu fornecedor.

Silva — Também precisamos que os fornecedores tenham um papel consultivo. Quando eu vou ao mercado buscar tecnologia, parece que a turma vem aos poucos, pedaço por pedaço.

Blanco — Existe o paradoxo de generalizar a tecnologia o máximo possível, para atender a todos, e de dar consultoria, dar uma solução para o negócio. É um paradoxo. Outro dia ouvi uma coisa, numa conversa, ainda não decidi se é bobagem ou não: “Não vem com essa conversa”, a pessoa disse, “porque, na verdade, em segurança a gente vai investindo aos pouquinhos, só para ir tampando buraco, porque cada hora surge uma coisa nova.” Mas acho possível estudar o problema como um todo e criar uma solução como um todo.

Elizabeth — Realmente, os atacantes mudam muito de perfil. Antigamente, os ataques eram em cima de sistema operacional, porque sabiam que o pessoal implementava tudo aberto e tal. Com a técnica do hardening, o atacante mudou de perfil, começou a atacar aplicação. Por isso as cartilhas de como desenvolver seguro, etc. Com os firewalls, os fornecedores já trabalham com nível 7. É realmente uma mudança de perfil. Você fecha aqui. E eles: “Ah, está fechado, então vou para lá”.

Mangelli — Um dos problemas é o usuário de banda larga, que turbinou realmente o número de ataques, facilitou muito a instalação de scripts.

Elizabeth — Agora, o fator crítico de sucesso, quando uma empresa responde a um incidente, é ter o dado classificado, para saber exatamente o que é risco para o seu negócio, saber de antemão quais são os eventos críticos para a organização, saber exatamente em que direção correr e quem acionar. É preciso ter um belo mapeamento de responsabilidades, incluindo jurídico, relações com a mídia, marketing, rede, TI. Essa atividade de classificação de dados, dos elementos críticos e das responsabilidades a gente faz justamente no momento da homologação da segurança.

Franco — A gente faz trabalhos com honey pots e com honey nets, ou seja, criamos redes e sistemas para atrair atacantes, para estudar o que eles fazem e como eles fazem. Evidentemente, não é uma coisa que uma empresa deva fazer, mas isso é parte do nosso trabalho de pesquisa e desenvolvimento, as empresas são beneficiárias desse conhecimento por meio, por exemplo, do NBSO. Isso é uma coisa interessante. Os crackers têm uma rede de comunicações e nós, os white heads, que queremos fazer bom uso da tecnologia da informação, precisamos nos comunicar, criar coisas boas. Como nos filmes de Hollywood, o bem sempre triunfa. É de uma certa maneira o que a gente está fazendo aqui também, numa escala pequena: trocando informações.

5 subir