http://imgs.sapo.pt/gfx/110924.gifNum recente seminário organizado num hotel de Lisboa pela Via Net.Works, alguns responsáveis deste fornecedor de acesso à Internet identificaram os principais riscos e ameaças que se colocam actualmente e cada vez mais à segurança dos sistemas e redes informáticas das empresas, tendo em seguida apresentado algumas das soluções de segurança em regime de outsourcing e de gestão de firewalls e VPNs (Virtual Private Networks ou redes virtuais privadas).



Na sequência deste evento, o TeK entrevistou por email Pedro Ivo Carvalho, gestor de serviços profissionais da Via Net.Works de forma a obter mais informações sobre a perspectiva desta empresa em relação aos obstáculos que se colocam aos administradores de sistemas, tanto de grandes organizações como de PMEs, na protecção da infra-estrutura tecnológica empresarial. Pedro Ivo Carvalho referiu ainda as soluções que a sua companhia disponibiliza para resolver esses problemas de segurança.



TeK: Em que medida é que a falta de segurança poderá colocar em perigo o funcionamento das redes informáticas empresariais?


Pedro Ivo Carvalho: Cada vez mais as empresas usam a Internet para potenciar e desenvolver os seus negócios. Desde o simples email para contacto com parceiros e clientes à promoção dos seus serviços e produtos através do website ou à promoção da marca, etc...


A falta de segurança no acesso à Internet pode revelar-se de várias maneiras: falta de confidencialidade da informação, com acesso indevido a informação privilegiada, informação de clientes e preços de produtos; falta de Integridade, que corresponde à alteração ou destruição da informação com fins maliciosos ou não, defacements - desfigurações - de sites, worms e vírus; falta de disponibilidade ou incapacidade de aceder à informação quer por uma conjugação dos dois pontos anteriores quer como resultados de acção individual e hacking.


Estas acções traduzem-se na prática por danos à operação de uma empresa, custos adicionais, e fundamentalmente danos à credibilidade com os parceiros de negócio.



TeK: Quais são as principais ameaças às intranets neste momento em Portugal?

P.I.C: È sempre difícil avançar com dados concretos para este tipo de quantificação, porque os estudos publicados no Reino Unido revelam que 85 por cento de firmas atacadas não reportam os incidentes...


Acredito que os tipos mais comuns de ataques são os vírus, trojans e worms, nas suas formas mais variadas e sofisticadas. Por outro lado, a exploração de bugs em servidores Web tem potenciado ataques do tipo website defacements, executados com intuitos mediáticos. Os ataques do tipo buffer overflow também têm sido comuns.



TeK: Acha que as empresas nacionais estão consciencializadas para os potenciais perigos que advêm da Internet e do seu interior?


P.I.C: A resposta a esta pergunta é um Sim e um Não. Por uma razão simples: um estudo publicado pela Computerworld de Novembro de 2001 mostra que 77 por cento das administrações das 500 maiores empresas estão preocupadas, muito preocupadas ou extremamente preocupadas com a segurança nos sistemas informáticos.


Paradoxalmente, o mesmo estudo revela que, das firmas inquiridas, 55 por cento não têm política de segurança, 53 por cento não a reviu nos últimos 2 meses, 59 por cento não tem plano de emergência e 57 por cento audita sistemas e comunicações com frequência superior a 2 meses ou nunca o faz. Existe uma grande diferença entre as preocupações demonstradas e as políticas usadas no dia a dia.



TeK: Existem grandes diferenças entre as PMEs e as grandes empresas em relação ao comportamento adoptado perante este tipo de problemas?


P.I.C: As PMEs são muito mais sensíveis a este tipo de problemas porque, tendo as mesmas necessidades do ponto de vista de segurança, na grande maioria dos casos não têm recursos próprios que lhes permitam implementar e manter arquitecturas de segurança eficazes. Nas PMEs os gestores têm que ponderar entre investir em segurança ou investir na dinamização do negócio. Muitos decidem correr o risco.


As grandes empresas foram desenvolvendo, por necessidade, sistemas de protecção perimétrica, sistemas de detecção de intrusão, sistemas de antivírus centralizados, programas de disaster recovery, definição de políticas de acesso a dados, etc.


As PMEs têm, por natureza, implementado arquitecturas mais ligeiras baseadas essencialmente em protecção perimétrica, firewalls, e protecção antivírus.



TeK: Quais são as ofertas de serviços que a Via Net.Works disponibiliza para ambos os segmentos de mercado?


P.I.C: Em termos genéricos, a oferta de segurança da Via Net.Works caracteriza-se pela disponibilização de soluções ao nível da segurança de acesso, da segurança de conteúdos, da segurança de sistemas e da prestação geral de serviços do domínio da segurança.


Ao nível das soluções de segurança de acesso, a chamada segurança perimétrica - firewalls e VPNs - disponibilizamos duas gamas de soluções: serviços geridos em regime de outsourcing e serviços geridos pelo cliente.


Os serviços de gestão de segurança em regime de outsourcing - serviços de gestão de firewalls e VPNs - é uma oferta padronizada e global da Via Net.Works, disponível nos 15 países onde temos uma presença directa. Disponibilizamos também uma oferta independente do acesso no domínio dos managed security services. Estes serviços de implementação rápida e económica através de um interlocutor único são particularmente indicados para PMEs, permitindo-lhes focarem-se no seu core business. Os serviços geridos por clientes destinam-se a empresas de maior dimensão que dispõem dos recursos internos para monitorizarem a implementação da segurança 24x7x365.


Ao nível da segurança de conteúdos, disponibilizamos soluções anti-vírus, anti-spam e filtragem de email e de acesso a conteúdos Web. Relativamente à segurança de sistemas, disponibilizamos serviços ao nível da segurança de servidores e respectivos sistema operativo e aplicações, nomeadamente através da actualização de sistemas e aplicações, implementação de códigos de correção de problemas de segurança, assim como do locking de componentes críticos dos sistemas e verificação das respectivas configurações.


Por fim, ao nível dos serviços profissionais de segurança, prestamos serviços ao nível da definição, teste e auditorias de segurança, design e arquitectura de suporte (soluções de back-up e de Disaster Recovery Planning), desenvolvimento e implementação de políticas de segurança e assistência técnica.



TeK: Tendo em conta que as ferramentas de ataque estão, na sua grande maioria, disponíveis livremente na Internet e que são fáceis de utilizar por qualquer iniciado em informática, será que optar por soluções tecnológicas bastante dispendiosas é a melhor opção?


P.I.C: O preço não é condição suficiente de sucesso. Um exemplo prático: uma parte importante do acesso a informação privilegiada é feito por funcionários da empresa, ex-funcionários ou clientes insatisfeitos. Na grande maioria dos casos, esta situação é resultante de políticas de segurança internas inadequadas que não revogaram o acesso ou permitiam um acesso demasiado alargado a estas pessoas.


Não é só uma questão de investimento começa por ser uma questão de atitude em relação à segurança!



TeK: Um administrador pode sentir-se plenamente seguro só com a implantação de firewalls e de redes virtuais privadas no seu sistema informático?


P.I.C: Não, por muitas das questões já referidas anteriormente. A segurança perimétrica e de acesso é uma parte da segurança de Tecnologia da Informação. Se este administrador não monitorizar os seus sistemas e não tiver uma política de segurança que lhe permita garantir o acesso à informação segundo o critério "Need to Know" ao permitir o acesso remoto só aumentou o risco de acesso indevido.



TeK: Quais são as mais recentes ferramentas de protecção contra ameaças à segurança disponíveis no mercado?


P.I.C: A última novidade em matéria de segurança são os dispositivos biométricos que começam a aparecer no mercado. Esta tecnologia pretende de um modo natural garantir um acesso rápido e personalizado a cada indivíduo, pondo um termo ao empréstimo de passwords, cartões de acesso etc. A médio prazo a segurança baseada na biometria terá um papel relevante na estratégia global de segurança.



Miguel Caetano