A OWASP prepara para a próxima semana a realização de mais uma conferência que reúne em Portugal alguns dos maiores especialistas de segurança. Em entrevista ao TeK, dois membros da direcção desta organização admitem que há ainda uma grande falta de maturidade nesta área, que decorre da falta de investimento e de lacunas na formação.

Casos recentes, como o Wikileaks, são usados para destacar a importância de uma maior preparação das empresas e das entidades públicas, com quem a OWASP tem vindo a trabalhar para divulgação pública dos acidentes de segurança de dados. O trabalho da organização estende-se também à proposta de acções aos governos para acautelar a ocorrência de ataques maliciosos.

As perguntas do TeK foram respondidas em uníssono por Dinis Cruz(Board Member) e Carlos Serrão (Portuguese Chapter Leader) da OWASP.

[caption] Dinis Cruz(Board Member) e Carlos Serrão (Portuguese Chapter Leader) [/caption]

TeK: As empresas e os profissionais estão a falhar na segurança aplicacional, colocando em risco a segurança do negócio e a privacidade dos utilizadores?
OWASP: Não se trata de estarem a falhar. Trata-se, isso sim, de nos consciencializarmos todos de que ainda há um longo caminho a percorrer. Na verdade, os sistemas ainda são hoje muito vulneráveis e não faltam histórias de ataques a sistemas públicos e privados. E isso só não acontece mais frequentemente porque o cibercrime ainda não descobriu um modelo de negócio atractivo, pelo que os ataques, em muitos casos, se têm limitado a causar apenas entropias nos sistemas. Por outro lado, fenómenos como o Wikileaks vêm demonstrar que enquanto governos e empresas não se consciencializem que esta é uma questão central para a sua competitividade e sobrevivência, os ataques irão continuar.

TeK: A falta de medidas rigorosas de segurança aplicacional e dos browsers, e no geral o pouco cuidado colocado no secure coding abrem a porta a ataques de cibercrime como o caso recente do Irão?
OWASP: As organizações não podem descurar cenários como o roubo de identidade massivo, colapso financeiro, falha logística generalizada, perda de informação crítica, paralisação de organismos públicos entre outros. Governos e empresas devem estar preparados para a possibilidade de ocorrência de ataques maliciosos, intervindo precocemente através do investimento em segurança e em planos de continuidade.
Temos desafiado os Governos a trabalharem com a OWASP no sentido de aumentar a transparência na segurança de aplicações web e a criarem instrumentos de escrutínio e de suporte das decisões de investimento na área da segurança informática, particularmente no que respeita a sectores (financeiros, saúde, entre outros) nos quais as questões da privacidade e confidencialidade da informação são cruciais.

TeK: Que medidas devem as empresas colocar em prática com o crescimento das redes sociais e a web 2.0 e a utilização de serviços de cloud computing?
OWASP: A crescente mobilidade, apesar das suas virtualidades, conduz-nos a um grande desafio: o de termos dados cruciais a circular por ambientes que não são facilmente controláveis. As redes sociais, como também sabemos, são uma das grandes fontes actuais de malware, para além de apresentarem diversos riscos que se prendem com o facto da informação publicada e dados secundários poder ser armazenada por entidades terceiras e utilizada posteriormente com intuito malicioso, por exemplo, ataques de phishing, entre outros.
Os utilizadores, na sua maioria, não estão despertos para os riscos que incorrem. A este nível há que apostar na educação para a compreensão dos numa cultura de riscos e na formação dos recursos humanos. Muitos sistemas das empresas são colocados em risco por não existir a formação adequada dos utilizadores em relação às ameaças existentes.
A necessidade de segurança em relação ao controlo do fluxo e armazenamento da informação é também uma preocupação das empresas, e uma das razões para optarem inicialmente por clouds privadas. No entanto, não nos podemos esquecer que esta aposta pressupõe um grande investimento, que a maioria das empresas não está preparada para suportar.
Depois, também há um longo caminho a percorrer a nível das questões legais sendo necessário adaptar a legislação nacional e internacional, dado que a actual legislação de protecção de dados não está preparada para estes desafios.

TeK: Acredita que a maioria das empresas em Portugal já estão atentas às questões da segurança da informação ou ainda não se preocupam com esta questão?
OWASP: Apesar de existirem algumas excepções, consideramos que o nível geral é de imaturidade. Por exemplo nos debates dos fóruns de segurança, verificamos que o enfoque está na temática da segurança ao nível das redes, a qual, na nossa opinião, já devia estar amadurecida e consolidada.

TeK: Como mote para a cimeira que se realiza na próxima semana a OWASP coloca a questão: "que cenários obrigarão governos e indústria a agir?". Já têm algumas respostas?
OWASP: Cremos que, caso não haja uma consciencialização forte em relação a este tema por parte de governos, indústria e utilizadores, as vulnerabilidades terão tendência a aprofundar-se havendo uma maior probabilidade de aumento dos riscos.
É importante atacar este problema antes que ele nos ataque. E aqui, o enfoque deve estar na prevenção, na formação, na legislação e na transparência.

TeK: E que tipo de acção deverá ser essa? A criação de unidades de cibercrime ou uma maior intervenção no mercado, como regulador, que obrigue as empresas a investir mais em segurança?
OWASP: Temos insistido na obrigatoriedade de as organizações revelarem publicamente os acidentes de segurança de dados e proposto uma série de acções aos governos que consideramos indispensáveis para acautelar a ocorrência de ataques maliciosos.

Oferecemos o nosso know-how para colaborar com os Governos mundiais no sentido de desenvolver recomendações para a regulação deste mercado através da incorporação de requisitos específicos de segurança nas aplicações e desenhar procedimentos de certificação adequados à selecção e utilização de software adequado.

Fátima Caçador