Falhas de segurança são responsáveis por muitas fugas de dados

Uma atenção demasiado focalizada no combate a novas e emergentes ameaças à segurança de TI pode estar a fazer com que as empresas negligenciem vulnerabilidades mais antigas mas frequentemente usadas para perpetrar ataques, diz um estudo recente da TrustWave.

O estudo baseia-se na análise a dados recolhidos após 1900 testes de penetração e mais de 200 investigações a fugas de dados, realizados a pedidos de empresas como a American Express, MasterCard, Discover, Visa e vários retalhistas de grande dimensão.

A análise mostra que a generalidade das empresas de dimensão global está a utilizar “detectores de vulnerabilidades” e a procurar pelas mais recentes ameaças informáticas nas suas infra-estruturas, subestimando ao mesmo tempo a detecção e combate às vulnerabilidades mais comuns. Como resultado, as companhias continuam a ser gravemente afectadas por vulnerabilidades antigas e supostamente bem conhecidas, e não tanto pelos novos métodos e ferramentas de ataque.

Por exemplo, as três formas preferenciais usadas pelos hackers para obter acesso às redes das empresas em 2009 foram as aplicações de acesso remoto, as ligações internas de confiança à rede corporativa e os ataques por SQL injection, de acordo com a TrustWave.

Todos estes três métodos estão já há muito documentados e são bem conhecidos de todos os investigadores. As vulnerabilidades de SQL injection, por exemplo, já existem há pelo menos 10 anos, mas continuam a prevalecer nas aplicações baseadas em Web e em bases de dados. A vulnerabilidade mais comum descoberta pela TrustWave durante os seus testes de penetração a redes externas tem a ver com as interfaces de administração de motores de aplicações Web, tais como o Websphere e o Cold Fusion. Em muitos casos, as interfaces de administração estavam acessíveis a partir da Internet e não contavam com praticamente nenhuma protecção por password, permitindo assim aos atacantes a instalação das suas próprias aplicações maliciosas no servidor Web.

Existem várias medidas que as empresas podem tomar para diminuir os riscos colocados pelas vulnerabilidades mais antigas e frequentemente ignoradas, diz a TrustWave. Uma delas é manter um inventário de activos completo e actualizado. Muitas empresas não têm por vezes uma ideia exacta dos seus activos de TI ou dos riscos que esses activos representam para os seus dados, pelo que apenas a manutenção de uma lista actual e completa desses activos permite proteger a informação corporativa.

Substituir sistemas obsoletos é outra forma de diminuir o risco, de acordo com a TrustWave. Além disso, a consultora refere também no seu relatório que, em 80 por cento dos casos que analisou, a responsabilidade pela introdução de vulnerabilidades nas empresas esteve a cargo de terceiros. Por isso, aconselha uma vigilância apertada das relações da empresa com terceiros.
Entre as restantes medidas aconselhadas pela TrustWave, conta-se ainda a segmentação de redes internas, a encriptação de dados e a implementação de segurança em redes Wi-Fi mais potente.

Fonte: Computerworld

Cuidado ao contratar fornecedor de service desk

Quando se trata de TI, nenhuma empresa é igual. Logo, a fornecedora de service desk também não deve ser.

Hoje existem diversas empresas prestadoras de serviço de TI, com vários perfis, a empresa tem que levar vários pontos em consideração antes de fechar qualquer contrato.

Eis cinco pontos que, com certeza, são fundamentais:
Planejamento – Antes de conhecer a empresa de prestação de serviço, a empresa precisa se conhecer, levantando suas necessidades e analisando o ambiente externo, ou seja, estar ciente da cultura da empresa.
Algumas perguntas devem ser respondidas antes de procurar o mercado, como, por exemplo: a consultoria de TI é somente para reduzir custos? Ou para melhorar a qualidade da operação? Terei tempo para fazer gestão dos indicadores de TI? Espero um resultado em curto ou longo prazo?

Qualificação inicial – Sabendo dessas necessidades, a empresa tem que contratar um fornecedor que preencha o perfil que se procura. Geralmente, as consultorias de menor porte não atuam sempre com metodologias e com equipes tão robustas e, por esse motivo, possuem uma estrutura de custos e preços de vendas menores.
Ao passo que as de maior porte (geralmente as multinacionais) possuem uma estrutura maior, com uma metodologia mais rígida, o que se traduz em valores maiores nos custos em um primeiro momento. Uma vez que a metodologia passa a ser usada corretamente, ela gera uma série de informações e indicadores que possibilitam a pró-atividade da empresa de prestação de serviço.
Isso não quer dizer que as consultorias menores não trabalham com metodologia e nem que as de maior porte são sempre mais caras, mas é comum o mercado se comportar dessa maneira.

Requisitos mínimos do contrato (escopo) – Depois de qualificada a empres de prestação de serviço, é necessário conhecer as questões contratuais. Se a empresa precisa de SLA (service level agreement ou acordo de nível de serviço), isso tem que estar claro no contrato, além de descrever quais serviços e plataformas a contratada irá se responsabilizar.
Por ser um acordo entre cliente e fornecedor, o SLA exige disponibilidade de recursos (pessoais, financeiros e de tempo) das duas partes para cumprir o acordo.
Obviamente: quanto mais apertado for o SLA, maior deverá ser a disponibilidade de profissionais por parte da fornecedora; e isso fatalmente refletirá no preço final.
Antes de entrar nos comodismos do SLA, analise se a empresa está realmente pronta para o SLA e se os seus processos de negócios são tão críticos que justifiquem a contratação dessa exigência.

Analise se você terá melhorias (evoluções) de seu sistema – Sua empresa precisa só de atendimento a erros e dúvidas (correções) ou quer ter melhorias e evoluções também no serviço prestado?
O contrato tem que estar bem claro, mencionando se a prestadora de serviços irá fornecer melhorias para o sistema ou será responsável somente pelas correções de falhas.
Infelizmente ainda há um grande desconhecimento ao comprar este tipo de serviço e, por isso, existe a ideia de que a consultoria será a solução de todos os problemas de TI da empresa.
O que muitas vezes acontece é, por exemplo, uma empresa pedir a evolução do sistema e, por não estar no contrato, o serviço ser cobrado à parte.
Esse trabalho poderia sair muito mais barato caso a empresa tivesse acordado o pacote anteriormente. Aí vem a clássica pergunta do cliente, ao ver a conta no fim do mês: “por que você não me disse antes que esse serviço não estava incluso?”.
A dica é que, ao contratar, fique atento se o contrato prevê utilização do pacote de horas para melhorias e correções ou só para um ou outro. O ideal é já deixar dividido o número de horas dedicadas às melhorias e as dedicadas à correção.
É fundamental, também, que o contrato tenha o que o cliente quer que o fornecedor faça: são serviços só no meu ERP ou em outros aplicativos? Quais aplicativos? Qual o período de tempo? Lembrando que a maioria dos contratos dura 2 anos e que a quebra gera dívidas, geralmente taxadas em 50% do saldo devedor do contrato.
A empresa deve entender ainda que problemas podem acontecer. Para isso, precisa checar previamente se o contrato possibilita acúmular e antecipar horas, sem custos adicionais.
Digamos que o contrato acorda 1000 horas mensais de prestação de serviços, mas, no mês, só usaram 500 horas do pacote. O cliente terá que pagar pelas 1000, mas ele dará 500 horas para o fornecedor?
O ideal é poder disponibilizar essa quantidade para os próximos meses do contrato, caso ocorra alguma emergência. Porém há também os sustos, que necessitam, digamos, de 1500 horas em um mês; sem problemas, já que essa falta pode ser compensada nos meses seguintes.
Há empresas que já incluem a flexibilidade de 50% do tempo no contrato. Essa variante pode significar um acréscimo no acordo, porém nada comparado ao pagamento de serviços extras.

Medição – Já para acompanhar os serviços, é importante equalizar os KPIs (key performance indicators ou indicadores chave de performance).
Esse trabalho serve para visualizar o que foi feito através de dados que fazem sentido para o cliente, inclusive determinando as expectativas do contrato.
Digamos que os KPIs da consultoria só abordam a quantidade de chamados atendidos, sem descrever suas naturezas, ou que esses indicadores não queiram dizer nada para a empresa…
Pode ser que seja auferido um índice de recorrência de 15%, enquanto no contrato dizia que o teto seria 5% e que, acima disto, o fornecedor deveria dar descontos nas faturas.
Mais do que alinhar expectativas, o ideal é que o resultado seja positivo tanto para contratante quanto para contratada.

Fonte: Webinsider