Segurança de TI

A evolução da sua Empresa é um objetivo fundamental que pode ser alcançado através do alinhamento entre os colaboradores, os processos e a tecnologia. Dado que os processos de negócio e a atividade da Empresa se encontram assentes nos sistemas de informação é fulcral proteger este ativo.

A segurança das TI não envolve apenas a tecnologia, o hardware e o software, envolve a proteção dos dados, a informação, os processos, a cultura organizacional – envolve toda propriedade intelectual da Empresa. O crescente número de ataques às TI destaca a necessidade de considerar a segurança dos sistemas de informação como um fator crítico de negócio.

Para reduzir o risco de disrupções de negócio, de mitigar falhas complexas nos sistemas, de cumprir com os requisitos legais envolventes e garantir a sustentabilidade futura da Empresa, estas devem ter implementado controlos que permitam obter uma visão global efetiva do nível de segurança presente nas suas infraestruturas. 

Em que a PwC pode ajudar?

A PwC permite criar confiança através do suporte na gestão de riscos no ciber espaço, mais especificamente através de testes de intrusão, os quais envolvem a execução de ataques diversificados e com elevada frequência à infraestrutura de rede de modo a conseguir comprometer as proteções lógicas de segurança e ter acesso a componentes restritas.

Os resultados dos testes de intrusão permitem identificar objetivamente que vulnerabilidades existem e quais os riscos associados.

Nos dias de hoje as principais ameaças à segurança são:

DOS/ DDOS (Denial Of Service/ Distributed Denial Of Service): Direcionado a criar indisponibilidade de serviço e impossibilitar a empresa de operar os seus sistemas, levando a uma potencial perda financeira.

MITM (Man-in-the-middle): Ataques que visam obter acesso privilegiado a informação. Se for efetuado na rede interna poderá ter impacto elevado.

Password cracking/Bruteforce:  Processo de descoberta de passwords, através de tentativa e erro. Só é passível de ser efetuado se os serviços não estiverem protegidos com os devidos controlos de segurança-

Ramsomware: O ataque que tem sido mais noticiado. A informação é encriptada e apenas fica disponível após pagamento de uma quantia. Pagar este valor não garante a recuperação dos dados. Este tipo de ataque normalmente é despoletado através da rede interna, contudo a ameaça pode ser proveniente do exterior (e.g. abertura de um e-mail infetado)

Ataques de engenharia social: Uma das grandes vulnerabilidades dos sistemas, encontra-se nas pessoas que os operam. Apenas estas são capazes de contornar controlos, por mais rígidos que sejam. E é por este motivo que é importante não descurar possíveis ataques de engenharia social. É fundamental a consciencialização para o tema, normalmente denominada por “security awareness”.

Antes de avançar para as melhorias no ambiente de segurança, é fundamental efetuar a devida análise de risco.

É necessário um forte investimento financeiro para tornar as aplicações robustas do ponto de vista de segurança e acima de tudo é necessário assegurar que este investimento é feito periodicamente, pois estão constantemente a surgir novas ameaças. É neste sentido que a análise de risco se torna fundamental, para determinar quais são as aplicações mais críticas para a continuidade do negócio e quais são as aplicações que contêm dados mais relevantes.

O foco de segurança deve ser essencialmente sobre estas aplicações, para assegurar que caso haja uma falha de segurança, os dados não serão divulgados a terceiros.

Quanto maior a exposição à internet (e-mails, websites, outros serviços), maior é a probabilidade do ser alvo de ataque. Também deve ser ponderada a real necessidade de exposição de determinados serviços.

Apenas após a determinação do âmbito é que devem direcionar os esforços à melhoria do ambiente de TI.

Assumindo que já foi feito o exercício de IT Risk Assessment para determinar quais são os assets críticos e respetivas dependências e necessidades, é altura de elaborar um plano de ação para salvaguardar os mesmos. Entre outros, deve ser considerado o seguinte:

  • Equipa de IT é experiente e tem conhecimentos de segurança de informação? Se não existirem estes conhecimentos dentro da empresa é fundamental formar elementos e/ou contratar serviços específicos na área
  • Caso o serviço esteja contratualizado com fornecedores externos, assegurar que estes cumprem com boas práticas de segurança de informação (e.g. certificações ISO27001)
  • Assegurar que existe dentro da empresa uma consciencialização para a segurança de informação. Os colaboradores são também uma linha de defesa muito relevante que não deve ser descurada.
  • Confirmar que as comunicações estão a ser efetuadas por um canal seguro, para não serem passíveis de ser interpretadas
  • Assegurar que software/hardware  (Sistemas Operativos, Antivírus, Bases de dados, Firewall, VPN’s) em uso é atual e tem as últimas atualizações de segurança. Assegurar a existência de um processo de revisão para garantir a atualização atempada dos mesmos.
  • Software deve ser testado para garantir que foi desenvolvido com elevados padrões de segurança e não está vulnerável a ataques (e.g. bruteforce, SQL Injection,…)

Os testes de intrusão devem ser considerados apenas como última etapa, apenas após assegurarem que já foram implementados todos os controlos necessários. Para a realização de testes na segurança da rede são utilizadas diversas ferramentas e métodos de avaliação de vulnerabilidade.

Os testes de intrusão realizados pela PwC incidem sobre todos os elementos da infraestrutura IT:

  • Aplicação – análise de vulnerabilidade no servidor no qual assenta o sistema, configurações, funcionalidades;
  • Plataformas web – testes de intrusão a partir da Internet e Intranet;
  • Testes de carga – os quais permitem simular a utilização intensiva de utilizadores e avaliar a estabilidade da plataforma;
  • WIFI – análise de vulnerabilidade no acesso e métodos de encriptação na comunicação Wireless
  • Firewall – identificação de vulnerabilidades às configurações
  • VPN – identificação de vulnerabilidades sobre a VPN; 

Através dos testes de intrusão é possível avaliar:

  • Nível de segurança implementado na configuração dos sistemas;
  • Eficácia dos mecanismos de prevenção e de deteção de ataques;
  • A natureza de informação potencialmente comprometida por atacantes.

Contacte-nos

António Loureiro

Risk Assurance Partner, PwC Portugal

Tel: +351 225 433 136

Gabriela Teixeira

Advisory Partner, PwC Portugal

Tel: +351 213 599 314

Miguel Fernandes

Advisory Partner, PwC Portugal

Tel: +351 213 599 314

Siga-nos