INFORMATIONWEEK BRASIL | 100+ INOVADORAS EM TI | IT FORUM | EXECUTIVO DE TI | IT FORUM +
 

NEWSLETTER | AGENDA | BLOGS | WHITE PAPERS | IT WEB TV | WEBINARS | GALERIAS | MOBILE | ENQUETES | RSS

|

|

|

|

|

|

|

Home >> Segurança >> Gestão de informação | Segurança

Tamanho
Da Fonte
Segurança: é preciso atenção em todos os pontos

por J. Nicholas Hoover | InformationWeek EUA
17/12/2009
Profissionais de TI não podem ignorar problema e devem manter atenção em toda sua cadeia de suprimento

O pedrigree do software, isto é, saber quem desenvolveu cada passo do código e torná-lo digno de confiança, é um dos mais processos mais importantes e, ao mesmo tempo, um dos mais difíceis. No começo desse ano, a Etisalat, fornecedora de telecom árabe, empurrou para os usuários de Blackberry o que disse ser a atualização do software para melhorar o desempenho do aparelho, mas, na verdade, era um spyware que fornecia acesso à todas as informações nos dispositivos. 

Brian Chess, cientista chefe da Fortify, empresa especializada em garantir a seguraça de softwares, recomenda um processo de três passos: fazer inventário de software e usar ferramentas que analisam o código atrás de vulnerabilidades e brechas; pedir aos fornecedores  que documentem todo o processo de criação e desenvolvimento do software; reconhecer que nenhum desses passos é o bastante e, portanto, manter o rigor em outros esforços de segurança virtual. 

Depois de ter o software instalado, para garantir que hackers não estão usando a porta dos fundos para criar códigos, é importante ter todos os dados referentes ao tráfego de rede, afirma Tracy Hulver, VP da NetForensics. Se algo parecer errado, "estarei alerta e poderei fazer alguma coisa a respeito", disse ele. Isso também se aplica às anormalidades no comportamento do usuário. "Se te disserem que estão recebendo acesso ao banco de dados de um IP de fora dos EUA, e isso não é normal, é preciso dar fim a esse acesso", completa Hulver. 

Marcus Sachs, executivo da Verizon, recomenda uma abordagem multidimensional para atenuação dos riscos, incluindo o estabelecimento de um novo padrão de código na indústria de software, o monitoramento mais próximo de softwares desenvolvidos no exterior e um mandato que obrigue que os softwares críticos usados por agências governamentais sejam escritos em casa. 

A indústria de software está no início dos processos de discussão sobre esses problemas com cadeias de suprimento. A SAFECode trabalha com a Adobe, EMC, Juniper, Microsoft, Nokia, SAP e Symantec para desenvolver as melhores práticas para a criação segura de software. "Descobrimos que não existe um dicionário ou um formato comum para descrever a integridade de uma cadeia de suprimento", disse Paul Kurtz, diretor executivo da SAFECode e executivo de segurança virtual da Casa Branca durante o mandato do presidente George W. Bush. "Agora olhamos pra isso juntos, o que é extremamente importante porque juntos criamos uma estrutura comum."

Bill Billings, CSO do grupo fereral da Microsoft, acredita que a indústria de computação deveria adotar o que ele chama de modelo Campbell soup, em que o número de rastreamento do produto em cada lata torna possível para o consumidor saber onde e quando a sopa foi preparada. "Isso não muda a qualidade, mas o fato de que vem de alguém conhecido ou não", diz. "É uma maneira de se livrar dos ataques que acontecem no meio do caminho." 

Responsabilidade assinada

O orçamento fiscal do Departamento de Desefa dos EUA, para 2010, requer que ele identifique as vulnerabilidades em diferentes níveis da cadeia de suprimento para um grande número de programas de aquisição de TI. O órgão terá de priorizar tais vulnerabilidades e seus possíveis efeitos, criar recomendações de gerenciamento de risco e encontrar alguém que lidere o desenvolvimento de uma "estratégia integrada de gerenciamento de risco em cadeia de suprimento." 

Enquanto isso, a Iniciativa Virtual Nacional inclui um grupo trabalhando em padrões, outro no compartilhamento de vulnerabilidades em cadeia de suprimento e um terceiro em regras, presididos pelo departamento de defesa e pelo Departamento de Segurança Nacional dos EUA, com a participação do Instituto Nacional de Padronização e Tecnologia. 

O governo norte-americano quer garantir que quando as agências forem comprar produtos, como sistemas de alto impacto, pensem sobre "as ameaças que podem vir com a cadeia de suprimento, como sistemas e softwares criados e entregues", disse Marianne Swanson, especialista em TI na divisão de segurança de computação no Instituto Nacional de Padronização e Tecnologia, que irá participar do grupo que trabalha com a padronização. 

O rascunho das diretrizes do instituto inclui elementos como estratégias de aquisição que requerem que os fornecedores realizem processos específicos de redução de riscos. Os departamentos de Defesa e Segurança Nacional dos EUA testam esses processos em um projeto piloto. Suas descobertas serão integradas em um relatório-rascunho no começo do próximo ano para conhecimento público. Esse documento identifica 32 práticas, como o uso de linguagem contratual que exige que os fornecedores informem às agências as identidades dos fornecedores e subfornecedores e os passos óbvios, como o foco nos componentes de TI mais críticos à segurança das cadeias de suprimento das agências. 

Ainda é cedo pra dizer como serão as diretrizes finais, mas a apresentação online do instituto demonstra passos na segurança por todo o ciclo de vida tecnológico, desde a criação até a baixa. O protótipo da estratégia encoraja o uso de fornecedores confiáveis, acordos de nível de serviço relacionados à qualidade e à segurança durante o estágio de fabricação, verificando as atualizações do software, uso de canais de distribuição seguros e a destruição, também segura, de toda a mídia após o uso. 

Assim que Departamento de Justiça e de Segurança interna terminarem seu projeto piloto, a Administração Geral de Serviços usará "incentivos de mercado" para garantir que a segurança se torne uma parte importante na criação de hardware e software e para encorajar o desenvolvimento de novas tecnologias de segurança e serviços de gerenciamento seguros. Esse processo começou no final do ano passado.

Confiança total

Uma forma como o Departamento de Justiça e a Agência de Segurança Nacional dos EUA estão lidando com esse problema é comissionando conjuntos de chips personalizados para os sistemas mais críticos. Apenas alguns fabricantes de chips, como a Intel, ainda fabricam seus chips 100% em casa. A maioria, hoje, é terceirizada e, no processo, perdem a noção sobre a segurança, algo que não pode ser aceito quando se trata de sistemas críticos. "Circuitos integrados que foram, maliciosamente, alterados não podem ser concertados", escreveu o já aposentado General do Exército Wesley Clark na revista Foreign Affairs. "Elas são as células adormecidas supremas." 

O Departamento de Defesa exige que chips usados em sistemas críticos sejam fabricados e obtidos de empresas confiáveis e com sede dentro do território norte-americano. Em 2003, a Agência de Segurança Nacional se juntou ao Departamento de Justiça para criar o Trusted Access Program Office, também conhecido como Trusted Foundry. O programa permite rastrear chips por toda a cadeia de suprimento, de sua criação à entrega. 

A agência e o departamento de Justiça têm um contrato de 10 anos com a IBM, até 2013, e trabalham com outros fabricantes de componentes em mais de doze fábricas nos EUA. No ano fiscal de 2008, o programa Trusted Foundry entregou mais de 21 mil partes e 340 chips criados para mais de 70 programas e contratos com dos órgãos, de acordo documentos oficiais.

As agências planejam gastar cerca de US$ 41 milhões, esse ano, para desenvolver os chips personalizados. No ano passado, a NSA gastou cerca de US$ 13 milhões apenas para criar parcerias e autorizar os fornecedores. 

No ano fiscal 2010, as agências planejam redobrar os esforços do Trusted Foundry, desenvolvendo novas fontes ao longo da cadeia de suprimento, de acordo com documentos oficiais de orçamento. Sob requerimento do Congresso Nacional dos EUA, no orçamento de defesa desse ano, o Departamento de Justiça deve se unir à comunidade do serviço de informação, indústria privada e meio acadêmico para avaliar maneiras de verificar a autenticidade e a "confiança" dos chips que o órgão compra de fontes comerciais.   

Conforme surgem novas evidências, os riscos e vulnerabilidades da TI em uma cadeia de suprimento mal gerenciada, desde equipamentos falsificados até malwares e outras formas de ataque, são reais e estão crescendo. Pode parecer irreal querer fechar, de ponta-a-ponta, a cadeia de suprimento de TI da suas empresas, mas os profissionais de TI não podem se dar ao luxo de ignorar esse problema e devem manter os olhos abertos e atentos aos fornecedores, parceiros e outros em sua cadeia de suprimento virtual, além de adotar as melhores práticas para diminuir os riscos em seus sistemas e processos. 

Leia também:

Nova abordagem: segurança virtual da cadeia de suprimento



Imprimir
Enviar
Comentar | Comentários [ 0 ]
Compartinhar
Newsletter
Mobile
RSS
 
Matérias Relacionadas
 
Últimas Notícias
Nokia tem novo CEO global
Publicado em 10/09/2010 às 10:41:00
Entrevista: Rubens Nacimento, CIO da Boehringer
Publicado em 10/09/2010 às 09:23:00
10 forças que impactam outsourcing e serviços
Publicado em 10/09/2010 às 08:01:00
Qualcomm testa produtos TDD-LTE
Publicado em 09/09/2010 às 18:06:00
Avanade volta ao Brasil com foco em grandes empresas
Publicado em 09/09/2010 às 17:13:00
Cresce demanda por aplicativos móveis
Publicado em 09/09/2010 às 14:39:00
PV e PSDB expõem propostas para inovação
Publicado em 09/09/2010 às 12:26:00
Locaweb explica estratégia para PME
Publicado em 09/09/2010 às 12:08:00
Brasil perde posições em ranking de competitividade
Publicado em 09/09/2010 às 11:38:00
iOS 4.1 está disponível para download
Publicado em 09/09/2010 às 10:29:00
 
 

PUBLICIDADE

PUBLICIDADE
DESTAQUES
>> Mercado

PV e PSDB expõem propostas para inovação
>> Mercado

Ressuscitando Mark Hurd: a guerra da Oracle contra IBM
>> Tecnologias

Especial: como lidar com a explosão de dados
>> Gestão

SAP adquire mil iPads para funcionários
 
ESPECIAIS
ESPECIAL IT WEB 10 ANOS
ESPECIAL IT FORUM 2010
 
WHITE PAPERS
>> CONHEÇA ESTAS FERRAMENTAS IMPRESCINDÍVEIS PARA A ESTATÍSTICA INFERENCIAL.
O poder da ANOVA e da igualdade de variância

Oferecimento:
>> EM NOME DO (ISC)2®, A FROST & SULLIVAN FORNECE UMA VISÃO DAS TENDÊNCIAS EM SEGURANÇA DA INFORMAÇÃO.
Estudo (ISC)² da força de trabalho global em segurança da informação de 2008

Oferecimento:
veja mais whitepapers [+]
 
 
REVIEWS
>> TECNOLOGIAS : IGADGETS

iGadgets: DELL - OptiPlex 980
>> TECNOLOGIAS : TECH REVIEW

Thin Client / Thin PC Schalter Eletrônica
>> TECNOLOGIAS : IGADGETS

iGadgets: WACOM - Bamboo Touch
veja mais [+]
 

PUBLICIDADE
WEBINARS
 
O Futuro da Telecom no Brasil
 
Perspectivas Microsoft e Serviços na Nuvem
 
Melhores decisões com Microsoft BI e SQL Server 2008 R2
 
Conhecendo a família System Center
 
 
 
 
 
 

PUBLICIDADE
 
 
 
PUBLICIDADE
    
NOSSOS PATROCINADORES:
IT Web:
CANAIS DE CONTEÚDO: Últimas Notícias | Mercado | Gestão | Tecnologias | Telecom | Internet | Carreira | Segurança
SEÇÕES: Agenda | Newsletter | Blogs | White Papers | IT Web TV | Webinars | Você Informa | Galerias | Mobile | Enquetes | RSS
IT Mídia
PORTAIS: IT Mídia | IT Web | Reseller Web | Saúde Business Web | Financial Web
PUBLICAÇÕES: InformationWeek Brasil | CRN Brasil | Fornecedores Hospitalares | Saúde Business | Financial Report
ESTUDOS E PREMIAÇÕES: 100+ Inovadoras em TI | Executivo de TI do Ano | Distribuidor Preferido | Campeões do Canal | Canal Referência | Top Hospitalar
FÓRUNS: IT Forum | Financial Forum | IT Forum + | IT Business Forum | Saúde Business Forum
 
 
Desenvolvido por