quinta-feira, 19 de março de 2009

Lições aprendidas de uma invasão hacker de grande porte

lessonsOs acontecimentos em torno do CITIBANK levados a tona em fevereiro deste ano, me faz pensar na necessidade de um bom trabalho de Segurança da Informação (novamente).

 

Quem é da área de TI está cansado de ouvir em boas práticas e uma série de sopa de letrinhas que faz parte do nosso dicionário: SOA, BPM, ITIL, COBIT e dezenas (senão centenas) de outros termos.

 

Acontece que, falando estritamente de segurança, existem regulamentações e regras importantes para empresas. Quem nunca ouviu falar da SARBANES-OXLEY por exemplo?

 

Essas regulamentações, pasmem, são muitas vezes originadas nos EUA! Mas e a crise do setor imobiliário? Terá influência para TI? A resposta é sim. Podem esperar por mais regulamentações para evitar fraudes e dumpings em função da crise...


Mas o que tudo isso tem a ver com o CITIBANK, mencionado no começo deste post? Tudo. O que houve com o CITIBANK (ver detalhes) foi uma invasão feita por um hacker em uma prestadora de serviços do próprio banco, a Heartland Payments Systems. A principal questão em torno desta questão é que a definição de Políticas de Seguranças, análise de vulnerabilidades e adequação a normas também deve ser aplicado a terceiros, colaboradores ou empresas afiliadas. No caso de bancos, muitos sabem que o esquema de segurança costuma ter altos graus de confiabilidade e proteção. Com isso em mente, o hacker passa a atuar de forma criteriosa nos elos mais fracos da corrente: fornecedores, empresas terceiradas que prestam serviços.

 

creditcard

 

O caso acima mostra muito bem isso e no final das contas não adianta muito os bancos fornecerem segurança no seu nível mais alto aos seus clientes e ao mesmo tempo não assegurarem que seus fornecedores de informação, muitas vezes onde é feito o processamento e até o armazenamento de dados estejam de acordos com os padrões de segurança.


Portanto, fica aqui a dica e a reflexão do que ocorreu ao CITIBANK a você, especialista, coordenador, curioso ou entusiasta de segurança da informação: proteja sua casa, mas também os seus vizinhos.

1 comentários:

Analistati disse...

Parabéns pelo post, realmente hoje a questão da segurança das informações é bem ampla, precisamos cuidar não só do ambiente interno empresarial, mas tudo que afeta direta ou indiretamente, esse é o desafios dos profissionais de segurança.

Postar um comentário

Gostou do artigo? Então deixe um comentário !!!