novembro 2011 www .revistaconexao.com.br - Revista Conexão ...
novembro 2011 www .revistaconexao.com.br - Revista Conexão ...
novembro 2011 www .revistaconexao.com.br - Revista Conexão ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Conexão</strong> TECNOLOGIA<<strong>br</strong> />
Segurança da Informação<<strong>br</strong> />
O planeta está cada vez mais interligado pela web,<<strong>br</strong> />
ou Internet. Pode-se fazer praticamente tudo pela rede,<<strong>br</strong> />
desde operações bancárias até <strong>com</strong>pras <strong>com</strong> cartão<<strong>br</strong> />
de crédito, porém esta facilidade gerou um problema:<<strong>br</strong> />
o vazamento de informações.<<strong>br</strong> />
As operadoras de cartões de pagamento,<<strong>br</strong> />
por exemplo, se uniram e criaram um<<strong>br</strong> />
guia <strong>com</strong> padrões de segurança. Todos<<strong>br</strong> />
que aceitam pagamentos via cartão, que<<strong>br</strong> />
armazenam os dados do portador, têm<<strong>br</strong> />
que seguir esse guia para poder transacionar,<<strong>br</strong> />
explica Leonardo Buonsanti,<<strong>br</strong> />
administrador de segurança da informação<<strong>br</strong> />
do Uol.<<strong>br</strong> />
Leonardo é voluntário da OWASP – Open Web Application<<strong>br</strong> />
Security Project (Projeto Aberto para segurança<<strong>br</strong> />
em aplicações web), <strong>com</strong>o líder do Capítulo<<strong>br</strong> />
da cidade de São Paulo. A Fundação, estabelecida<<strong>br</strong> />
<strong>com</strong>o organização sem fins lucrativos nos EUA em<<strong>br</strong> />
A<strong>br</strong>il de 2004, está presente em 87 países em todos<<strong>br</strong> />
os continentes. É uma <strong>com</strong>unidade aberta dedicada<<strong>br</strong> />
a capacitar as organizações para conceber, desenvolver,<<strong>br</strong> />
adquirir, operar e manter aplicações que podem<<strong>br</strong> />
ser confiáveis. Todas as ferramentas OWASP, documentos,<<strong>br</strong> />
fóruns, e os capítulos são gratuitos e abertos<<strong>br</strong> />
a qualquer pessoa interessada em melhorar a segurança<<strong>br</strong> />
de aplicativos.<<strong>br</strong> />
A OWASP não é afiliada a qualquer empresa de tecnologia<<strong>br</strong> />
e produz diversos tipos de materiais de forma<<strong>br</strong> />
colaborativa. O projeto so<strong>br</strong>evive de doações de<<strong>br</strong> />
empresas participantes, da realização de eventos,<<strong>br</strong> />
da inscrição de mem<strong>br</strong>os e de patrocinadores <strong>com</strong>o<<strong>br</strong> />
Amazon, Google, Microsoft, Adobe e outros que têm<<strong>br</strong> />
interesse na segurança da informação.<<strong>br</strong> />
Novem<strong>br</strong>o <strong>2011</strong><<strong>br</strong> />
Segurança da Informação a<strong>br</strong>ange todas as práticas,<<strong>br</strong> />
mecanismos e sistemas voltados a proteger a confidencialidade,<<strong>br</strong> />
integridade e disponibilidade de<<strong>br</strong> />
dados. Juntos, esses três pilares são os valores principais<<strong>br</strong> />
da segurança da informação. Confidencialidade<<strong>br</strong> />
quer dizer que apenas<<strong>br</strong> />
o proprietário pode acessar a informação.<<strong>br</strong> />
Disponibilidade significa que a<<strong>br</strong> />
informação tem que estar disponível independente<<strong>br</strong> />
de qualquer coisa; e a integridade,<<strong>br</strong> />
que visa o quanto a informação<<strong>br</strong> />
é legítima.<<strong>br</strong> />
Para o leigo, podemos explicar que o<<strong>br</strong> />
OWASP gera tutoriais para testar aplicativos<<strong>br</strong> />
que já existem. Por exemplo, você tem um documento<<strong>br</strong> />
e quer testar essa aplicação web, você cria um<<strong>br</strong> />
cenário, realiza testes, procura entender seu <strong>com</strong>portamento,<<strong>br</strong> />
envia e intercepta respostas em forma de códigos<<strong>br</strong> />
e, <strong>com</strong> isso, desco<strong>br</strong>e se existe alguma vulnerabilidade.<<strong>br</strong> />
Dentro do OWASP, os grupos de trabalho são chamados<<strong>br</strong> />
de capítulos e podem ser criados em qualquer lugar.<<strong>br</strong> />
Se uma pessoa ou profissional da área quer criar<<strong>br</strong> />
um capítulo na cidade em que vive, entra em contato<<strong>br</strong> />
<strong>com</strong> a sede, pelo site, expõe suas necessidades e suas<<strong>br</strong> />
idéias e seu projeto será avaliado.<<strong>br</strong> />
Até 2010, para a OWASP, o Brasil era um único capítulo;<<strong>br</strong> />
a partir daí, os líderes decidiram criar capítulos<<strong>br</strong> />
por estado. “Aqui em São Paulo o capítulo ainda está<<strong>br</strong> />
se estruturando; sou líder há pouco mais de um mês e<<strong>br</strong> />
meio, portanto, ainda muito recente, mas, mesmo <strong>com</strong><<strong>br</strong> />
o pouco tempo disponível que tenho, fora do meu horário<<strong>br</strong> />
normal de trabalho, já tenho um evento agenda-<<strong>br</strong> />
21<<strong>br</strong> />
do <strong>com</strong> uma grande faculdade, <strong>com</strong> apoio de patrocinadores<<strong>br</strong> />
e inscrição de participantes. Em pouco tempo<<strong>br</strong> />
<strong>com</strong>o líder, é uma vitória.”, afirma Leonardo.<<strong>br</strong> />
A única o<strong>br</strong>igação do líder é realizar reuniões mensais<<strong>br</strong> />
em que discutimos tópicos so<strong>br</strong>e os eventos, <strong>com</strong>o<<strong>br</strong> />
angariar mais patrocinadores e mem<strong>br</strong>os e o que vemos<<strong>br</strong> />
aqui no cenário paulista, se existe algum problema.<<strong>br</strong> />
Por exemplo, uma empresa foi invadida, oferecemos<<strong>br</strong> />
um evento de segurança, buscamos patrocínio e a<<strong>br</strong> />
empresa cuida apenas da divulgação. Esse tipo de atuação<<strong>br</strong> />
é uma estratégia minha; não significa que outros<<strong>br</strong> />
capítulos tenham a o<strong>br</strong>igação de fazer o mesmo, e, assim,<<strong>br</strong> />
promovemos a segurança de aplicações.<<strong>br</strong> />
O projeto é direcionado para empresas da área, aos<<strong>br</strong> />
profissionais que trabalham <strong>com</strong> aplicações web, mas<<strong>br</strong> />
ao mesmo tempo, favorece o cidadão <strong>com</strong>um em termos<<strong>br</strong> />
de segurança e, sem que ele pague por isso.<<strong>br</strong> />
Você vai me perguntar: já que o acesso é livre, quem<<strong>br</strong> />
quiser utilizar os documentos para ‘o mal’ também tem<<strong>br</strong> />
acesso. Sim, mas aí esperamos que quem seja o alvo<<strong>br</strong> />
desses ataques já conheça o OWASP e seus projetos e<<strong>br</strong> />
esteja protegido de acordo.<<strong>br</strong> />
Leonardo Francisco Buonsanti de Andrade é Administrador<<strong>br</strong> />
de Segurança da Informação do UOL, Bacharel<<strong>br</strong> />
em Administração de Empresas pela FIAP, voluntário<<strong>br</strong> />
do OWASP <strong>com</strong>o líder do Capítulo da Cidade de<<strong>br</strong> />
São Paulo.<<strong>br</strong> />
OWASP - Projeto Aberto de Segurança em Aplicações<<strong>br</strong> />
Web <strong>www</strong>.owasp.org<<strong>br</strong> />
Página do Capítulo São Paulo<<strong>br</strong> />
https://<strong>www</strong>.owasp.org/index.php/Sao_Paulo