10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

Se algum dia eu resolver escrever sobre o que eu aprendi apenas após ter tentado e errado, provavelmente será um longo, muito longo artigo, capaz de rivalizar com mais da metade do conteúdo da Wikipédia. E o melhor: Eu não vejo nada de errado com isso!

Desde basicamente sempre eu me vi um fã do método da tentativa e erro para descobrir como o mundo funciona. Isso é um instinto que temos desde pequenos, afinal foi o que usamos para aprender as coisas mais básicas como, por exemplo, andar, falar, nadar. Conforme chegamos a fase adulta, perdemos muito dessa aptidão, mas acredito que como um bom gamer, fui influenciado a testar, errar, perder vidas, usar contiues até conseguir salvar a princesa no último castelo.

Bem, se aprender com os próprios erros é algo bom, ter a oportunidade de aprender com os erros de outrem é significativamente melhor. É isso que busco passar aos meus alunos em cursos de gestão de serviços de TI, governança e segurança da informação. Nessa era onde existem inúmeras opções para se buscar conteúdo básico, acredito que trocar experiências é bem mais enriquecedor do que simplesmente discutir o material padrão em sala de aula.

Foi assim que pensei nesse artigo. Lá se vão mais de 10 anos que já atuo com Segurança da Informação e uma das perguntas mais frequentes de colegas/alunos/amigos em redes sociais é “como faço para começar a trabalhar com segurança?”. Bem, esse é um tema que certamente rende outro texto bem legal, mas hoje gostaria de compartilhar com vocês alguns pontos que eu realmente gostaria de ter conhecido antes de ingressar na área. A lista não está em nenhuma ordem específica e, obviamente, essa foi/está sendo uma jornada bem pessoal que agora partilho com vocês.

1.      Segurança da informação é bem mais abrangente do que segurança de TI (cibersegurança): Quando iniciei com segurança da informação eu imaginava que passaria o resto da minha carreira basicamente trabalhando com tecnologias como firewalls, roteadores, hardening de sistemas operacionais, correções de vulnerabilidades técnicas. Foi com um certo espanto (para não dizer receio) que me vi responsável pela segurança física de ambientes críticos para as operações da empresa, atuando junto a equipe jurídica na definição de aspectos legais e gastando boa parte do meu tempo na “simples” tarefa de educar pessoas sobre o tema. Hoje em dia gasto boa parte do meu dia de trabalho em atividades que buscam mudar a “cultura corporativa”, algo que é essencial a implantação de uma segurança da informação efetiva.

2.      Você não precisa ser um expert em tecnologias específicas: Ainda ligado ao item anterior, meus primeiros trabalhos na área de segurança foram relacionados ao uso de firewalls mas conforme evolui profissionalmente, me descobri mais e mais afastado do conhecimento técnico puro. Segurança da Informação é uma disciplina que permeia todos os níveis hierárquicos da empresa, do mais operacional até (esperamos!) decisões estratégicas. Um dos primeiros passos para se tornar um bom gestor é aprender a delegar ações operacionais a sua equipe e focar nos resultados e entrega de valor ao negócio. Entenda, existem vários cargos que vão exigir um profundo conhecimento técnico como, por exemplo, quando for necessário realizar um teste de intrusão baseado em exploits que você mesmo construiu ou fazer engenharia reversa de algum novo malware. Se isso é o que você quer fazer, ótimo! Existem diversas opções de carreira! Apenas não se sinta limitado. Um bom gestor precisa focar muito mais em construir equipes confiáveis, compreender como a tecnologia funciona e, especialmente, como ela se encaixa dentro da visão geral de sua arquitetura de segurança, do que saber simplesmente “meter a mão na massa”.

3.      As normas da família ISO 27000 basicamente explicam basicamente tudo que você precisa saber para entender o que é segurança da informação: Sim, eu vou admitir um crime! Eu sequer havia ouvido falar da ISSO 27001 quando comecei a trabalhar com segurança. Meus primeiros passos foram muito mais focados em seguir as regras impostas pela política corporativa que, na época que eu trabalhava em uma empresa multinacional, já fazia referência a termos como Sarbanes-Oxley 404, ISO 27001, CobiT, ITIL. Não, eu realmente não sabia o que eram nenhum deles e perdi muito tempo por conta disso. Um colega mais experiente me presenteou com algumas publicações da ISO e um livro introdutório da ITIL (eu já era responsável pelos processos de configuração e mudança na minha empresa, e nem sabia o que era gestão de serviços de TI!). Só posso dizer que foram leituras bem esclarecedoras e tive vários momentos de “Ahhh, é por isso que eu faço dessa forma.”. Se tiver oportunidade, não perca tempo e leia! A ISO 27000 pode ser obtida gratuitamente nesse link! O CobiT é gratuito para associados da ISACA, as demais normas e outras publicações, infelizmente só comprando.

4.      Esteja preparado para se decepcionar com algumas pessoas: Na primeira vez que implantei um serviço de proxy/filtro web, passei vários dias espantado com a quantidade de material inapropriado que as pessoas tentavam acessar, bem como sua “criatividade” quanto ao tipo de assunto pesquisado na internet. Bem, isso realmente me surpreendeu, mas o triste foi ter a vivencia de participar de investigações onde descobri que pessoas bem próximas não eram exatamente honestas. O primeiro instinto sempre foi o de perguntar diretamente, pedir uma explicação, pois os resultados só podiam estar errados. Felizmente, alguns colegas mais experientes, especialmente das áreas de auditoria, me ajudaram muito a manter uma postura imparcial e ética.

5.      Você vai descobrir quem realmente são seus amigos: Talvez esse ponto esteja um pouco relacionado ao item anterior. No meu primeiro ano como Security Officer, quando tive que implantar uma série de controles bem restritivos, percebi que várias pessoas se afastaram do meu convívio e, algumas semanas depois de termos iniciado o controle de acesso a internet, meu carro misteriosamente apareceu com pneus vazios e alguns arranhões nada acidentais (não se sintam mal, a empresa me ressarciu!). Muitas vezes a área de segurança é percebida de maneira bem negativa dentro da empresa, afinal “bloqueamos” e “monitoramos” tudo, pessoas podem chegar ao ponto de ser demitidas quando violam algum controle, isso definitivamente não vai contribuir para sua popularidade dentro da empresa. Felizmente, conforme a disciplina evolui, eu percebo que esse cenário tem mudado nos últimos anos (meu carrinho passa muito bem, obrigado!).

6.      Pessoas são bem mais importantes que tecnologias e processos: Quando comecei a estudar segurança da informação, logo conheci os pilares básicos: Confidencialidade, Integridade e Disponibilidade. Mas muitas vezes não lembramos que eles são apoiados diretamente por Pessoas, Processos e Tecnologias. Desses três últimos, certamente as pessoas são o ativo estratégico mais importante a segurança da informação, bem como o que vai demandar mais esforço para garantir a proteção corporativa. Não é a toa que uma das frases mais comuns é dizer que pessoas “são o elo fraco” da segurança, isso é uma verdade que não mudou ao longo dos anos e que dificilmente vai se alterar no futuro próximo. Paradoxalmente, sem pessoas preparadas, você pode contar com a melhor tecnologia e os mais bem definidos processos, ainda assim existe uma grande chance de falha. Investir tempo dialogando, explicando, conscientizando e condicionando os colaboradores da sua empresa é uma ação estratégica que, a longo prazo, entrega muito mais valor do que a implantação de qualquer tecnologia.

7.      Controlar é diferente de bloquear, dialogar é diferente de simplesmente dizer não: Cada vez que crio uma campanha de conscientização parte do foco vai para tirar a imagem negativa que nós, profissionais da área, criamos para segurança da informação. Por muito tempo fomos percebidos como a equipe do NÃO. Posso colocar minha empresa na internet? Não, é inseguro. Posso permitir que meus colaboradores tenham acesso remoto? Não, é inseguro. Posso permitir uso de equipamento pessoal no ambiente de trabalho? Não, é inseguro. Posso levar meu sistema crítico para a nuvem? NÃO! JÁ FALEI, É INSEGURO! Sim, ao longo dos últimos anos, conforme a tecnologia evoluía e se tornava onipresente, cada vez mais vi profissionais responderem negativamente antes de pensar se aquilo traria um benefício ao negócio. Precisamos aprender a dialogar com as diversas áreas corporativas, explicar que é possível fazer praticamente qualquer operação de maneira segura, desde que a empresa esteja disposta a fazer os investimentos necessários para garantir a implantação de controles e seguir regras básicas de segurança. Da mesma forma que não é possível eliminar todos os riscos ao negócio, não é possível (nem necessário) bloquear tudo. Um ambiente adequadamente controlado consegue conviver harmoniosamente com os riscos persistentes e, ao mesmo tempo, estar preparado para situações adversas como crises e desastres.

8.      Saber dialogar no idioma da alta direção: Não é possível se fazer segurança da informação sem o apoio direto da alta direção (diretores, donos, acionistas, conselho administrativo ou qualquer outra entidade que se aplique a sua empresa!). Uma das maiores dificuldades que profissionais que possuem conhecimentos eminentemente técnicos tem é garantir uma boa comunicação com executivos. Invista tempo e esforço para tentar entender os valores da sua empresa, quais são seus objetivos estratégicos e como a segurança da informação pode agregar aos resultados da organização. Essa é a natureza da entrega de valor e, no final do dia, é o que vai garantir que segurança não seja percebida como um peso morto, mas sim vista como um facilitador do negócio, uma disciplina estratégica, alinhada a visão e missão corporativa.

9.      Inglês ainda é indispensável: Talvez eu devesse ter colocado esse ponto no início, dada sua importância. Como meu pai era tradutor-interprete e eu herdei uma facilidade com idiomas, apreendendo inglês basicamente por osmose, é provável que eu não tenha valorizado tanto esse conhecimento. Mas a realidade é que diversas oportunidades profissionais foram facilitadas pelo fato de eu ser bilíngue. Na minha primeira auditoria internacional eu não era o profissional mais experiente, mas dominava perfeitamente o inglês, além de conseguir fingir razoavelmente bem falar castelhano (Saludos a mis amigos en Chile!) em uma época onde não havia Google Translator. É claro que essa foi uma vivencia pessoal, mas com a quantidade de material de estudo em inglês, além de provas de certificação que não foram traduzidas e um mercado internacional bem atraente, não dá para argumentar. Ter um segundo idioma (escolhas obvias: inglês, espanhol, alemão, francês, chinês) é uma obrigação para um profissional que quer se destacar no mercado.

10.  Certificações te ajudam, mas não substituem experiência: Ah, certificações, ainda esta semana li aqui no linkedin um artigo sobre como elas estavam matando o “mercado de segurança da informação”. Bem, se você viu meu perfil, acho que não preciso explicar que não concordo com essa visão. Investi muito do meu tempo direcionando estudos para certificações na área de segurança. Pessoalmente o resultado foi espetacular. Novamente, muitas portas se abriram, o último exemplo é o razoável sucesso que tenho tido como escritor freelancer para empresas nos EUA, Canadá e EU. Nenhum dos clientes me conhecem pessoalmente, mas tanto meu portfólio profissional, quanto a sopa de letrinha das certificações contribuíram muito na hora de fechar o primeiro trabalho. Entenda, um título é apenas o seu cartão de visita, ele pode até te render uma boa oportunidade, mas é o seu esforço, compromisso, atitude e competência que vão garantir a manutenção dessa posição. Meu conselho é investir sim em cursos e certificações, especialmente aquelas que são independentes de fabricante como as da EXIN, ISACA, ISC2, CompTIA e similares. Entretanto, esteja atento: por mais que os seus instrutores se esforcem para passar conhecimento prático, nada substitui experiência. Sempre que possível procure colocar em prática aquilo que você aprendeu em sala de aula ou estudando sozinho, caso contrário, será conhecimento perdido.

Bem, aí está, foram 10 pontos que considero muito importantes e que sinceramente gostaria de ter sabido quando comecei a trabalhar com segurança da informação. Se você teve paciência e leu até aqui, bem, segue o 11º como um bônus: Não consigo imaginar uma área mais desafiadora, enriquecedora, em ampla fase de crescimento, carente de profissionais qualificados e que remunera muito bem. Não tenha medo de abraçar essa carreira, as oportunidades são enormes e a recompensa, além da jornada em si, é bem pragmática.

Comentários

Comentários

1° de abril deveria ser o dia internacional da cibersegurança!

1° de abril deveria ser o dia internacional da cibersegurança!

Sempre gostei do 1° de abril. Desde criança, nunca perdi a mania de fazer algum tipo de brincadeira boba. Algumas foram razoavelmente divertidas, como quando publiquei um check-in (obviamente falso) no topo do Everest e avisei que iria me atrasar para uma reunião importante. Outros casos meio que me colocaram em uma situação complicada, tipo quando mudei a data do meu aniversário em redes sociais para 01/04, passei o dia recebendo “parabéns” e meus colegas acabaram fazendo aquela velha boa vaquinha para uma festinha no trabalho. Alguns não ficaram exatamente felizes em saber que tudo não passava de uma brincadeira, mas no final demos boas risadas.

Você pode estar se perguntando: O que isso tem haver com cibersegurança? Bem, o fato é que – mesmo através dessas pequenas brincadeiras em redes sociais – tenho visto que no dia primeiro de abril as pessoas estão mais céticas em relação ao mundo digital. Viu uma notícia que o Google vai imprimir e enviar as mensagens do gmail para sua casa? Opa, isso deve ser mentira. A Google vai lançar um buscador “pet-friendly” para seu bichinho? Claro que não! O Subway vai lançar uma linha de sorvetes “subzero” nos sabores atum, frango tikka e almondegas marinara? Divertido, mas não é sério, serve apenas para rir.

Homer aprovaria 🙂

E é isso mesmo, por um dia adotamos uma visão crítica e atitude cética que despreza a ideia de que “se está na internet deve ser verdade! ”. Agora pergunto, por que não adotar essa mesma postura quando recebemos uma “comunicação do banco” pedindo para revalidar sua tabela de senhas para não ter a conta bloqueada? Por que não agimos da mesma forma quando um documento de Word ou Excel, baixado de um site não-inteiramente-confiável, pede para ativar macros? Por que, como dizia Bruce Schneier, os usuários sempre escolhem os porquinhos dançando ao invés de pensar em segurança? Com a atitude de primeiro de abril isso pode mudar!

Boa segurança da informação depende de PESSOAS, processos e tecnologias, você já deve ter ouvido repetidas vezes que “pessoas são o elo fraco”. Infelizmente essa afirmação tem se mantido impiedosamente verdadeira nas últimas décadas. De nada adianta investirmos na melhor tecnologia, quando não se tem processos maduros e, principalmente, pessoas treinadas e conscientes de suas responsabilidades quanto a segurança da informação.

No final do dia, em se tratando de pessoas, o que realmente precisamos é garantir um bom CHA: Conhecimento, Habilidades e Atitude. Novamente, essa atitude cética e olhar crítico que adotamos no 1° de abril, se replicada o ano todo, teria um resultado espetacular em termos de proteção contra ameaças que vem atormentando profissionais da área e causando enormes prejuízos a empresas em todo mundo: Engenharia social (presencial, telefônica ou mesmo com uso de tecnologia), phishing, spear-phishing, infecções por ransomwares e outros códigos maliciosos, a lista é extremamente grande.

Quando o assunto for segurança da informação, invista em uma visão crítica e abordagem cética. Pensar antes de clicar não te custa nada, mas protege bastante. Passe essa mensagem para seus colaboradores ou colegas de trabalho, essa atitude pode poupar você e sua empresa de muita dor de cabeça 🙂

Deixo aqui um último desejo: Que o primeiro de abril dure o ano todo!

Comentários

Comentários

ISO: Que tal baixar mais de 600 normas graça? (e não é pirataria!)

Normas ISO legítimas e de graça me fazem MUITO feliz!

As normas ISO são, sem sombra de dúvida, uma das melhores fontes de conhecimento prático quando se quer adotar padrões testados e estabelecidos internacionalmente, aplicáveis a empresas de todos os portes e setores. Existem normas ISO focadas em várias áreas de conhecimento, incluindo qualidade, meio ambiente, tecnologia, segurança da informação, continuidade de negócios, governança corporativa, dentre outros muitos assuntos.

Algum tempo atrás, eu republiquei no Linkedin uma postagem feita originalmente aqui no blog, descrevendo como baixar uma cópia legítima da norma ISO 27000:2014 (já foi atualizada para versão 2016), que apresenta basicamente uma visão geral do que é um SGSI e outros conceitos relacionados a segurança da informação. No Brasil a norma continua sendo vendida, atualmente custando absurdos R$ 627,90!

A boa notícia é que essa não é a única norma que a ISO publica gratuitamente. Existe um site oficial onde você pode baixar 610 publicações! Claro, algumas são bem antigas, indo até 1988, e provavelmente estão desatualizadas, mas também existem normas novas folha, publicadas ainda em 2016 e falando de assuntos extremamente relevantes como TI, Segurança da Informação, Gestão de Serviços de TI e Computação na Nuvem, veja alguns exemplos:

  • ISO/IEC 2382:2015 Information technology — Vocabulary
  • ISO/IEC 2382-37:2017 (E) Information technology — Vocabulary — Part 37: Biometrics
  • ISO/IEC 17788:2014 Information technology — Cloud computing — Overview and vocabulary
  • ISO/IEC 17789:2014 Information technology — Cloud computing — Reference architecture
  • ISO/IEC 19395:2015 Information technology — Sustainability for and by information technology — Smart data centre resource monitoring and control
  • ISO/IEC 19678:2015 Information Technology — BIOS Protection Guidelines
  • ISO/IEC TR 20000-10:2015 Information technology — Service management — Part 10: Concepts and terminology
  • ISO/IEC TR 20000-11:2015 Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL
  • ISO/IEC TR 20000-12:2016 Information technology — Service management — Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC
  • ISO/IEC 27036-1:2014 Information technology — Security techniques — Information securityfor supplier relationships — Part 1: Overview and concepts
  • ISO/IEC 27000:2016(E) Information technology — Security techniques — Information security management systems — Overview and vocabulary

A maioria das publicações está em inglês, com algumas versões em francês ou russo. A lista completa você pode acessar aqui: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

Boa leitura!!

Comentários

Comentários

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

Comentários

Comentários

Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

Comentários

Comentários