Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

FALTA POUCO MAIS DE UM MÊS. Depois de inúmeras denuncias, controvérsias e atrasos ,enfim chegamos ao que pode ser considerado um dos maiores eventos que o Brasil já sediou, a Copa do Mundo de 2014. As próximas semanas trarão a resposta a uma pergunta que assombra muitos profissionais que lidam com gestão de riscos: Com os olhos e holofotes do mundo centrados em nossa nação, será que teremos finalmente um momento de merecida glória ou um retumbante fracasso?

risco-copa

Indo além do nobre esporte bretão disputado no tapete esmeralda, quando entramos no campo digital talvez nossa seleção não seja a mais preparada. Somos uma nação virtual com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa, temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com ciberataques podem ser considerados – na melhor das hipóteses – precários.

O crime não tira férias e nem assiste aos jogos da Copa

Quando olhamos individualmente para organizações, as estatísticas apontam que datas comemorativas e grandes eventos representam um número maior de ataques cibernéticos. Esse movimento é natural, visto que boa parte das empresas acaba contando com equipes menores, trabalhando em regime de plantão. Imagine que, se já não é fácil monitorar o ambiente corporativo com uma equipe completa, um quadro reduzido amplia a possibilidade de não se detectar ou tratar um incidente a tempo. Enquanto estamos de olho nos telões, torcendo pela seleção canarinho,  vazamento de informações, infecções por malwares, golpes de phishing e similares aumentam tanto quanto a quantidade de faltas cavadas por certos jogadores, frente a uma marcação mais cerrada.

Acredito que seja evidente a todos que – gostando ou não – vai ter Copa sim, e a esmagadora maioria dos brasileiros aplaudirá o evento. Esse fato não diminui as oportunidades que movimentos como o “Não Vai Ter Copa” terão para divulgar sua mensagem. Um ponto importante é entendermos a tênue diferença entre o ciberativismo – a versão repaginada do sofativismo, que usa primariamente redes sociais para divulgar idéias – e o hacktivismo ou mesmo o ciberterrorismo. Esses dois últimos fazem uso da tecnologia aliada ao medo e caos, juntando uma massa cega e inconsequente de internautas, que não tem uma real percepção do prejuízo que um ataque pode causar a uma empresa ou órgão público.

Falou o corretor sobre o apartamento de 50m²
Falou o corretor sobre um apartamento de 50m²

Muito além de empresas privadas como a própria FIFA e seus patrocinadores, alvos de hacktivistas incluem serviços críticos como polícia, bombeiros e até mesmo as forças armadas. Isso ficou claro 2013, durante a chamada “Operação 7 de Setembro”, quando crackers atacaram mais de 50 sites nacionais, dos quais 75% eram órgãos do governo. Os ataques – geralmente de negação de serviço – chegaram a derrubar páginas como das Polícias Militares do Rio de Janeiro e Distrito Federal. Sinceramente não é difícil imaginar um cenário onde ataques similares poderiam visar a desestabilização da infraestrutura crítica desses órgãos, podendo chegar a comprometer operações de proteção a vida.

A administração pública já vem tomando algumas medidas para garantir a segurança da informação em grandes eventos, como a implementação dos Centros de Comando e Controle  e a forte mobilização de agentes da segurança pública durante a Copa do Mundo. Entretanto, nas próprias palavras do Delegado José Mariano – da Polícia Civil de São Paulo – “Só agimos reativamente. Falta integração e articulação para deixarmos de ser o país com pior índice de segurança da informação na América Latina”. Essa escassez de ações proativas é a lacuna que permite ao Brasil ser um dos países mais afetados pelo cibercrime, com um prejuízo anual estimado em mais de R$ 18,3 bilhões de acordo com o Norton Cybercrime Report 2013.

 Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime
Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime

Como resolver esses problemas? Acredito que apesar de empecilhos como o escasso investimento nas iniciativas pública e privada, o pequeno número de profissionais experientes no mercado, nosso maior problema é a falta de uma cultura em Segurança da Informação. É “fácil” investir em uma das muitas tecnologias de proteção disponíveis no mercado, mas enquanto não tivermos bons profissionais a frente das mesmas, e um apoio executivo na Alta Direção das empresas, vamos continuar levando gol contra.

CARTO_vermelho

 

[Evento CGDT, DARYUS e Collworks] – Rede Colaborativa, Estratégias de Segurança da Informação e Gestão de Riscos no Setor Público – Download dos Slides

Prezados amigos,

No dia 26/02, a DARYUS em conjunto com o CGDT e a Collworks, e com o apoio da Defensoria Pública Geral do Ceará, realizou um evento sobre “Rede Colaborativa, Estratégias de Segurança da Informação e Gestão de Riscos no Setor Público”.

CGDT_Capa

O evento contou com a presença do Diretor-Presidente do CGDT, Nâmio Sousa e palestrantes conhecidos, como Jeferson D’Addario (DARYUS) e Edson Moreira (Collworks) e também com a minha participação, apresentando uma visão geral do tema “Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS”.

Além de discutir bastante sobre o cenário atual da Segurança da Informação no setor público, apresentei um modelo para Gestão de Riscos baseado nas soluções da RealISO, que recentemente foi adquirida pelo Grupo DARYUS.

Dashboard de Gestão de Riscos no RealISMS
Dashboard de Gestão de Riscos no RealISMS

O RealISMS é uma ferramenta bastante completa e ao mesmo tempo simples de usar. Como consultor, venho empregando a mesma há vários anos com um ganho significativo em projetos para empresas de diferentes portes. Pessoalmente considero o RealISMS essencial para projetos de certificação ISO 27001, se você tem interesse no tema, não deixe de fazer um teste gratuito.

Como sempre, estou compartilhando aqui os slides que utilizei: <<[PDF]Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS>>

CGDT_RealISMS_PDF
Clique na imagem para fazer download do arquivo PDF 

Para ver mais fotos do evento, que foram publicadas na comunidade do Facebook, clique AQUI.

PALESTRA GRATUITA – Segurança da Informação: Perspectivas no Brasil para 2014 e além

Caros colegas,

Na próxima quinta-feira, 07 de novembro as 19:00, estarei no auditório da UNIFOR apresentando uma palestra com o tema: “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.

Segurança da Informação: Perspectivas  no Brasil para 2014 e além
Segurança da Informação: Perspectivas no Brasil para 2014 e além

Vazamento de informação, ataques de crackers, hacktivismo, espionagem e guerra cibernética. Cada vez mais ocorrem incidentes severos, que afetam a Segurança da Informação, independente do seguimento e podem até paralisar serviços críticos de uma nação.

Quais as perspectivas no Brasil para os próximos anos? Em face da chegada de eventos de escala mundial, será que estaremos preparados para estar nos holofotes do mundo cibernético?

O evento é gratuito, mas as vagas são limitadas! Inscreva-se aqui: http://dary.us/1aMUtTh.

Aproveite e participe do evento no Facebook: http://dary.us/180ZTps.

Dilma anuncia e-mail seguro. Será que o Brasil está bem protegido contra espionagem cibernética?

Quando em julho deste ano Edward Snowden divulgou que pessoas, empresas e o governo do Brasil se tornaram alvos de espionagem da Agência de Segurança Nacional dos Estados Unidos (National Security Agency – NSA, na sigla em inglês) todos foram “pegos de surpresa”.

Oh! Que absurdo! Nunca suspeitamos que uma “nação amiga” fosse capaz de tamanha audácia. Que abuso o Obama querer xeretar nas comunicações secretas da nossa presidenta! Precisamos de uma resposta à altura! Quanta inocência.

dilma spy

Os mais cínicos sabem que a espionagem é a segunda profissão mais antiga do mundo, faz parte do jogo, “business as usual”. Os EUA fazem, O Brasil faz (ou faria se tivesse capacidade). O que a NSA fez de errado foi quebrar a regra de ouro de todo espião: “Não seja pego!”

É obvio que como uma nação, o Brasil precisava dar algum tipo de resposta a essa situação. O cancelamento de uma visita oficial que a Dilma faria aos EUA foi um primeiro movimento na valsa diplomática, sendo sucedido por declarações, pedidos de desculpas e discursos de ambas as partes. Tudo isso serve apenas para os holofotes.

Entretanto, o que todos estavam aguardando eram medidas concretas para solucionar o problema. Como iriamos nos proteger nessa guerra fria cibernética?

A resposta veio nesse último domingo (13/10), através do twitter da Presidena Dilma Rousseff (@dilmabr), que anunciou ter determinado ao Serpro a implantação de um sistema seguro de e-mails. Claro, isso não pode ser feito da noite para o dia, mas deve estar disponível no segundo semestre do próximo ano. Enquanto isso, a ordem do dia é inserir “Hi Obama, Whassuuuup?” aleatoriamente em qualquer parte das mensagens.

@dilmabr

@dilmabr

A pergunta que fica é: O que constitui um sistema seguro de e-mail? É fácil imaginarmos a aplicação de ferramentas de criptografia tanto para resguardar o conteúdo (confidencialidade) quando proteger a autenticidade (integridade) das mensagens. Ótimo! Nossa nação estará (em breve) protegida! Afinal a espionagem acontece apenas no correio eletrônico.

Sem considerarmos qual ferramenta será utilizada ou desenvolvida, a possibilidade de um backdoor ou qualquer outro tipo de falha de implementação, existe outro ponto importante que ainda deve ser endereçado: as pessoas.

Nem mesmo a melhor das tecnologias não é capaz de garantir a proteção de qualquer sistema, sem que as pessoas estejam preparadas para seu uso. Se você já implantou ferramentas de criptografia em seu correio eletrônico, sabe que os usuários resistem a qualquer clique ou passo adicional para criptografar a mensagem, afinal é uma tarefa que “toma tempo, reduz produtividade, dificulta o dia a dia de trabalho”. Sim, usuários consideram segurança da informação algo extremamente chato.

Antes que alguém diga “A solução é simples, vamos criptografar todas as mensagens”, é importante lembrar os rumores de que e-mails enviados para a Dilma, por assessores próximos, partiam de contas do gmail.

Ok! Agora estamos protegidos!
Exemplo do que acontece quando adotamos tecnologias de segurança sem capacitar e conscientizar as pessoas.

O fato é que implementar uma tecnologia de proteção é um passo na direção correta, mas essa medida sozinha não vai solucionar o problema. É necessário que o governo também formalize regras claras para o uso do correio eletrônico, capacite e conscientize seus usuários. Ah, alguem lembrou que espionagem não ocorre apenas no e-mail? Que tal expandir medidas de segurança para outros serviços e incluir também proteção física?

O Gabinete de Segurança Institucional da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, tem feito boas iniciativas nessa área, como é o caso da Norma Complementar 17/IN01/DSIC/GSIPR.

Publicada em abril de 2013, estabelece diretrizes para atuação e adequações de profissionais da área de Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, determinando recomendações para cursos de certificação e temas de SIC para formação/capacitação e atividades relacionadas a troca de conhecimento.

spying

Iniciativas como a normativa 17 devem ser louvadas, mas o seu maior problema é basicamente se restringir aos profissionais que atuam na área de SIC. É preciso que medidas como essa sejam expandidas aos demais níveis da Administração Federal.

Um amplo programa de capacitação e conscientização talvez não chame tanto a atenção como a implantação de um sistema de e-mail seguro, mas certamente é a medida mais eficiente quando queremos garantir a segurança da informação, seja no governo ou nas nossas empresas.

Vai Obama! Quero ver você me espionar agora!
Vai Obama! Quero ver você me espionar agora!

Fontes:

O GLOBO

TWITTER DILMA

BLOG DO PLANALTO

Norma Complementar 17/IN01/DSIC/GSIPR