Executivos brasileiros não têm ideia do que é Cibersegurança (e adivinhe de quem é a culpa!)

CASSANDRA É UM PERSONAGEM FAMOSO NA MITOLOGIA GREGA. Devota de Apolo, recebeu deste o dom da profecia. Mas quando recusou-se a dormir com o Deus da Arte, foi amaldiçoada: Ninguém jamais acreditaria nas suas profecias ou previsões! Considerada como louca, a falta de credibilidade em suas visões levou a queda de Tróia.

Muitas vezes quando trabalhamos com Segurança da Informação, parece que sofremos do mesmo mal, o Complexo de Cassandra. Claro, não estamos fazendo previsões com o dom da profecia (eu espero!), mas usando análises baseadas em frameworks e melhores práticas de mercado. O resultado, porém, é o mesmo. Apesar de poder “prever”  riscos e possíveis incidentes no futuro, somos taxados como paranoicos pessimistas, e a alta direção ou o corpo executivo da organização descarta a possibilidade baseado na ideia de que aquilo “nunca vai acontecer na nossa empresa”.

Espero que essa não seja sua metodologia de Análise de Riscos.
Espero que essa não seja sua metodologia de Análise de Riscos.

O fato é que uma pesquisa recente, realizada Alvarez & Marsal com 150 executivos seniores de empresas brasileiras, mostra que a maioria tem uma noção apenas superficial dos riscos, e do que é CyberSecutiry. Os resultados apontam que 20% dos entrevistados não sabem quem é o responsável pela segurança cibernética em suas organizações. Outros 28% acham que o assunto é uma responsabilidade de TIC.

Quem trabalha há um tempinho na área de SegInfo, sabe que essa situação não é nenhuma novidade. Ficam duas perguntas:

Se Executivos não sabem o que é Segurança Cibernética, será que entendem o que é Segurança da Informação?

E será que os executivos são os únicos responsáveis por essa situação?

Em ultima instância a Alta Direção de qualquer organização sempre será responsabilizada por incidentes de segurança como, por exemplo, vazamentos de informações, fraudes, erros (propositais ou não). Isso independe se o fato foi uma falha técnica (segurança cibernética) ou se ocorreu fora do mundo digital, que por acaso ainda cai dentro do escopo da Segurança da Informação.

Pensando de acordo com a Norma ISO 27001:2013, uma boa Gestão de SegInfo deve englobar adequadamente Pessoas, Processos e Tecnologia. Afinal, uma das características básicas da informação é sua capacidade de mudar de meio de armazenamento, e pouco faz diferença se um vazamento ocorreu por conta de uma vulnerabilidade de SQL Injection ou num descarte inseguro de relatórios impressos. Se a quantidade de informação afetada for a mesma, o impacto negativo é igual.

Ok! Agora me explique o que é Segurança da Informação.
Ok! Agora me explique o que é Segurança da Informação.

Segurança é uma disciplina estratégica. Cabe aos Gestores da área de SegInfo conscientizar o negócio sobre sua relevância e explicar como uma ausência de controles pode ter um severo impacto negativo na operação, imagem ou reputação da empresa. A ideia central, é que a informação precisa ser protegida independentemente do seu formato, esteja ela em servidores locais, na nuvem, impressa ou armazenada em microfilme.

Muitas vezes falhamos em comunicar esses aspectos. Esquecemos que aprender a entender as estratégias, objetivos e a dialogar no idioma do negócio ($$$ na maioria das vezes!) é tão ou mais importante quanto saber escovar bits para hardenizar um sistema operacional.

Essa perspectiva leva a outra pergunta bem relevante: Assim como os executivos que não sabem o que é Segurança da Informação ou Cibersegurança, será que os profissionais da SegInfo entendem realmente o que precisa ser protegido e conseguem dialogar na linguagem do negócio?

Infelizmente ainda vivemos numa cultura da Síndrome do Appliance: Só nos sentimos protegidos quando existe um Led piscando no Rack. Essa postura, muitas vezes propagada pelos próprios profissionais da área de SegInfo, é uma maneira mais fácil lidar com os anseios de executivos.

Claro, apresentar um hardware que pode ser pesado, medido, tocado e ter um “resultado imediato”, é muito mais fácil do que lutar por controles mais “abstratos” como políticas, normas e procedimentos que exigem uma mudança na postura dos colaboradores e da organização como um todo. Isso serve apenas para propagar a ideia de que Segurança da Informação é uma “responsabilidade exclusiva de TI”.

Quer ser um bom Gestor de SI? Além de ter uma boa compreensão dos aspectos técnicos, aprenda a dialogar com os executivos no idioma deles e procure sempre manter sua área alinhada aos objetivos do negócio. E se mesmo assim o Complexo de Cassandra não diminuir, bem, você lembra o que aconteceu com Troia não é?

Fire_of_Troy
O Fogo de Troia. Ok Cassandra, você estava certa!

Fontes:

http://www.administradores.com.br/noticias/tecnologia/analise-executivos-brasileiros-nao-tem-ideia-do-que-e-ciberseguranca/84408/

http://alvarezandmarsaleurope.com/pesquisa

[2014]: Novamente atualizando sua Política de Segurança e uma partida de futebol

Enfim chegou 2014 (ok, estou um pouco atrasado já chegou fazem duas semanas!) e estamos naquela época do em que pretendemos cumprir as promessas feitas no final de ano passado, em 2012, 2011, 2010, bem … feitas algum tempo atrás. Mas o que será que planejamos para melhorar a Gestão de Riscos e Segurança da Informação da nossa organização?

Será que em 2014 vai?
Será que em 2014 vai?

Eu sempre acreditei que o começo do ano é um bom momento para iniciar um novo ciclo de renovação de políticas, normas e procedimentos. Um ano atrás escrevi o artigo “Está na hora de atualizar sua Política de Segurança da Informação – PSI?” exatamente com esse pensamento, e agora com a chegada de um novo ciclo, é valido perguntarmos: Será que as políticas e normas da minha empresa refletem as mudanças ocorridas em 2013?

O ano de 2013 nos brindou com uma série de novos desafios cada vez mais presentes. Mobilidade e equipamentos pessoais no ambiente de trabalho deixaram de ser uma mera “novidade interessante” e passaram a ser parte da estratégia do negócio, visando agilidade e uma demanda dos usuários que insistem em um ambiente de trabalho cada vez mais conectado e com menos barreiras físicas.

dilma spy

Não podemos esquecer a sempre presente sombra dos arapongas virtuais. NSA e Obama ganharam um incrível destaque devido a suas “pequenas indiscrições” e assustaram quem tinha a inocência de acreditar que a segunda profissão mais antiga da humanidade estava semi-aposentada. Como resultado empresas da administração pública federal direta, autárquica e fundacional estão migrando para o Serpro Expresso V 3.0 e o seguimento privado está mais uma vez correndo atrás de soluções de criptografia. Aparentemente vazamento de informação ocorre somente no serviço de e-mail. Uma dica: NÃO!

Nesse mesmo contexto é seguro dizer que muitas das empresas brasileiras ainda não possuem sequer uma Política Estratégica de Segurança da Informação, e uma boa parte daquelas que tem uma PSI publicada, simplesmente baixaram um modelo da internet. Bem, em 2014, vamos começar com o básico.

Por que uma Política de Segurança da Informação (PSI) é tão importante?

A PSI é um instrumento estratégico onde a Alta Direção da organização define as diretrizes básicas de como a Segurança da Informação deve ser gerenciada. Complicado? Ok! Vamos usar um exemplo mais simples, aproveitando o clima de Copa do Mundo 2014.

Imagine uma partida de futebol entre dois grandes clubes brasileiros. Um dos jogadores (não o goleiro!) toca claramente a bola com a mão. Todos viram: jogadores, torcida e claro, o Juiz. Presumindo que o evento tenha ocorrido fora da pequena área, o infrator é punido com um cartão amarelo e a partida segue sem maiores problemas.

Já deu uma lidinha no item sanções e punições da PSI?
Já deu uma lidinha no item sanções e punições da PSI?

Digamos que depois de alguns minutos, o mesmo jogador repete o feito, um novo toque da mão proposital na bola, que não deixa dúvidas e foi visto por todos. Desta vez o infrator recebe um cartão vermelho e é expulso de campo. Os ânimos dos times e torcedores podem ate ficar afetados contra o jogador infrator, mas ninguém reclama do Juiz. Por quê? Simples, como diz Arnaldo: “A regra é clara”, todos conhecem e sabem a punição por desobedecer.

Agora imagine um jogo de futebol onde ninguém além do Juiz conhece as regras. Jogadores são meramente instruídos que devem passar a bola pelo arco para obter um gol. Isso resultaria em um caos completo, onde os usuários (jogadores) buscariam a maneira mais conveniente e provavelmente carregariam a bola nos braços, enquanto o Juiz aplicaria uma punição sem explicar o porquê e provavelmente não seria visto com muito afeto pelo resto dos participantes.

Este “caos futebolístico” é muito parecido com o cenário de várias empresas que utilizam uma Política de Segurança mal elaborada, que deixa espaço para conflitos de interpretação e não foi adequadamente explicada aos usuários.

erik-carriere-mpala-mouri

O que temos que entender é que a PSI define as “regras do jogo”, deve ser levado em consideração que os usuários devem entender todas as diretrizes, assim apesar de escritas em uma linguagem formal (parecido com um contrato), as regras devem ser claras e não deixar espaço para dúvidas.

Seguindo a linha de raciocínio do nosso exemplo acima pense: Quanto tempo você levaria para explicar as regras do nobre esporte bretão? Se você construiu uma política que pode ser efetivamente explicada em um tempo similar, com certeza está no caminho certo.

Atualizando sua Política de Segurança para 2014

Se você quer uma boa lista de recomendações para elaboração de sua PSI recomendo a leitura de dois artigos aqui do blog “Transformando sua política de segurança da informação em um ativo estratégico” e “Está na hora de atualizar sua Política de Segurança da Informação – PSI?”.

Ambos os textos são complementares, sendo o primeiro focado em uma série de recomendações para elaboração e aplicação de uma boa política e o segundo sobre como manter a mesma sempre atualizada e alinhada ao negócio.

Paperwork

Talvez o ponto mais importante não seja a construção da Política de Segurança em si. De que serviria a melhor PSI, se esta não estivesse adequadamente comunicada e entendida pelos usuários? Se você ainda não fez uma campanha de segurança, este é o momento. Existem muitos bons exemplos de como se capacitar e treinar pessoas.

Claro, para fechar o texto, vou repetir o último paragrafo do ano passado: Se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂

Dilma anuncia e-mail seguro. Será que o Brasil está bem protegido contra espionagem cibernética?

Quando em julho deste ano Edward Snowden divulgou que pessoas, empresas e o governo do Brasil se tornaram alvos de espionagem da Agência de Segurança Nacional dos Estados Unidos (National Security Agency – NSA, na sigla em inglês) todos foram “pegos de surpresa”.

Oh! Que absurdo! Nunca suspeitamos que uma “nação amiga” fosse capaz de tamanha audácia. Que abuso o Obama querer xeretar nas comunicações secretas da nossa presidenta! Precisamos de uma resposta à altura! Quanta inocência.

dilma spy

Os mais cínicos sabem que a espionagem é a segunda profissão mais antiga do mundo, faz parte do jogo, “business as usual”. Os EUA fazem, O Brasil faz (ou faria se tivesse capacidade). O que a NSA fez de errado foi quebrar a regra de ouro de todo espião: “Não seja pego!”

É obvio que como uma nação, o Brasil precisava dar algum tipo de resposta a essa situação. O cancelamento de uma visita oficial que a Dilma faria aos EUA foi um primeiro movimento na valsa diplomática, sendo sucedido por declarações, pedidos de desculpas e discursos de ambas as partes. Tudo isso serve apenas para os holofotes.

Entretanto, o que todos estavam aguardando eram medidas concretas para solucionar o problema. Como iriamos nos proteger nessa guerra fria cibernética?

A resposta veio nesse último domingo (13/10), através do twitter da Presidena Dilma Rousseff (@dilmabr), que anunciou ter determinado ao Serpro a implantação de um sistema seguro de e-mails. Claro, isso não pode ser feito da noite para o dia, mas deve estar disponível no segundo semestre do próximo ano. Enquanto isso, a ordem do dia é inserir “Hi Obama, Whassuuuup?” aleatoriamente em qualquer parte das mensagens.

@dilmabr

@dilmabr

A pergunta que fica é: O que constitui um sistema seguro de e-mail? É fácil imaginarmos a aplicação de ferramentas de criptografia tanto para resguardar o conteúdo (confidencialidade) quando proteger a autenticidade (integridade) das mensagens. Ótimo! Nossa nação estará (em breve) protegida! Afinal a espionagem acontece apenas no correio eletrônico.

Sem considerarmos qual ferramenta será utilizada ou desenvolvida, a possibilidade de um backdoor ou qualquer outro tipo de falha de implementação, existe outro ponto importante que ainda deve ser endereçado: as pessoas.

Nem mesmo a melhor das tecnologias não é capaz de garantir a proteção de qualquer sistema, sem que as pessoas estejam preparadas para seu uso. Se você já implantou ferramentas de criptografia em seu correio eletrônico, sabe que os usuários resistem a qualquer clique ou passo adicional para criptografar a mensagem, afinal é uma tarefa que “toma tempo, reduz produtividade, dificulta o dia a dia de trabalho”. Sim, usuários consideram segurança da informação algo extremamente chato.

Antes que alguém diga “A solução é simples, vamos criptografar todas as mensagens”, é importante lembrar os rumores de que e-mails enviados para a Dilma, por assessores próximos, partiam de contas do gmail.

Ok! Agora estamos protegidos!
Exemplo do que acontece quando adotamos tecnologias de segurança sem capacitar e conscientizar as pessoas.

O fato é que implementar uma tecnologia de proteção é um passo na direção correta, mas essa medida sozinha não vai solucionar o problema. É necessário que o governo também formalize regras claras para o uso do correio eletrônico, capacite e conscientize seus usuários. Ah, alguem lembrou que espionagem não ocorre apenas no e-mail? Que tal expandir medidas de segurança para outros serviços e incluir também proteção física?

O Gabinete de Segurança Institucional da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, tem feito boas iniciativas nessa área, como é o caso da Norma Complementar 17/IN01/DSIC/GSIPR.

Publicada em abril de 2013, estabelece diretrizes para atuação e adequações de profissionais da área de Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, determinando recomendações para cursos de certificação e temas de SIC para formação/capacitação e atividades relacionadas a troca de conhecimento.

spying

Iniciativas como a normativa 17 devem ser louvadas, mas o seu maior problema é basicamente se restringir aos profissionais que atuam na área de SIC. É preciso que medidas como essa sejam expandidas aos demais níveis da Administração Federal.

Um amplo programa de capacitação e conscientização talvez não chame tanto a atenção como a implantação de um sistema de e-mail seguro, mas certamente é a medida mais eficiente quando queremos garantir a segurança da informação, seja no governo ou nas nossas empresas.

Vai Obama! Quero ver você me espionar agora!
Vai Obama! Quero ver você me espionar agora!

Fontes:

O GLOBO

TWITTER DILMA

BLOG DO PLANALTO

Norma Complementar 17/IN01/DSIC/GSIPR

WEBEX GRATUITO: BYOD – Como lidar com riscos estratégicos de dispositivos pessoais 21/05/2013

Prezados colegas,

No dia 21 maio, a EXIN me convidou para apresentar um WEBEX gratuito com o tema: BYOD – Como lidar com riscos estratégicos de dispositivos pessoais, um assunto bem relevante visto que, independente do posicionamento da organização, a consumerização da TI no amibente corporativo já deixou de ser uma opção.

BYOD - Lidando com riscos estratégicos de dispositivos pessoais
BYOD – Lidando com riscos estratégicos de dispositivos pessoais

Clique AQUI ou na imagem para se registrar no Webex.

Está na hora de atualizar sua Política de Segurança da Informação – PSI?

Conforme mencionado em Transformando sua Política de Segurança em um ativo estratégico, a criação de uma PSI efetiva e seu uso como um ativo estratégico é um dos passos mais importantes para uma boa Gestão de SegInfo em qualquer organização.

Se você já enfrentou doloroso processo de criação, aprovação e disseminação da PSI na sua empresa, certamente sabe que qualquer boa prática de segurança vai pregar que o documento da política deve ser atualizado “periodicamente” passando por todo o ciclo PDCA.

Embora este prazo de atualização não seja formalmente definido em normas e frameworks, pessoalmente considero que é uma ideia razoável ter pelo menos uma revisão anual ou sempre que houver uma mudança significativa no ambiente corporativo como aquisições, fusões, entradas em novos mercados e demais eventos que tornam tão divertida a vida de um gestor de segurança.

revusando a psi

Neste momento você deve estar lembrando de todo o esforço que foi gasto para elaborar a política, obter a aprovação da alta direção e o mais difícil: conseguir inserir a PSI na cultura corporativa e que os usuários entendam a sua importância e sigam as diretrizes. Talvez você tenha chegando a velha conclusão: “Em time que está ganhando não se meche”. ERRADO!

Mesmo uma pequena mudança na legislação vigente, a criação de uma jurisprudência ou até mesmo a ocorrência de incidentes de segurança podem tornar sua PSI completamente defasada e com mais buracos que queijo suíço e acabar com o seu dia se for necessário levar a política para uma disputa legal.

Embora modificações profundas não sejam recomendadas – a menos que estritamente necessário – existem alguns pontos que se observados podem garantir um resultado bastante positivo:

  1. Valide a ocorrência de incidentes de segurança: Ao contrário do que algumas pessoas costumam pensar, mesmo com uma boa gestão de SegInfo é razoavelmente comum e até mesmo aceitável a ocorrência de incidentes de segurança, desde que estes sejam adequadamente tratados e solucionados.

Incidentes de segurança fornecem um feedback crítico para a PSI.

Para a atualização de sua PSI é recomendável que sejam analisados os incidentes que ocorreram no último período e validar se estes estão adequadamente cobertos nos tópicos da política e outros documentos como normas e procedimentos.

2. Esteja atento a questões legais e contratuais: Aspectos trabalhistas, a criação de novas jurisprudências, modificações na legislação e até mesmo contratos com clientes podem exigir uma atualização. Nesse momento o apoio do departamento legal ou mesmo de um jurista especializado pode ser essencial.

Leis, leis e leis!
Leis, leis e leis!

Um bom exemplo é a modificação da CLT referente ao art. 6o (Dezembro 2011) que na Súmula nº 428, de 24 de maio de 2011, entendeu que “o uso de aparelho de intercomunicação, a exemplo de BIP, pager ou aparelho celular, pelo empregado, por si só, não caracteriza o regime de sobreaviso”. Incluir uma pequena diretriz na PSI informando que o acesso/trabalho remoto não implica na obrigatoriedade do pagamento de horas extras, a menos que formalmente solicitado, pode evitar que sua empresa perca tempo valioso em disputas trabalhistas.

3. Novas tendências e tecnologias = novas regras: Consumerização, BYOD, Cloud, redes sociais e antissociais, geotaging, privacidade, DLP, existe um número sem fim de buzzwords que representam as ultimas tendências do mundo da TI e SegInfo.

BYOD - Dilbert
BYOD – Dilbert

Será que sua PSI já menciona regras para mobilidade, uso de dispositivos pessoais ou computação na nuvem? Mesmo que esses recursos ainda não estejam implantados, pense estrategicamente, se sua organização vai fazer uso no próximo período esteja preparado para criar novas regras que reflitam essas mudanças.

4. Acompanhe a estratégia corporativa: Sua empresa está se preparando para uma fusão? Vai abrir uma filial em outro estado ou mesmo outro país? Questões culturais ou mesmo legais (leia novamente o item 2!) são extremamente importantes.

No caso do Brasil existem casos como a Lei Estadual n°. 12.228/06 – também conhecida como lei das lan houses, que se aplica apenas ao estado de SP. Se você vai abrir uma filial nesta localidade e presta algum tipo de serviço parecido como lan house (ou mesmo aquela velha e boa conexão gratuita para visitantes) é um ponto a ser observado.

O conceito de estratégia, em grego strateegia, em latim strategi, em francês stratégie... Os senhores estão anotando?

Já em um cenário multinacional, a diferença das leis entre países é tão grande que pode praticamente inviabilizar a sua política. Por exemplo, algumas nações europeias tem uma visão completamente diferente sobre questões de monitoramento de e-mails e acesso a internet. É uma questão tanto cultural quanto legal (já recomendei ler o item 2 novamente? Leia outra vez de novo!) que deve ser observada.

5. Menos é mais: Uma atualização não significa apenas acrescentar. Se existem tópicos defasados na sua política – e se você está razoavelmente seguro que estes não são necessários – não hesite, exclua sem piedade!  Ter uma PSI enxuta facilita tanto a administração como a absorção pelos seus usuários.

 6. Renove a aprovação da alta direção: Ok, às vezes obter a aprovação de um C-Level é mais difícil que enfrentar o Smaug em um dia que ele amanheceu com azia draconiana. Entretanto, é essencial demonstrar que a alta administração participa ativamente das decisões estratégicas em assuntos de SegInfo.

altadirecao

Isso vai conferir uma maior autoridade para sua gestão junto aos usuários e evidencias essenciais para governança ou caso você esteja pensando ou mesmo renovando uma certificação como a ISO 27001.

7. Não esqueça da divulgação e sign-off dos usuários: Assim que você concluir sua atualização/aprovação é extremamente importante garantir que a nova versão da PSI será amplamente divulgada para todas as partes interessadas. Uma boa ideia é fazer uma campanha de conscientização incluindo atividades como um ciclo de palestras, divulgação de memorandos e comunicados oficiais.

Em casos de mudanças maiores, talvez seja necessário solicitar novamente que os usuários confirmem que leram, entenderam e que pretendem seguir as diretrizes da política, considere coletar assinaturas ou outras formas de gerar evidencias desse aceite, isso pode salvar sua empresa (e consequentemente seu pescoço) em eventuais embates legais.

Sign-Off = Se não está evidenciado não existe!
Sign-Off = Se não está evidenciado não existe!

Obviamente a lista acima não pretende ser exaustiva, mas certamente fornece uma boa base para ajudar na atualização da sua PSI, normas, procedimentos correlatos e talvez ajude até mesmo outras áreas como Continuidade de Negócios e Gestão de Risco de uma forma geral.

Você tem mais alguma sugestão? Dicas e comentários serão amplamente bem vindos.

Ah, se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂