Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

[2014]: Novamente atualizando sua Política de Segurança e uma partida de futebol

Enfim chegou 2014 (ok, estou um pouco atrasado já chegou fazem duas semanas!) e estamos naquela época do em que pretendemos cumprir as promessas feitas no final de ano passado, em 2012, 2011, 2010, bem … feitas algum tempo atrás. Mas o que será que planejamos para melhorar a Gestão de Riscos e Segurança da Informação da nossa organização?

Será que em 2014 vai?
Será que em 2014 vai?

Eu sempre acreditei que o começo do ano é um bom momento para iniciar um novo ciclo de renovação de políticas, normas e procedimentos. Um ano atrás escrevi o artigo “Está na hora de atualizar sua Política de Segurança da Informação – PSI?” exatamente com esse pensamento, e agora com a chegada de um novo ciclo, é valido perguntarmos: Será que as políticas e normas da minha empresa refletem as mudanças ocorridas em 2013?

O ano de 2013 nos brindou com uma série de novos desafios cada vez mais presentes. Mobilidade e equipamentos pessoais no ambiente de trabalho deixaram de ser uma mera “novidade interessante” e passaram a ser parte da estratégia do negócio, visando agilidade e uma demanda dos usuários que insistem em um ambiente de trabalho cada vez mais conectado e com menos barreiras físicas.

dilma spy

Não podemos esquecer a sempre presente sombra dos arapongas virtuais. NSA e Obama ganharam um incrível destaque devido a suas “pequenas indiscrições” e assustaram quem tinha a inocência de acreditar que a segunda profissão mais antiga da humanidade estava semi-aposentada. Como resultado empresas da administração pública federal direta, autárquica e fundacional estão migrando para o Serpro Expresso V 3.0 e o seguimento privado está mais uma vez correndo atrás de soluções de criptografia. Aparentemente vazamento de informação ocorre somente no serviço de e-mail. Uma dica: NÃO!

Nesse mesmo contexto é seguro dizer que muitas das empresas brasileiras ainda não possuem sequer uma Política Estratégica de Segurança da Informação, e uma boa parte daquelas que tem uma PSI publicada, simplesmente baixaram um modelo da internet. Bem, em 2014, vamos começar com o básico.

Por que uma Política de Segurança da Informação (PSI) é tão importante?

A PSI é um instrumento estratégico onde a Alta Direção da organização define as diretrizes básicas de como a Segurança da Informação deve ser gerenciada. Complicado? Ok! Vamos usar um exemplo mais simples, aproveitando o clima de Copa do Mundo 2014.

Imagine uma partida de futebol entre dois grandes clubes brasileiros. Um dos jogadores (não o goleiro!) toca claramente a bola com a mão. Todos viram: jogadores, torcida e claro, o Juiz. Presumindo que o evento tenha ocorrido fora da pequena área, o infrator é punido com um cartão amarelo e a partida segue sem maiores problemas.

Já deu uma lidinha no item sanções e punições da PSI?
Já deu uma lidinha no item sanções e punições da PSI?

Digamos que depois de alguns minutos, o mesmo jogador repete o feito, um novo toque da mão proposital na bola, que não deixa dúvidas e foi visto por todos. Desta vez o infrator recebe um cartão vermelho e é expulso de campo. Os ânimos dos times e torcedores podem ate ficar afetados contra o jogador infrator, mas ninguém reclama do Juiz. Por quê? Simples, como diz Arnaldo: “A regra é clara”, todos conhecem e sabem a punição por desobedecer.

Agora imagine um jogo de futebol onde ninguém além do Juiz conhece as regras. Jogadores são meramente instruídos que devem passar a bola pelo arco para obter um gol. Isso resultaria em um caos completo, onde os usuários (jogadores) buscariam a maneira mais conveniente e provavelmente carregariam a bola nos braços, enquanto o Juiz aplicaria uma punição sem explicar o porquê e provavelmente não seria visto com muito afeto pelo resto dos participantes.

Este “caos futebolístico” é muito parecido com o cenário de várias empresas que utilizam uma Política de Segurança mal elaborada, que deixa espaço para conflitos de interpretação e não foi adequadamente explicada aos usuários.

erik-carriere-mpala-mouri

O que temos que entender é que a PSI define as “regras do jogo”, deve ser levado em consideração que os usuários devem entender todas as diretrizes, assim apesar de escritas em uma linguagem formal (parecido com um contrato), as regras devem ser claras e não deixar espaço para dúvidas.

Seguindo a linha de raciocínio do nosso exemplo acima pense: Quanto tempo você levaria para explicar as regras do nobre esporte bretão? Se você construiu uma política que pode ser efetivamente explicada em um tempo similar, com certeza está no caminho certo.

Atualizando sua Política de Segurança para 2014

Se você quer uma boa lista de recomendações para elaboração de sua PSI recomendo a leitura de dois artigos aqui do blog “Transformando sua política de segurança da informação em um ativo estratégico” e “Está na hora de atualizar sua Política de Segurança da Informação – PSI?”.

Ambos os textos são complementares, sendo o primeiro focado em uma série de recomendações para elaboração e aplicação de uma boa política e o segundo sobre como manter a mesma sempre atualizada e alinhada ao negócio.

Paperwork

Talvez o ponto mais importante não seja a construção da Política de Segurança em si. De que serviria a melhor PSI, se esta não estivesse adequadamente comunicada e entendida pelos usuários? Se você ainda não fez uma campanha de segurança, este é o momento. Existem muitos bons exemplos de como se capacitar e treinar pessoas.

Claro, para fechar o texto, vou repetir o último paragrafo do ano passado: Se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂

Rio de Janeiro: Um bom exemplo de como levar a sério a Gestão de Crises e Desastres

NENHUM PLANO SOBREVIVE AO CONTATO COM O INIMIGO. A frase atribuída a Helmuth von Moltke the Elder, um estrategista alemão do final do século 19, bem que poderia ser aplicada as diversas disciplinas estratégicas adotadas no meio corporativo.

A questão é bem simples: Mesmo o mais elaborado e efetivo dos planos, tem de lidar com um coeficiente de incerteza e estar preparado para situações adversas. O tal “inimigo” pode facilmente ser substituído por “cultura corporativa”, “clientes” ou “usuários”. Enfim, escolha a opção que mais se enquadrar no seu cenário e a frase permanece coerente.

"Então um milagre acontece!" Seus planos são assim?
“Então um milagre acontece!” Seus planos são assim?

Esta situação é especialmente verdadeira para Planos de Gestão de Crises e Desastres. Antecipar o comportamento das pessoas, em uma condição que muitas vezes envolve pânico em massa ou mesmo instintos de sobrevivência, não é uma tarefa simples.

Um triste exemplo – e que mostra o “preço” da falta de preparo – é o caso do incêndio na boate Kiss, onde tivemos 242 vítimas fatais e 116 feridos. Vários dos sobreviventes apresentaram – além das óbvias queimaduras – marcas de mordidas e ataques. Sim, eles foram mordidas e atacadas por outras vítimas que tentavam desesperadamente se manter vivas e fugir de um inferno de fogo e fumaça.

Incêndio na boate Kiss: Não devemos e nem podemos esquecer.
Incêndio na boate Kiss: Não podemos esquecer.

Agora imagine o seguinte: No movimentado centro do Rio de Janeiro, por volta das onze da manhã, no meio do que parece uma sexta-feira comum, somos surpreendidos por uma quantidade anormal de pessoas deixando os prédios da região. O anuncio havia sido dado: Devido a um possível incêndio, era necessário todos evacuarem o local imediatamente.

Calma, o que poderia ser o prenuncio de outro grande desastre, não passou de uma simulação. Um grande exercício de evacuação. Esta é sem dúvida uma das melhores formas de reduzir o coeficiente de incerteza e de preparar as pessoas para lidar com situações adversas.

What do we say to the god of disasters?
What do we say to the god of disasters?

No inicio da semana passada, justamente quando estava ministrando um curso intensivo de Gestão de Continuidade de Negócios e Formação de Analistas de Recuperação de Desastres de TI (ITDRA) para um cliente no centro do Rio, fomos informados que na sexta-feira deveríamos atender a um exercício de evacuação do prédio, o que achei excelente, pois além de se enquadrar perfeitamente na temática do curso, eu teria material certo para meu próximo artigo (cuja paciência de ler você está tendo agora. Obrigado!)

Minha surpresa foi maior ainda quando descobri que não se tratava de um simples exercício individual do prédio, e sim do Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro, realizado pela Secretaria de Estado de Defesa Civil (SEDEC) e o Corpo de Bombeiros.

O aviso do “Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro” estava exposto em elevadores e locais de grande circulação.
O aviso do “Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro” estava exposto em elevadores e locais de grande circulação.

Tiro o chapéu para a iniciativa, que deveria ser adotada por todo e qualquer grande centro e empresas que querem ter uma Gestão de Risco que vai além do P-I-V. O Exercício de Escape foi muito bem planejado e executado, indo desde a distribuição de cartilhas e folders, e contando com a presença das forças de segurança pública, que aproveitaram a ocasião para conscientizar o público em geral e ministrar treinamentos básicos de primeiros socorros.

Claro, se realmente houvesse um incêndio, dificilmente veríamos as pessoas desocupando os prédios nas filas tranquilas e ordenadas e se juntando no ponto de encontro como no momento do exercício. O que temos de levar em conta, é que o teste é uma das poucas formas realmente efetivas de reduzir o coeficiente de incerteza em uma situação de risco real.

Além de preparar as pessoas, esse é o momento onde capturamos métricas importantes como, por exemplo, o tempo de evacuação, possíveis incidentes nas rotas de fuga, eventuais baixas (simuladas claro!), que devem ser usados como feedback para atualização e melhoria dos planos. Colocando em termos simples – a essas informações podem muito bem ser a diferença entre a vida e a morte.

Cartilha e Folder que foram distribuídos durante o exercício
Cartilha e Folder que foram distribuídos durante o exercício

Novamente, parabéns pela iniciativa Rio de Janeiro! Espero sinceramente que vocês nunca tenham que colocar o plano em prática, mas como o prédio em que eu estava trabalhando já teve uma evacuação de emergência, pois fica a meros quarteirões do local onde um edifício de 18 andares já desabou, fico um pouco mais tranquilo e feliz em saber que vocês estão levando a Gestão de Crises e Desastres a sério.


Galeria de imagens

Desocupação de todos os edifícios ocorreram sem incidentes percebíveis.
Desocupação de todos os edifícios ocorreram sem incidentes percebíveis.
Pontos de Encontro da Queiroz Galvão e Edifício Linneo de Paula Machado
Pontos de Encontro da Queiroz Galvão e Edifício Linneo de Paula Machado
Treinamento de Desocupação? Mas eu já sou desocupado o dia inteiro! (calma! não é bem isso!)
Bombeiros ministrando cursos básicos de primeiros socorros: Atendimento de Queimados, Afogados e Técnicas de Ressuscitação em Crianças
Forte presença dos Bombeiros e Defesa Civíl
Forte presença dos Bombeiros e Defesa Civíl

 

[UNIFOR] – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além” – Download do Material de apoio

Prezados amigos,

Como mencionado previamente em outros posts, ontem (quinta-feira 07/11) tive o prazer de palestrar na UNIFOR apresentando o tema “Segurança da Informação: Perspectivas no Brasil para 2014 e além.”.

UNIFOR - Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.
UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.

Foi grande prazer poder conversar com amigos, alunos e profissionais na minha cidade. Agradeço a todos os presentes, e em especial ao Prof. Marcus Venicius e a UNIFOR pela parceria.

Durante a apresentação, discutimos assuntos como hacktivismo, espionagem, guerra cibernética e, principalmente, o posicionamento do Brasil dentro do cenário global em face dos grandes eventos que vamos receber nos próximos anos.

Clique para fazer o download do arquivo da apresentação!
Clique para fazer o download do arquivo da apresentação!

Estou publicando  aqui <<[PDF]Segurança da Informação: Perspectivas no Brasil para 2014 e além>> o material de apoio que usei na palestra.

Para ver mais fotos do evento, que foram publicadas na comunidade do facebook, clique AQUI.

Dilma anuncia e-mail seguro. Será que o Brasil está bem protegido contra espionagem cibernética?

Quando em julho deste ano Edward Snowden divulgou que pessoas, empresas e o governo do Brasil se tornaram alvos de espionagem da Agência de Segurança Nacional dos Estados Unidos (National Security Agency – NSA, na sigla em inglês) todos foram “pegos de surpresa”.

Oh! Que absurdo! Nunca suspeitamos que uma “nação amiga” fosse capaz de tamanha audácia. Que abuso o Obama querer xeretar nas comunicações secretas da nossa presidenta! Precisamos de uma resposta à altura! Quanta inocência.

dilma spy

Os mais cínicos sabem que a espionagem é a segunda profissão mais antiga do mundo, faz parte do jogo, “business as usual”. Os EUA fazem, O Brasil faz (ou faria se tivesse capacidade). O que a NSA fez de errado foi quebrar a regra de ouro de todo espião: “Não seja pego!”

É obvio que como uma nação, o Brasil precisava dar algum tipo de resposta a essa situação. O cancelamento de uma visita oficial que a Dilma faria aos EUA foi um primeiro movimento na valsa diplomática, sendo sucedido por declarações, pedidos de desculpas e discursos de ambas as partes. Tudo isso serve apenas para os holofotes.

Entretanto, o que todos estavam aguardando eram medidas concretas para solucionar o problema. Como iriamos nos proteger nessa guerra fria cibernética?

A resposta veio nesse último domingo (13/10), através do twitter da Presidena Dilma Rousseff (@dilmabr), que anunciou ter determinado ao Serpro a implantação de um sistema seguro de e-mails. Claro, isso não pode ser feito da noite para o dia, mas deve estar disponível no segundo semestre do próximo ano. Enquanto isso, a ordem do dia é inserir “Hi Obama, Whassuuuup?” aleatoriamente em qualquer parte das mensagens.

@dilmabr

@dilmabr

A pergunta que fica é: O que constitui um sistema seguro de e-mail? É fácil imaginarmos a aplicação de ferramentas de criptografia tanto para resguardar o conteúdo (confidencialidade) quando proteger a autenticidade (integridade) das mensagens. Ótimo! Nossa nação estará (em breve) protegida! Afinal a espionagem acontece apenas no correio eletrônico.

Sem considerarmos qual ferramenta será utilizada ou desenvolvida, a possibilidade de um backdoor ou qualquer outro tipo de falha de implementação, existe outro ponto importante que ainda deve ser endereçado: as pessoas.

Nem mesmo a melhor das tecnologias não é capaz de garantir a proteção de qualquer sistema, sem que as pessoas estejam preparadas para seu uso. Se você já implantou ferramentas de criptografia em seu correio eletrônico, sabe que os usuários resistem a qualquer clique ou passo adicional para criptografar a mensagem, afinal é uma tarefa que “toma tempo, reduz produtividade, dificulta o dia a dia de trabalho”. Sim, usuários consideram segurança da informação algo extremamente chato.

Antes que alguém diga “A solução é simples, vamos criptografar todas as mensagens”, é importante lembrar os rumores de que e-mails enviados para a Dilma, por assessores próximos, partiam de contas do gmail.

Ok! Agora estamos protegidos!
Exemplo do que acontece quando adotamos tecnologias de segurança sem capacitar e conscientizar as pessoas.

O fato é que implementar uma tecnologia de proteção é um passo na direção correta, mas essa medida sozinha não vai solucionar o problema. É necessário que o governo também formalize regras claras para o uso do correio eletrônico, capacite e conscientize seus usuários. Ah, alguem lembrou que espionagem não ocorre apenas no e-mail? Que tal expandir medidas de segurança para outros serviços e incluir também proteção física?

O Gabinete de Segurança Institucional da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, tem feito boas iniciativas nessa área, como é o caso da Norma Complementar 17/IN01/DSIC/GSIPR.

Publicada em abril de 2013, estabelece diretrizes para atuação e adequações de profissionais da área de Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, determinando recomendações para cursos de certificação e temas de SIC para formação/capacitação e atividades relacionadas a troca de conhecimento.

spying

Iniciativas como a normativa 17 devem ser louvadas, mas o seu maior problema é basicamente se restringir aos profissionais que atuam na área de SIC. É preciso que medidas como essa sejam expandidas aos demais níveis da Administração Federal.

Um amplo programa de capacitação e conscientização talvez não chame tanto a atenção como a implantação de um sistema de e-mail seguro, mas certamente é a medida mais eficiente quando queremos garantir a segurança da informação, seja no governo ou nas nossas empresas.

Vai Obama! Quero ver você me espionar agora!
Vai Obama! Quero ver você me espionar agora!

Fontes:

O GLOBO

TWITTER DILMA

BLOG DO PLANALTO

Norma Complementar 17/IN01/DSIC/GSIPR