Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

Wearables: A tecnologia vestível já chegou. Qual o impacto para segurança de pessoas e empresas?

VESTIR A CAMISA DA SEGURANÇA DA INFORMAÇÃO nunca foi uma realidade tão próxima. Mal as organizações começaram a ter uma ideia de como lidar com equipamentos pessoais, o BYOD (Bring Your Own Device), já aponta no horizonte o próximo desafio: Os Wearables, que traduzindo para o bom português significa – literalmente – “Tecnologia Vestível”.

A maioria dos techlovers já ouviu falar, pelo menos, nos óculos e relógios inteligentes, os últimos rumores já falam até do iWatch da maçã, que vai firmar de vez o mercado. Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets, é fácil entender o as últimas expectativas de venda: Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Mas os wearables não se resumem aos Google Glass, Pebble e Galaxy Gear. As novas tecnologias vestíveis estarão presentes em uma ampla gama de produtos, incluindo desde Tatuagens, Lentes de Contato, Calças, Camisas, Tênis, Soutiens até Coleiras (para animais, claro!).

iwatchbra-fire
Sim, temos dispositivos vestíveis para todos os gostos!

Assim como o telefone celular e a internet móvel mudaram nosso comportamento, imagine o possível impacto dos novos vestíveis em áreas como fitness, medicina, ambiente corporativo ou mesmo militar. Enquanto esses dispositivos oferecem inúmeras possibilidades para o aumento de conforto, produtividade e até mesmo acompanhamento médico em tempo real, por outro lado surge um novo leque de ameaças a privacidade e segurança para pessoas e organizações.

wearable_tech

Essa preocupação já é uma realidade, como no caso do vice presidente americano Dick Cheney, que teve a funcionalidade wireless do desfibrilador instalado no seu coração desativada. Motivo? Medo de um possível ataque de ciberterroristas.Novamente, esse problema não afeta exclusivamente estadistas ou pessoas famosas.

Se já temos casos de criminosos planejando sequestro com uso de informação de redes sociais, é fácil imaginar que quando estivermos conectados a internet da cabeça aos pés a situação será mais complicada. Com a falta de conscientização/experiência de boa parte dos consumidores, os wearables podem se tornar mais uma ferramenta de superexposição online, abrindo portas para rastreamento ou até quem sabe controle de comportamento emocional (Sim, estou falando de você Facebook).

cheney-wifi
Ok! Coloquei o Avast Free no coração e as definições de vírus já foram atualizadas!

Se a cada vez que conectamos uma nova classe de dispositivos a internet, fatalmente descobrimos como eles podem ser atacados e explorados, com os wearables não será diferente. Enquanto consumidores se preocupam em não ser monitorados, empresas devem estar atentas a novas oportunidades de vazamento de informação ou constrangimento no ambiente de trabalho. Quando conversei com alguns colegas, a postura foi igual com todos: “Vamos proibir”. Mas não acredito que vá ser assim tão fácil.

Além de não sermos a área mais querida e comunicativa com os usuários, na Gestão de Segurança da Informação temos impressão de que ditamos unilateralmente as regras, e a ilusão que essas serão impreterivelmente seguidas. Quer um exemplo de como isso nem sempre funciona? Imagine o seguinte cenário: Será que conseguiríamos – mesmo com o apoio da alta direção – banir completamente o uso de celular pessoal dentro da empresa? Acredito que – exceto em ambientes ou segmentos bem específicos – isso não seja viável. Em mais alguns anos, essa talvez seja a mesma visão com os wearables.

Para termos uma ideia da visão das pessoas, podemos usar o North American Technographics® Consumer Technology Survey 2013, pesquisa realizada pela Forrester com um grupo de mais de 4600 adultos americanos. Um dos pontos era a pergunta: Como você estaria interessado vestir/usar um dispositivo inteligente, supondo que seja de uma marca que você confia, oferecendo um serviço que é do seu interesse? Veja os resultados na imagem abaixo.

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?
Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento? – imagem: Forrester

A verdade é que organizações devem estar atentas e se antecipar a mudanças significativas no comportamento de seus empregados e até da sociedade. Uma boa Gestão de Segurança não pode ignorar novas tendências tecnológicas, a chave do sucesso é estar preparado, com processos e tecnologias maduras o suficiente para garantir flexibilidade, inovação e um ambiente seguro.

 

RaTs e Creepware: Será que alguém está me observando?

CONTEÚDO INTIMO DIVULGADO NA INTERNET NÃO É NENHUMA NOVIDADE. A massificação de tecnologias com capacidade de registrar fotos ou vídeos, associada ao amplo acesso a internet, trouxe “um certo inconveniente” quem gosta de guardar seus momentos mais reservados para a posteridade: O vazamento ou distribuição – geralmente não consensual – de material constrangedor é algo que afeta indiscriminadamente anônimos e famosos.

cuidadocuidadocuidado

Esse problema não se resume aos casos de divulgação feita por dissabores amorosos frustrados com o fim do relacionamento. O ‘sextorcion’, a extorsão ou chantagem feita por alguém de posse de material sexual da vítima, está se tornando cada vez mais comum. Foi o que aconteceu em 2012 com a artista Carolina Dieckmann, o que acabou ajudando concretizar uma lei que tipifica os delitos informáticos. Mas acredite: PODE FICAR AINDA PIOR.

Ambas as situações descritas acima tem um ponto comum: A vítima permitiu ou mesmo criou – de bom grado – material adulto e normalmente tem um mínimo de consciência da possibilidade daquele conteúdo vazar. Em outras palavras: se expôs de bom grado ao risco.

Agora imaginemos uma situação oposta: Uma jovem de apenas 19 anos, famosa e sem a menor disposição para oversharing de sua intimidade na internet, tem horas e horas de registros extremamente íntimos nas mãos de um pervertido virtual. Foi o que aconteceu com Cassidy Wolf, Miss Teen USA, que teve seu notebook invadido por um cracker, que fez uso de um Creepware, o Blackshades, e por quase um ano gravou tudo que acontecia, direto da própria webcam da vítima.

Cassidy Wolf, Miss Teen USA, vítima de Creepware
Cassidy Wolf, Miss Teen USA, vítima de Creepware

Foi traumatizante. Era meu quarto, meu o espaço íntimo e privado, onde me sentia mais segura.” Disse Cassidy durante uma entrevista a CNN. A jovem miss descobriu a invasão quando recebeu um e–mail anonimo com uma série de fotos suas nua, enquanto trocava de roupa. Junto também veio à ameaça: O invasor queria fotos com uma melhor qualidade e um show erótico de 5 minutos no Skype. Caso contrário distribuiria as fotos na internet, o que arruinaria quaisquer chances de manter sua carreira como miss.

O cracker que efetuou a invasão era Jared James Abraham – antigo colega de colégio de Cassidy que já é réu confesso – e faz parte de um grupo com aproximadamente 100 criminosos presos em maio pelo FBI, durante uma operação conjunta realizada em parceria com 19 países. Os suspeitos são acusados de desenvolver, vender ou usar códigos maliciosos como o Blackshades.

Caracterizados como RaTs (Remote Access Trojans) ou simplesmente apelidados de Creepwares, esse tipo de código malicioso – que custava apenas USD 40,00 – permite invadir e controlar remotamente computadores infectados, incluindo a cópia de arquivos, captura de vídeos na webcam, informações digitadas (keylogger) ou telas (screenlogger).

FBI: The Blackshades Global Takedown
FBI: The Blackshades Global Takedown

De acordo com o FBI, os suspeitos infectaram mais de meio milhão de computadores. O fato é que RaTs não são usados exclusivamente como Creepware: Criminosos digitais utilizam essa mesma técnica para obter informações financeiras, senhas ou simplesmente monitorar suas vítimas. Os alvos são pessoas comuns, políticos, empresas. Excluindo o óbvio impacto financeiro, para termos uma noção do nível de constrangimento que esse tipo de crime pode gerar, basta lembrarmos de casos recentes de suicídio após fotos intimas divulgadas em redes sociais.

Fica aqui duas perguntas básicas: Em um mundo onde com menos de R$ 100, qualquer um pode se tornar um cibercriminoso internacional, você tem certeza de que não está sendo monitorado neste exato momento? Nesse caso, o que podemos fazer para nos proteger?

creepware
Que tal um pequeno teste? Se você tem facebook, acesse o link acima e se divirta! (Sim, é seguro!)

Como em outros códigos maliciosos, A maioria das infecções dos RaTs/Creepwares acontece quando o usuário visita um site ou faz download de arquivos contendo código malicioso. As recomendações de proteção são as de sempre:

  • Use – e mantenha sempre atualizado – um software de proteção contra códigos maliciosos. Existem diversas opções, mesmo gratuitas, inclusive com opção de varredura online;
  • Evite abrir ou clicar em e–mails e anexos de fontes suspeitas ou com conteúdo estranho;
  • Tenha cuidado ao clicar em links em redes sociais ou compartilhados em serviços de mensagem instantânea;
  • Faça downloads apenas de fontes confiáveis e mesmo assim, faça uma varredura antes de abrir o arquivo;
  • Esteja atento a comportamento anormal em seu computador, por exemplo, se você não está usando a webcam luz da mesma não deveria estar acesa;
  • Por via das dúvidas, as vezes ser um pouquinho paranoico não faz mal: Já coloquei fita isolante na minha webcam 🙂
Não! Eu não sou paranoico! :)
Não! Eu não sou paranoico! 🙂

Infelizmente nem mesmo essas medidas podem garantir absolutamente que uma invasão não vai acontecer. Se você suspeita que pode estar sendo monitorado, busque imediatamente a ajuda de um especialista de segurança e, caso a ameaça se concretize, o apoio de um escritório especializado em direito digital é essencial.

Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

FALTA POUCO MAIS DE UM MÊS. Depois de inúmeras denuncias, controvérsias e atrasos ,enfim chegamos ao que pode ser considerado um dos maiores eventos que o Brasil já sediou, a Copa do Mundo de 2014. As próximas semanas trarão a resposta a uma pergunta que assombra muitos profissionais que lidam com gestão de riscos: Com os olhos e holofotes do mundo centrados em nossa nação, será que teremos finalmente um momento de merecida glória ou um retumbante fracasso?

risco-copa

Indo além do nobre esporte bretão disputado no tapete esmeralda, quando entramos no campo digital talvez nossa seleção não seja a mais preparada. Somos uma nação virtual com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa, temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com ciberataques podem ser considerados – na melhor das hipóteses – precários.

O crime não tira férias e nem assiste aos jogos da Copa

Quando olhamos individualmente para organizações, as estatísticas apontam que datas comemorativas e grandes eventos representam um número maior de ataques cibernéticos. Esse movimento é natural, visto que boa parte das empresas acaba contando com equipes menores, trabalhando em regime de plantão. Imagine que, se já não é fácil monitorar o ambiente corporativo com uma equipe completa, um quadro reduzido amplia a possibilidade de não se detectar ou tratar um incidente a tempo. Enquanto estamos de olho nos telões, torcendo pela seleção canarinho,  vazamento de informações, infecções por malwares, golpes de phishing e similares aumentam tanto quanto a quantidade de faltas cavadas por certos jogadores, frente a uma marcação mais cerrada.

Acredito que seja evidente a todos que – gostando ou não – vai ter Copa sim, e a esmagadora maioria dos brasileiros aplaudirá o evento. Esse fato não diminui as oportunidades que movimentos como o “Não Vai Ter Copa” terão para divulgar sua mensagem. Um ponto importante é entendermos a tênue diferença entre o ciberativismo – a versão repaginada do sofativismo, que usa primariamente redes sociais para divulgar idéias – e o hacktivismo ou mesmo o ciberterrorismo. Esses dois últimos fazem uso da tecnologia aliada ao medo e caos, juntando uma massa cega e inconsequente de internautas, que não tem uma real percepção do prejuízo que um ataque pode causar a uma empresa ou órgão público.

Falou o corretor sobre o apartamento de 50m²
Falou o corretor sobre um apartamento de 50m²

Muito além de empresas privadas como a própria FIFA e seus patrocinadores, alvos de hacktivistas incluem serviços críticos como polícia, bombeiros e até mesmo as forças armadas. Isso ficou claro 2013, durante a chamada “Operação 7 de Setembro”, quando crackers atacaram mais de 50 sites nacionais, dos quais 75% eram órgãos do governo. Os ataques – geralmente de negação de serviço – chegaram a derrubar páginas como das Polícias Militares do Rio de Janeiro e Distrito Federal. Sinceramente não é difícil imaginar um cenário onde ataques similares poderiam visar a desestabilização da infraestrutura crítica desses órgãos, podendo chegar a comprometer operações de proteção a vida.

A administração pública já vem tomando algumas medidas para garantir a segurança da informação em grandes eventos, como a implementação dos Centros de Comando e Controle  e a forte mobilização de agentes da segurança pública durante a Copa do Mundo. Entretanto, nas próprias palavras do Delegado José Mariano – da Polícia Civil de São Paulo – “Só agimos reativamente. Falta integração e articulação para deixarmos de ser o país com pior índice de segurança da informação na América Latina”. Essa escassez de ações proativas é a lacuna que permite ao Brasil ser um dos países mais afetados pelo cibercrime, com um prejuízo anual estimado em mais de R$ 18,3 bilhões de acordo com o Norton Cybercrime Report 2013.

 Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime
Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime

Como resolver esses problemas? Acredito que apesar de empecilhos como o escasso investimento nas iniciativas pública e privada, o pequeno número de profissionais experientes no mercado, nosso maior problema é a falta de uma cultura em Segurança da Informação. É “fácil” investir em uma das muitas tecnologias de proteção disponíveis no mercado, mas enquanto não tivermos bons profissionais a frente das mesmas, e um apoio executivo na Alta Direção das empresas, vamos continuar levando gol contra.

CARTO_vermelho

 

Executivos brasileiros não têm ideia do que é Cibersegurança (e adivinhe de quem é a culpa!)

CASSANDRA É UM PERSONAGEM FAMOSO NA MITOLOGIA GREGA. Devota de Apolo, recebeu deste o dom da profecia. Mas quando recusou-se a dormir com o Deus da Arte, foi amaldiçoada: Ninguém jamais acreditaria nas suas profecias ou previsões! Considerada como louca, a falta de credibilidade em suas visões levou a queda de Tróia.

Muitas vezes quando trabalhamos com Segurança da Informação, parece que sofremos do mesmo mal, o Complexo de Cassandra. Claro, não estamos fazendo previsões com o dom da profecia (eu espero!), mas usando análises baseadas em frameworks e melhores práticas de mercado. O resultado, porém, é o mesmo. Apesar de poder “prever”  riscos e possíveis incidentes no futuro, somos taxados como paranoicos pessimistas, e a alta direção ou o corpo executivo da organização descarta a possibilidade baseado na ideia de que aquilo “nunca vai acontecer na nossa empresa”.

Espero que essa não seja sua metodologia de Análise de Riscos.
Espero que essa não seja sua metodologia de Análise de Riscos.

O fato é que uma pesquisa recente, realizada Alvarez & Marsal com 150 executivos seniores de empresas brasileiras, mostra que a maioria tem uma noção apenas superficial dos riscos, e do que é CyberSecutiry. Os resultados apontam que 20% dos entrevistados não sabem quem é o responsável pela segurança cibernética em suas organizações. Outros 28% acham que o assunto é uma responsabilidade de TIC.

Quem trabalha há um tempinho na área de SegInfo, sabe que essa situação não é nenhuma novidade. Ficam duas perguntas:

Se Executivos não sabem o que é Segurança Cibernética, será que entendem o que é Segurança da Informação?

E será que os executivos são os únicos responsáveis por essa situação?

Em ultima instância a Alta Direção de qualquer organização sempre será responsabilizada por incidentes de segurança como, por exemplo, vazamentos de informações, fraudes, erros (propositais ou não). Isso independe se o fato foi uma falha técnica (segurança cibernética) ou se ocorreu fora do mundo digital, que por acaso ainda cai dentro do escopo da Segurança da Informação.

Pensando de acordo com a Norma ISO 27001:2013, uma boa Gestão de SegInfo deve englobar adequadamente Pessoas, Processos e Tecnologia. Afinal, uma das características básicas da informação é sua capacidade de mudar de meio de armazenamento, e pouco faz diferença se um vazamento ocorreu por conta de uma vulnerabilidade de SQL Injection ou num descarte inseguro de relatórios impressos. Se a quantidade de informação afetada for a mesma, o impacto negativo é igual.

Ok! Agora me explique o que é Segurança da Informação.
Ok! Agora me explique o que é Segurança da Informação.

Segurança é uma disciplina estratégica. Cabe aos Gestores da área de SegInfo conscientizar o negócio sobre sua relevância e explicar como uma ausência de controles pode ter um severo impacto negativo na operação, imagem ou reputação da empresa. A ideia central, é que a informação precisa ser protegida independentemente do seu formato, esteja ela em servidores locais, na nuvem, impressa ou armazenada em microfilme.

Muitas vezes falhamos em comunicar esses aspectos. Esquecemos que aprender a entender as estratégias, objetivos e a dialogar no idioma do negócio ($$$ na maioria das vezes!) é tão ou mais importante quanto saber escovar bits para hardenizar um sistema operacional.

Essa perspectiva leva a outra pergunta bem relevante: Assim como os executivos que não sabem o que é Segurança da Informação ou Cibersegurança, será que os profissionais da SegInfo entendem realmente o que precisa ser protegido e conseguem dialogar na linguagem do negócio?

Infelizmente ainda vivemos numa cultura da Síndrome do Appliance: Só nos sentimos protegidos quando existe um Led piscando no Rack. Essa postura, muitas vezes propagada pelos próprios profissionais da área de SegInfo, é uma maneira mais fácil lidar com os anseios de executivos.

Claro, apresentar um hardware que pode ser pesado, medido, tocado e ter um “resultado imediato”, é muito mais fácil do que lutar por controles mais “abstratos” como políticas, normas e procedimentos que exigem uma mudança na postura dos colaboradores e da organização como um todo. Isso serve apenas para propagar a ideia de que Segurança da Informação é uma “responsabilidade exclusiva de TI”.

Quer ser um bom Gestor de SI? Além de ter uma boa compreensão dos aspectos técnicos, aprenda a dialogar com os executivos no idioma deles e procure sempre manter sua área alinhada aos objetivos do negócio. E se mesmo assim o Complexo de Cassandra não diminuir, bem, você lembra o que aconteceu com Troia não é?

Fire_of_Troy
O Fogo de Troia. Ok Cassandra, você estava certa!

Fontes:

http://www.administradores.com.br/noticias/tecnologia/analise-executivos-brasileiros-nao-tem-ideia-do-que-e-ciberseguranca/84408/

http://alvarezandmarsaleurope.com/pesquisa