Pesquisa Nacional de Segurança da Informação: Divulgação dos resultados!

Um dos trabalhos que mais me agradou esse ano, foi à possibilidade de coordenar a Pesquisa Nacional de Segurança da Informação realizada pela DARYUS Strategic Risk Consulting. Afinal, essa era uma oportunidade de colocar no papel um retrato fiel de fatos que vejo no meu dia a dia como consultor.

pesquisa_resultados
clique na imagem para baixar a pesquisa!

 

A pesquisa, realizada em parceria com a EXIN e IT MÍDIA, é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. O objetivo era claro: Apresentar a forma como a maioria das empresas brasileiras encara a Segurança da Informação.

Leia mais

A Gestão de Risco indo por água abaixo

Nas aulas básicas de geografia aprendemos que o Brasil é um país continental. Possuímos uma extensão tão grande que caberiam nações imensas como a Índia e Austrália. O que poderia ser esperado quando temos uma das maiores reservas de recursos naturais que vão do petróleo, ao ferro e em especial a nossas bacias hidrográficas?

Em janeiro de 2013 vivemos novamente o drama das enchentes que devastam cidades como Xerém, em Duque de Caxias, na Baixada Fluminense e parece uma piada de mau gosto que o nível médio dos reservatórios no Sul e Sudeste, que correspondem por 70% da capacidade de produção de energia hidrelétrica no país, tenha descido a capacidade de 28,54% que é considerado como pré-racionamento de energia.

Contraste entre Xerem-RJ e a queda na capacidade das hidroelétricas
Contraste entre Xerém-RJ e a queda na capacidade das hidroelétricas.

É terrível cair novamente no chavão “Esse é o país que vai sediar a Copa”, mas é impossível não sentir um gosto amargo quando vemos o descaso com que governantes tratam nossa infraestrutura básica e comprometem áreas essenciais não se resumindo apenas a produção elétrica, mas também segmentos como transporte e saúde.

Quebrando o ciclo vicioso

Infelizmente este tipo de acontecimento não é de forma alguma uma novidade. No inicio da década passada registramos um índice praticamente igual. Em dezembro de 2000 a capacidade de nossos reservatórios eram 28,52% e em janeiro de 2001 o racionamento foi decretado pelo Governo.

O fantasma do racionamento
O fantasma do racionamento

O Comitê de Monitoramento do Setor Elétrico tem uma reunião marcada para esta quarta (09/01/2013) onde é provável que adotem como solução paliativa o aumento no uso de energia gerada por térmicas, que além de mais cara para o consumidor, fazem uso de materiais como óleo, gás e carvão que produzem bem mais poluição. Em outras palavras, vamos pagar mais, ter um impacto maior no meio ambiente e ainda assim o problema não será solucionado de forma definitiva.

Enquanto o governo garante que a situação não é preocupante e cheguemos ao ponto onde nossa Presidente Dilma declarou ser “ridículo” dizer que o Brasil corra risco de racionamento, é notório que precisamos buscar soluções que sirvam mais do que pura e simplesmente como tapa buraco.

Dilma: "é ridículo dizer que o país corre risco de racionamento"
Dilma: “é ridículo dizer que o país corre risco de racionamento”

A última década mostrou que nosso país está cada vez mais maduro em um contexto internacional, atraímos os holofotes e olhos do mundo, vamos sediar nos próximos anos eventos em uma escala global. Chegamos na hora onde é necessário adotar uma postura cada vez mais estratégica se quisermos garantir esse crescimento.

Não existe um Deux Ex Machina para apresentar uma solução mágica, mas começar a adotar de forma séria disciplinas como a Gestão de Risco em áreas básicas é um passo essencial para qualquer nação que deseja crescer de forma sustentável e segura. Enquanto não fizermos isso, bem, pelo menos jantar a luz de velas ainda é algo romântico.

O Plano de Continuidade
O Plano de Continuidade

Segurança da Informação: Muito mais que um appliance com um LED piscando.

Ao longo dos anos tenho brincando com colegas que se conseguíssemos criar um appliance com alguns LEDs e um display exibindo “Segurança OK!” seria bem mais simples conseguir vender consultorias não-técnicas de Segurança da Informação (SegInfo).

Não pesa nada e é wireless.

O fato é que, brincadeiras a parte, a cultura desenvolvida em torno da  SegInfo tem fortes raízes na TI, em especial na área de infraestrutura. Dado o crescimento exponencial da quantidade de informações digitais nas organizações é correto e esperado ter uma boa infra de segurança composta Firewalls, UTMs, DLPs e as demais buzzwords que os fabricantes escolheram para designar a última moda.

Até ai tudo bem. O problema surge quando esquecemos que Segurança da Informação vai muito além da TI.

Assistimos diariamente ao poder de disseminação de conteúdo das redes sociais. Compartilhamos informações que vão desde fotos familiares (ou indiscretas), o nosso estado de humor, geolocalização e até um resumo do que foi o jantar do gato da tia da prima da vizinha.

A família adora, stalkers e pervertidos de plantão adoram, namoradas e esposas nem tanto. Mas quem realmente odeia redes sociais são empresas quando acontece de uma informação que preferiam manter debaixo do tapete ser divulgada.

Em 2011 muito se falou do Toddynho detergente e eis que nos vemos com um novo incidente envolvendo um produto alimentício: O Ades sabor Uva, variedade Fungi.

Suco de soja sabor Fungi
Suco de soja sabor Fungi

Tudo começou ontem (19/10/2012) quando uma usuária do Facebook compartilhou a foto acima e relatou o caso a seguir: A mãe compra o produto, o filho reclama do sabor “diferente”, o pai diz que está normal e todos alegres e satisfeitos se deliciam com o suco de soja sabor Fungi (sim, um fungo havia brotado dentro da embalagem).

Imagem meramente ilustrativa de uma shroom trip do Brian Griffin
Imagem meramente ilustrativa de uma shroom trip do Brian Griffin

Apenas após consumir o produto, percebem uma “gosma enorme com aspecto de cogumelo saindo da caixa” e ao ligar para 0800 da empresa foram informados “com a maior naturalidade” que isso havia ocorrido por uma fissura na embalagem – que poderia ser jogada fora – e a oferta de um crédito no valor de R$ 5,00 (sim, cinco reais).

Resultado: Em menos de 24 horas, a foto em questão já havia sido compartilhada por pouco mais de 71 mil pessoas (que obviamente não se importam nem um pouco se o caso é real ou não) e foi inserida dentro de uma campanha no facebook institucional da empresa. O casal que comprou o suco já decidiu por fazer uma perícia e abrir um processo.

Campanha publicitária no facebook institucional
Campanha publicitária no facebook institucional

É um problema de SegInfo? Sim, certamente. O que acontece é que muitas vezes esquecemos que Segurança da Informação não é um objetivo, em si, mas um meio para garantir que os objetivos do negócio sejam atingidos. Nesse caso vender caixinhas de suco de soja.

Muitas vezes não é possível controlar o que um cliente ou qualquer agente externo a empresa publica em uma rede social, mas será que é tão difícil assim treinar a equipe da central de serviços (sim, o 0800 é um service desk) ou preparar a equipe responsável pelas redes sociais corporativas para agir rapidamente quando um incidente acontece?

Não é necessário ou correto mentir e ocultar erros, mas empresas devem sim saber a forma de explicar corretamente e se retratar junto aos clientes e publico em geral para proteger sua imagem e reputação. Isso se chama contenção de danos e faz parte de qualquer metodologia de gestão de incidentes de Segurança da Informação ou Continuidade de Negócios.

Objetivos de Seginfo x Negócio
Objetivos de Seginfo x Negócio

A melhor maneira para se criar uma boa gestão de segurança da informação é manter uma abordagem holística, envolver diferentes setores como: Marketing, Departamento Pessoal, Jurídico e qualquer outro que possa ajudar a tirar o excesso de responsabilidade da área de TI que, na maioria das empresas, ainda é a única responsável pela SegInfo.

Enquanto isso, por enquanto, estou cancelando o suco de soja de minha dieta usual 🙂

Feira do Empreendedor 26/09 – Palestra Segurança da Informação: O desafio da gestão de riscos em pequenas e médias empresas.

Prezados colegas,

No dia 26/09 estarei participando da Feira do Empreendedor apresentando a palestra Segurança da Informação: O desafio da gestão de riscos em pequenas e médias empresas.

Desde já sintam-se todos convidados. Maiores informações e inscrições disponíveis diretamente no site do evento: http://www.sebrae.com.br/customizado/feira-do-empreendedor.

Segurança da Informação: O desafio da gestão de riscos em pequenas e médias empresas.

Por que falham planos de recuperação de desastres e continuidade de negócios?

Sim, essa é a imagem mais batida sobre DRP, mas não tem nenhuma outraa que expresse tão bem planos intuitivos!
Scott Adams – Dilbert : Cartoon amplamente divulgado mas que não tem igual quando o assunto é mostrar a fragilidade de um PRD.

Planos de recuperação de desastres (PRD) e continuidade de negócios (PCN) nos preparam para lidar com crises e podem ser resumidos como diversas ações preventivas ou corretivas que são sistematicamente estabelecidas e condensadas em um plano que, quando ativado, deve reger ações de pessoas chave da organização e seus resultados podem simplesmente ser a diferença se a organização vai estar lá amanhã.

Entretanto, como já dizia herr Helmuth: “Nenhum plano de batalha sobrevive ao contato com o inimigo.” Esta máxima do estrategista pode ser perfeitamente aplicada a qualquer cenário de crise onde sempre vai existir um certo nível de incerteza.

Voltando ao tópico deste artigo, existem diversos motivos pelos quais mesmo o melhor dos planos pode falhar.

Muitos planos falham desde o seu início devido a uma análise de riscos ou mesmo uma análise de impacto nos negócios mal elaboradas e que não representam a realidade da organização.

Hoje vamos focar em um dos aspectos mais importantes e que pode simplesmente acabar com o mais bem elaborado dos planos. Para isso vou pedir a ajuda de minha série preferida: Os Simpsons.

Mr. Burns e a simulação de incêndio

Recomendo parar esta leitura por alguns segundos e dar uma olhadinha neste vídeo do episódio “A montanha da loucura” dos Simpsons:

Os Simpsons – 8ª Temporada Episódio 12 Completo e Dublado.

Se você está sem paciência, segue um resumo: Um belo dia, estando entediado no trabalho o Sr. Burns – dono da usina nuclear de Springfield – resolve agitar as coisas e escolhe um cenário comum a qualquer empresa – um “velho e bom” fire drill (teste de evacuação de incêndio).

Excelent!
Excelent!

O que se vê a seguir são uma série de trapalhadas no estilo Simpsons culminando em Homer trancando a maioria dos empregados e perguntando se tinha ganho o premio por ser o primeiro a sair do escritório. Nada mais longe da realidade, correto?

Não. Posso atestar em primeira mão que já conduzi um teste semelhante em uma instituição financeira que resultou no “Homer local” pegando uma vassoura para tentar silenciar o alarme de incêndio que o estava importunando. Nice!

Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais motivos de falha (que acredito serem os mesmos do meu exemplo real):

 

 

Mad dog drill? Esse eu gostaria de ver!
Fire!

Erro I: Nem os melhores planos duram para sempre

Primeiramente vamos olhar os cenários de teste a disposição de Mr. Burns:

• Alerta de derretimento (do reator nuclear)
• Ataque de cachorros loucos
• Ataque de Zepelim
• Evacuação de Incêndio

Como vimos em Fukushima, um alerta de derretimento é obviamente pertinente a uma usina nuclear e quanto a cachorros loucos realmente não sei o que dizer.

Porém, o último ataque de Zepelim foi registrado em 1940 ainda durante a segunda guerra mundial.

 

We all live in a yellow submarine!

Eis o primeiro grande erro. Assumindo que a série dos Simpsons se passava nos anos 90, acredito que deixar um plano que caiu em desuso por 50 anos não possa ser considerado uma boa prática.

Infelizmente, este cenário me lembra muito mais a realidade do que ficção pois como consultor é algo com que me deparo em empresas em diversos portes com uma frequência que considero nada menos que assustadora.

Erro dois: Estamos preparados!

Vamos a uma breve lista das pequenas trapalhadas do vídeo dos Simpsons:

  1. Carl pensa que o alarme de incêndio é o micro-ondas avisando que as pipocas estão prontas
  2. Lenny espera o café ficar pronto antes de sair
  3. Vários empregados correm em aparente desespero
  4. Um empregado usa um extintor para “se defender”
  5. Homer volta a seu escritório para buscar um retrato
  6. Um empregado corre desesperado em círculos sem tomar nenhuma outra ação aparente
  7. O plano de evacuação deveria ser concluído em 45 segundos, mas o Smiters não sabe informar quanto tempo levou, pois o cronometro só marca até 15 minutos

E a cereja do bolo:

  1. Homer (que para quem não sabe é inspetor de segurança) tranca os demais empregados e pergunta se ganhou um premio!

Em resumo o que estamos vendo é:

Sim, isto é mais próximo da realidade do que você está pensando.

Novamente devo dizer que os erros acima apresentados não poderiam estar mais próximos da realidade.

Dentre os muitos exemplos que já vi pessoalmente, ressalto o caso de uma funcionaria que não queria deixar o escritório sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram para buscar algum tipo de pertence pessoal ou da empresa.

Esta é a infeliz realidade dos planos informais que se baseiam na intuição das pessoas. A criação de uma cultura institucional é a chave de sucesso de qualquer PRD ou PCN. Lembre-se sempre: mesmo com uma boa preparação, a reação dos seres humanos é um dos pontos mais imprevisíveis em momentos de crise e em especial durante desastres.

Como escapar dessas armadilhas?

Presumir é a chave do insucesso e a base para criação de planos ineficazes.

  1. Presumir que algo é conhecido, quando na verdade ninguém conhece.
  2. Presumir que algo é simples, quando não o é.
  3. Que existe alguém competente tomando conta deste algo!

Planos de recuperação de desastres ou de continuidade de negócios são elementos “vivos” e devem ser tratados desta forma, não basta criar um bom plano e acreditar que sua organização estará protegida.

PDCA: ABNT NBR 15999-1
PDCA: ABNT NBR 15999-1

Qualquer bom profissional de continuidade de negócios vai lhe garantir que os dois aspectos mais importantes para garantir a pertinência de um PCN a sua organização são revisão e treinamento.

A dinâmica da maioria das empresas acarreta em aquisições, fusões, novos negócios, entrada e saída de colaboradores. Planos devem ser revisados com uma periodicidade regular (recomendo intervalos não maiores que 12 meses) e adequadamente comunicados a todos os indivíduos envolvidos.

Testes periódicos são uma parte essencial, mas cuidado, não faça como o Mr. Burns que aprendeu da forma mais difícil: um teste mal planejado pode ter um impacto bastante similar a um desastre real!


http://www.youtube.com/watch?v=ZHRWg70apMM

http://en.wikipedia.org/wiki/Helmuth_von_Moltke_the_Elder

http://en.wikipedia.org/wiki/Mountain_of_Madness

http://www.abntcatalogo.com.br/norma.aspx?ID=59370