10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

Se algum dia eu resolver escrever sobre o que eu aprendi apenas após ter tentado e errado, provavelmente será um longo, muito longo artigo, capaz de rivalizar com mais da metade do conteúdo da Wikipédia. E o melhor: Eu não vejo nada de errado com isso!

Desde basicamente sempre eu me vi um fã do método da tentativa e erro para descobrir como o mundo funciona. Isso é um instinto que temos desde pequenos, afinal foi o que usamos para aprender as coisas mais básicas como, por exemplo, andar, falar, nadar. Conforme chegamos a fase adulta, perdemos muito dessa aptidão, mas acredito que como um bom gamer, fui influenciado a testar, errar, perder vidas, usar contiues até conseguir salvar a princesa no último castelo.

Bem, se aprender com os próprios erros é algo bom, ter a oportunidade de aprender com os erros de outrem é significativamente melhor. É isso que busco passar aos meus alunos em cursos de gestão de serviços de TI, governança e segurança da informação. Nessa era onde existem inúmeras opções para se buscar conteúdo básico, acredito que trocar experiências é bem mais enriquecedor do que simplesmente discutir o material padrão em sala de aula.

Foi assim que pensei nesse artigo. Lá se vão mais de 10 anos que já atuo com Segurança da Informação e uma das perguntas mais frequentes de colegas/alunos/amigos em redes sociais é “como faço para começar a trabalhar com segurança?”. Bem, esse é um tema que certamente rende outro texto bem legal, mas hoje gostaria de compartilhar com vocês alguns pontos que eu realmente gostaria de ter conhecido antes de ingressar na área. A lista não está em nenhuma ordem específica e, obviamente, essa foi/está sendo uma jornada bem pessoal que agora partilho com vocês.

1.      Segurança da informação é bem mais abrangente do que segurança de TI (cibersegurança): Quando iniciei com segurança da informação eu imaginava que passaria o resto da minha carreira basicamente trabalhando com tecnologias como firewalls, roteadores, hardening de sistemas operacionais, correções de vulnerabilidades técnicas. Foi com um certo espanto (para não dizer receio) que me vi responsável pela segurança física de ambientes críticos para as operações da empresa, atuando junto a equipe jurídica na definição de aspectos legais e gastando boa parte do meu tempo na “simples” tarefa de educar pessoas sobre o tema. Hoje em dia gasto boa parte do meu dia de trabalho em atividades que buscam mudar a “cultura corporativa”, algo que é essencial a implantação de uma segurança da informação efetiva.

2.      Você não precisa ser um expert em tecnologias específicas: Ainda ligado ao item anterior, meus primeiros trabalhos na área de segurança foram relacionados ao uso de firewalls mas conforme evolui profissionalmente, me descobri mais e mais afastado do conhecimento técnico puro. Segurança da Informação é uma disciplina que permeia todos os níveis hierárquicos da empresa, do mais operacional até (esperamos!) decisões estratégicas. Um dos primeiros passos para se tornar um bom gestor é aprender a delegar ações operacionais a sua equipe e focar nos resultados e entrega de valor ao negócio. Entenda, existem vários cargos que vão exigir um profundo conhecimento técnico como, por exemplo, quando for necessário realizar um teste de intrusão baseado em exploits que você mesmo construiu ou fazer engenharia reversa de algum novo malware. Se isso é o que você quer fazer, ótimo! Existem diversas opções de carreira! Apenas não se sinta limitado. Um bom gestor precisa focar muito mais em construir equipes confiáveis, compreender como a tecnologia funciona e, especialmente, como ela se encaixa dentro da visão geral de sua arquitetura de segurança, do que saber simplesmente “meter a mão na massa”.

3.      As normas da família ISO 27000 basicamente explicam basicamente tudo que você precisa saber para entender o que é segurança da informação: Sim, eu vou admitir um crime! Eu sequer havia ouvido falar da ISSO 27001 quando comecei a trabalhar com segurança. Meus primeiros passos foram muito mais focados em seguir as regras impostas pela política corporativa que, na época que eu trabalhava em uma empresa multinacional, já fazia referência a termos como Sarbanes-Oxley 404, ISO 27001, CobiT, ITIL. Não, eu realmente não sabia o que eram nenhum deles e perdi muito tempo por conta disso. Um colega mais experiente me presenteou com algumas publicações da ISO e um livro introdutório da ITIL (eu já era responsável pelos processos de configuração e mudança na minha empresa, e nem sabia o que era gestão de serviços de TI!). Só posso dizer que foram leituras bem esclarecedoras e tive vários momentos de “Ahhh, é por isso que eu faço dessa forma.”. Se tiver oportunidade, não perca tempo e leia! A ISO 27000 pode ser obtida gratuitamente nesse link! O CobiT é gratuito para associados da ISACA, as demais normas e outras publicações, infelizmente só comprando.

4.      Esteja preparado para se decepcionar com algumas pessoas: Na primeira vez que implantei um serviço de proxy/filtro web, passei vários dias espantado com a quantidade de material inapropriado que as pessoas tentavam acessar, bem como sua “criatividade” quanto ao tipo de assunto pesquisado na internet. Bem, isso realmente me surpreendeu, mas o triste foi ter a vivencia de participar de investigações onde descobri que pessoas bem próximas não eram exatamente honestas. O primeiro instinto sempre foi o de perguntar diretamente, pedir uma explicação, pois os resultados só podiam estar errados. Felizmente, alguns colegas mais experientes, especialmente das áreas de auditoria, me ajudaram muito a manter uma postura imparcial e ética.

5.      Você vai descobrir quem realmente são seus amigos: Talvez esse ponto esteja um pouco relacionado ao item anterior. No meu primeiro ano como Security Officer, quando tive que implantar uma série de controles bem restritivos, percebi que várias pessoas se afastaram do meu convívio e, algumas semanas depois de termos iniciado o controle de acesso a internet, meu carro misteriosamente apareceu com pneus vazios e alguns arranhões nada acidentais (não se sintam mal, a empresa me ressarciu!). Muitas vezes a área de segurança é percebida de maneira bem negativa dentro da empresa, afinal “bloqueamos” e “monitoramos” tudo, pessoas podem chegar ao ponto de ser demitidas quando violam algum controle, isso definitivamente não vai contribuir para sua popularidade dentro da empresa. Felizmente, conforme a disciplina evolui, eu percebo que esse cenário tem mudado nos últimos anos (meu carrinho passa muito bem, obrigado!).

6.      Pessoas são bem mais importantes que tecnologias e processos: Quando comecei a estudar segurança da informação, logo conheci os pilares básicos: Confidencialidade, Integridade e Disponibilidade. Mas muitas vezes não lembramos que eles são apoiados diretamente por Pessoas, Processos e Tecnologias. Desses três últimos, certamente as pessoas são o ativo estratégico mais importante a segurança da informação, bem como o que vai demandar mais esforço para garantir a proteção corporativa. Não é a toa que uma das frases mais comuns é dizer que pessoas “são o elo fraco” da segurança, isso é uma verdade que não mudou ao longo dos anos e que dificilmente vai se alterar no futuro próximo. Paradoxalmente, sem pessoas preparadas, você pode contar com a melhor tecnologia e os mais bem definidos processos, ainda assim existe uma grande chance de falha. Investir tempo dialogando, explicando, conscientizando e condicionando os colaboradores da sua empresa é uma ação estratégica que, a longo prazo, entrega muito mais valor do que a implantação de qualquer tecnologia.

7.      Controlar é diferente de bloquear, dialogar é diferente de simplesmente dizer não: Cada vez que crio uma campanha de conscientização parte do foco vai para tirar a imagem negativa que nós, profissionais da área, criamos para segurança da informação. Por muito tempo fomos percebidos como a equipe do NÃO. Posso colocar minha empresa na internet? Não, é inseguro. Posso permitir que meus colaboradores tenham acesso remoto? Não, é inseguro. Posso permitir uso de equipamento pessoal no ambiente de trabalho? Não, é inseguro. Posso levar meu sistema crítico para a nuvem? NÃO! JÁ FALEI, É INSEGURO! Sim, ao longo dos últimos anos, conforme a tecnologia evoluía e se tornava onipresente, cada vez mais vi profissionais responderem negativamente antes de pensar se aquilo traria um benefício ao negócio. Precisamos aprender a dialogar com as diversas áreas corporativas, explicar que é possível fazer praticamente qualquer operação de maneira segura, desde que a empresa esteja disposta a fazer os investimentos necessários para garantir a implantação de controles e seguir regras básicas de segurança. Da mesma forma que não é possível eliminar todos os riscos ao negócio, não é possível (nem necessário) bloquear tudo. Um ambiente adequadamente controlado consegue conviver harmoniosamente com os riscos persistentes e, ao mesmo tempo, estar preparado para situações adversas como crises e desastres.

8.      Saber dialogar no idioma da alta direção: Não é possível se fazer segurança da informação sem o apoio direto da alta direção (diretores, donos, acionistas, conselho administrativo ou qualquer outra entidade que se aplique a sua empresa!). Uma das maiores dificuldades que profissionais que possuem conhecimentos eminentemente técnicos tem é garantir uma boa comunicação com executivos. Invista tempo e esforço para tentar entender os valores da sua empresa, quais são seus objetivos estratégicos e como a segurança da informação pode agregar aos resultados da organização. Essa é a natureza da entrega de valor e, no final do dia, é o que vai garantir que segurança não seja percebida como um peso morto, mas sim vista como um facilitador do negócio, uma disciplina estratégica, alinhada a visão e missão corporativa.

9.      Inglês ainda é indispensável: Talvez eu devesse ter colocado esse ponto no início, dada sua importância. Como meu pai era tradutor-interprete e eu herdei uma facilidade com idiomas, apreendendo inglês basicamente por osmose, é provável que eu não tenha valorizado tanto esse conhecimento. Mas a realidade é que diversas oportunidades profissionais foram facilitadas pelo fato de eu ser bilíngue. Na minha primeira auditoria internacional eu não era o profissional mais experiente, mas dominava perfeitamente o inglês, além de conseguir fingir razoavelmente bem falar castelhano (Saludos a mis amigos en Chile!) em uma época onde não havia Google Translator. É claro que essa foi uma vivencia pessoal, mas com a quantidade de material de estudo em inglês, além de provas de certificação que não foram traduzidas e um mercado internacional bem atraente, não dá para argumentar. Ter um segundo idioma (escolhas obvias: inglês, espanhol, alemão, francês, chinês) é uma obrigação para um profissional que quer se destacar no mercado.

10.  Certificações te ajudam, mas não substituem experiência: Ah, certificações, ainda esta semana li aqui no linkedin um artigo sobre como elas estavam matando o “mercado de segurança da informação”. Bem, se você viu meu perfil, acho que não preciso explicar que não concordo com essa visão. Investi muito do meu tempo direcionando estudos para certificações na área de segurança. Pessoalmente o resultado foi espetacular. Novamente, muitas portas se abriram, o último exemplo é o razoável sucesso que tenho tido como escritor freelancer para empresas nos EUA, Canadá e EU. Nenhum dos clientes me conhecem pessoalmente, mas tanto meu portfólio profissional, quanto a sopa de letrinha das certificações contribuíram muito na hora de fechar o primeiro trabalho. Entenda, um título é apenas o seu cartão de visita, ele pode até te render uma boa oportunidade, mas é o seu esforço, compromisso, atitude e competência que vão garantir a manutenção dessa posição. Meu conselho é investir sim em cursos e certificações, especialmente aquelas que são independentes de fabricante como as da EXIN, ISACA, ISC2, CompTIA e similares. Entretanto, esteja atento: por mais que os seus instrutores se esforcem para passar conhecimento prático, nada substitui experiência. Sempre que possível procure colocar em prática aquilo que você aprendeu em sala de aula ou estudando sozinho, caso contrário, será conhecimento perdido.

Bem, aí está, foram 10 pontos que considero muito importantes e que sinceramente gostaria de ter sabido quando comecei a trabalhar com segurança da informação. Se você teve paciência e leu até aqui, bem, segue o 11º como um bônus: Não consigo imaginar uma área mais desafiadora, enriquecedora, em ampla fase de crescimento, carente de profissionais qualificados e que remunera muito bem. Não tenha medo de abraçar essa carreira, as oportunidades são enormes e a recompensa, além da jornada em si, é bem pragmática.

ISO: Que tal baixar mais de 600 normas graça? (e não é pirataria!)

Normas ISO legítimas e de graça me fazem MUITO feliz!

As normas ISO são, sem sombra de dúvida, uma das melhores fontes de conhecimento prático quando se quer adotar padrões testados e estabelecidos internacionalmente, aplicáveis a empresas de todos os portes e setores. Existem normas ISO focadas em várias áreas de conhecimento, incluindo qualidade, meio ambiente, tecnologia, segurança da informação, continuidade de negócios, governança corporativa, dentre outros muitos assuntos.

Algum tempo atrás, eu republiquei no Linkedin uma postagem feita originalmente aqui no blog, descrevendo como baixar uma cópia legítima da norma ISO 27000:2014 (já foi atualizada para versão 2016), que apresenta basicamente uma visão geral do que é um SGSI e outros conceitos relacionados a segurança da informação. No Brasil a norma continua sendo vendida, atualmente custando absurdos R$ 627,90!

A boa notícia é que essa não é a única norma que a ISO publica gratuitamente. Existe um site oficial onde você pode baixar 610 publicações! Claro, algumas são bem antigas, indo até 1988, e provavelmente estão desatualizadas, mas também existem normas novas folha, publicadas ainda em 2016 e falando de assuntos extremamente relevantes como TI, Segurança da Informação, Gestão de Serviços de TI e Computação na Nuvem, veja alguns exemplos:

  • ISO/IEC 2382:2015 Information technology — Vocabulary
  • ISO/IEC 2382-37:2017 (E) Information technology — Vocabulary — Part 37: Biometrics
  • ISO/IEC 17788:2014 Information technology — Cloud computing — Overview and vocabulary
  • ISO/IEC 17789:2014 Information technology — Cloud computing — Reference architecture
  • ISO/IEC 19395:2015 Information technology — Sustainability for and by information technology — Smart data centre resource monitoring and control
  • ISO/IEC 19678:2015 Information Technology — BIOS Protection Guidelines
  • ISO/IEC TR 20000-10:2015 Information technology — Service management — Part 10: Concepts and terminology
  • ISO/IEC TR 20000-11:2015 Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL
  • ISO/IEC TR 20000-12:2016 Information technology — Service management — Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC
  • ISO/IEC 27036-1:2014 Information technology — Security techniques — Information securityfor supplier relationships — Part 1: Overview and concepts
  • ISO/IEC 27000:2016(E) Information technology — Security techniques — Information security management systems — Overview and vocabulary

A maioria das publicações está em inglês, com algumas versões em francês ou russo. A lista completa você pode acessar aqui: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

Boa leitura!!

GRC+DRIDay 2016: Impressões do evento!

GRC+DRIDay 2016: Impressões do evento!

FALAR DE UM EVENTO ORGANIZADO PELA DARYUS, que é uma empresa onde trabalhei como consultor por 3 anos, pode até parecer parcial, já que é uma oportunidade de encontrar colegas e amigos que não vejo com tanta frequência. Pondo isso de lado, acredito que consigo reportar com total imparcialidade e concluir que o GRC+DRIDay continua um dos mais relevantes encontros para tratar – no nível estratégico – de Governança, Riscos, Conformidade, Segurança da Informação e Continuidade de Negócios.

Bem, vamos a minhas impressões sobre o evento!

5grc4driday-logo-com-data

DIA 1: O primeiro dia do evento é focado em GRC – Governança, Riscos e Conformidade e logo após a abertura oficial, começaram com apresentações bem interessantes.

Flávio Rímoli – Camargo Corrêa – Governança Corporativa

A primeira apresentação foi do Flávio Rímoli, Vice Presidente de Governança e Compliance na Camargo Corrêa, falando sobre o “Reposicionamento de Compliance na Estrutura Empresarial.”. Obviamente essa foi uma apresentação bem ousada, dado o cenário atual que passa a Camargo Corrêa no meio da operação Lava Jato.

grcdri01

Um dos pontos que mais me chamou a atenção foi Rímoli ter começado falando sobre Cultura Corporativa e o foco no “Tone from the top!”, algo que venho debatendo fortemente como a única maneira de se mudar a realidade e maturidade das empresas no Brasil.

A apresentação em si foi bastante pragmática e não deixa dúvidas que – se o que foi exposto for seguido de maneira séria e transparente – a Camargo Corrêa vai viver uma nova realidade que – talvez – em alguns anos possa conseguir recuperar parte do prestigio anterior.

Victor Oliveira – Grupo 3 Corações – Conformidade

O Grupo 3 Corações é uma empresa que vem crescendo na última década tanto em mercado quanto em maturidade corporativa. Não é a toa que a apresentação do CFO Victor Oliveira, demonstrou claramente a importância de se estar conforme com legislações e boas práticas.

grcdri02

Novamente, fiquei feliz em ouvir o termo Cultura Corporativa logo no começo da apresentação, e na visão bem pragmática do Victor que “Compliance se faz com pessoas, regras – são sim importantes – mas não podem ser seguidas de maneira cega e sem análise crítica”.

PAINEL: A Importância de GRC para a transparência e sustentabilidade das organizações no Brasil

A seguir tivemos o primeiro painel do evento, contando com Rony Vainzof da Opice Blum como moderador e os painelistas: Jeferson D’Addario (DARYUS), Carlos Campagnoli (SANOFI), Fay Diederichs Ivanovich e Mercedes Stinco (IBGC).

grcdri03

A discussão começou em torno do posicionamento reativo das empresas e novamente, da necessidade de se mudar a cultura das organizações para um modelo mais maduro e proativo. Essa é a única forma de se tratar incidentes de maneira adequada e reduzir o impacto para o negócio.

Camilla Do Vale Jimene – Opice Blum – GRC

Infelizmente, devido a um incidente envolvendo um copo de expresso da 3 Corações e meu terno, não pude acompanhar por inteiro a palestra da Dra. Camila.

grcdri04

Um dos pontos que me chamou a atenção – antes da minha retirada estratégica – foi a menção de pesquisas recentes que indicam que até 20% dos empregados não tem escrúpulos em violar regras de segurança, ou mesmo cometer crimes como vazamento /roubo de informações. Certamente esses números são bem assustadores para organizações de todos os portes.

Hélio Cordeiro – Grupo DARYUS – Inovação Disruptiva

Gosto muito do tema Inovação Disruptivaé uma mudança de paradigma que as organizações não podem fingir que não existe. O impacto de novas tecnologias e comportamentos é certo e só tende a crescer nos próximos anos. Hélio falou muito bem sobre a “Uberização” dos segmentos tradicionais de negócios, algo que deve ser cada vez mais comum e que – até certo ponto – cria o risco de reduzir a relevância de empresas tradicionais que não se adaptarem nos próximos anos.

grcdri05

Um dos pontos mais interessantes foi o conceito de “Supply Chain de Dados”, que se apropria de uma metodologia já bem estabelecida, portando-a a era digital. Olhando com a visão de cibersegurança, é interessante pensar em como proteger a informação em todo seu ciclo de vida, especialmente quando ela está fora do controle corporativo, mas ainda pode causar impactos.

Cláudio Yamashita – Intralinks – Conformidade

Empresa Compliant é empresa que cresce!“. Apesar de incluir um leve tom comercial, a palestra do Cláudio Yamashita da Intralinks mostrou de forma interessante que nenhuma empresa faz negócio sem colaborar com o “mundo externo”.

grc-intralinks

A tendência é que a importância da informação em tráfego só aumente, “Porém informação em tráfego é informação em risco!”. A melhor frase da apresentação é algo que concordo plenamente: “O conteúdo é o novo perímetro de segurança da informação!“. Essa é a realidade que as equipes de cibersegurança estão enfrentando diariamente.

Ricardo Tavares – DARYUS – CiberSegurança

Conheço o Tavares pessoalmente dos trabalhos que fizemos juntos na DARYUS. Conversar com ele é sempre uma diversão, pois o assunto muda constantemente, incluindo as últimas novidades de seginfo vindas da Defcon/BlackHat, a ufologia e hipnose (Sim! Esses dois últimos foram o ponto alto do almoço e renderam boas risadas na nossa mesa no segundo dia do evento!).

grcdri07

No palanque, o Ricardo falou sobre o amadurecimento do cibercrime e como hoje é fácil consumir o CaaS (Crime as a Service) através da DeepWeb/Darknet (veja os valores na imagem acima!).  Esse fato explica como o cybercrime foi considerada a maior ameaça – superando o terrorismo – no Fórum Mundial de Davos.

Quanto a boas práticas, Tavares falou dos Critical Security Controls da Center for Internet Security, que são uma abordagem interessante para montar uma defesa cibernética efetiva. A metodologia é gratuita e pode ser baixada aqui: https://www.cisecurity.org/critical-controls

PAINEL: GRC 2016 – Compliance frente à nova Era!

O primeiro dia foi encerrado com um excelente painel sobre conformidade. Em um tom razoavelmente descontraído, os especialistas Jeferson D’Addario (DARYUS),  ‎Marcos Assi (MASSI Consultoria), Flávio Rímoli (Camargo Corrêa), Cláudio Yamashita (Intralinks), ‎Ademar Albertin (EXIN) e‎ Pedro Nuno discutiram como as empresas devem encarar o temido Compliance.

grc-painel01

Novamente, o tema essencial é a mudança na cultura corporativa, junto de inovação, melhoria na legislação brasileira e como entender o Compliance como um diferencial competitivo viável para as organizações.

DIA 2 – O segundo dia do evento é denominado “DRIDay” e tem um foco maior em temas como Continuidade, Recuperação de Desastres, Cibersegurança.

Chloe Demrovsky – DRI – Resiliência

O Segundo dia do evento começou com a palestra da Chloe Demrovsky, Diretora Executiva na DRI International, uma instituição sem fins lucrativos que ajuda organizações a se preparar e lidar com desastres. Eles são sem dúvida os lideres globais em educação no ramo de Continuidade de Negócios, com presença em mais de 50 países.

grc-DRI

A apresentação de Chloe discutiu – dentre outros assuntos – um desastre ocorrido em uma fábrica em Bangladesh (veja mais aqui 2013 Savar building collapse) que vitimou tanto adultos e crianças que trabalhavam no local e gerou uma comoção em escala mundial e ampla discussão sobre responsabilidade social corporativa, mesmo através de cadeias de suprimento.

Novamente, cibersegurança também ganhou os holofotes como o tema que atualmente apresenta maior risco as organizações e eventos como, por exemplo, as olimpíadas Rio 2016.

Robert-Jan Willemsen – EXIN Netherlands – Educação

Infelizmente não tive como assistir toda a palestra do Robert-Jan, pois fui para a reunião dos painelistas. Nos 15 minutos iniciais que eu assisti, a discussão estava muito boa sobre o framework de capacitação da EXIN e como conseguir a pessoa certa, com a habilidade certa e no local certo.

grc-exin

Tive a oportunidade de assistir outra palestra do Robert no GRM Recife em 2014, com um tema bem similar, e acredito que é algo que as empresas precisam. Em especial a área de cibersegurança apresenta uma lacuna enorme quanto a profissionais bem capacitados.

PAINEL: Cyber Security – O desafio corporativo!

Enfim chegou a hora da minha primeira contribuição ao evento! A oportunidade de poder representar o Grupo Edson Queiroz e discutir cibersegurança o lado de nomes de peso como Chloe Demrovsky (DRI), Karol Cordeiro (DRI), Dr. Renato Opice Blum (Opice Blum advogados), Afonso Nassif (Intralinks) e Allan de Aveiro dos Santos (Even) foi um momento impar. O painel foi moderado por Ricardo Tavares (DARYUS), que na reunião prévia, havia prometido colocar fogo nos temas abordados!

grc-painel-dodt01

De minha parte, procurei manter o foco na mudança da Cultura Corporativa, desenvolvimento de equipes e em uma abordagem pragmática a cibersegurança. Agradeço aos membros do recém formado GPSI/CE – Grupo de Profissionais de Segurança da Informação do Estado do Ceará – pela sugestão de temas e desafios próximos a realidade  da nossa região (Skill Gap, Machine Leanrning, Threat Intelligence SIEM, dentre outros).

Dr. Renato fez algumas observações muito interessantes sobre casos recentes como – por exemplo – o whatsapp. Outro ponto de nota foi o entendimento que – mesmo estando compliant e seguindo boas práticas – não existem garantias que incidentes não vão ocorrer. Na verdade uma empresa em conformidade com legislações e normas ISO está apenas mais madura e preparada para tratar esses incidentes e ter um menor impacto.

Rafael Koike – Amazon Web Service – Cibersegurança/Continuidade

grc-aws

Infelizmente também não tive como acompanhar a apresentação do Rafael, pois novamente fui a reunião dos painelistas. Mas pelo que conversamos na hora do almoço, o tema me pareceu bastante interessante.

PAINEL: Como avaliar as ameaças de curto prazo que levam à interrupção dos negócios.

Novamente, subi ao palco junto de profissionais renomados como ‎Ricardo Tavares (DARYUS), ‎Alexandre Guindani (CAIXA), ‎Eduardo Hasegawa (HSBC),  ‎Carlos Campagnoli (SANOFI), ‎Fernando Carbone (Kroll). Dessa vez, o foco era gestão de riscos e continuidade de negócios.

grc-painel-dodt02

O tema central do painel gerou controvérsia desde a reunião feita entre os palestrantes, afinal o que são ameaças de curto prazo? Algo que pode interromper o negócio por um curto período com impacto elevado ou algo que está em eminente ocorrência? Na dúvida, os painelistas procuraram discutir com ambas as visões.

A discussão abordou pontos essenciais para tratar ameaças, dentre os quais ressalto a necessidade de conhecer o negócio, o seu apetite de risco e o contexto em que a organização está envolvida. Sem isso é impossível entender realmente a extensão de ameaças, sejam essas de curto ou longo prazo.

Um item interessante levantado pelo moderador Fernando Carbone, foi uma pesquisa recente que apontava como a “ameaça” mais relevante – no ponto de vista dos gestores – uma “interrupção prolongada dos negócios”, cibersegurança ficava apenas na 4 posição no mesmo ranking.

grc-selfie
Selfie dos painelistas junto a Jeferson D’Addario (CEO Daryus)

Meu argumento foi que, embora conceitualmente incorreto (a interrupção nos negócios é a concretização de uma ameaça e não uma ameaça em si), isso demonstra que gestores não estão especificamente preocupados com a causa da interrupção e sim de como isso afeta suas organizações.

Novamente, meu ponto de vista é que precisamos de uma abordagem pragmática para cruzar o abismo existente entre o negócio e áreas como Cibersegurança/GCN/Recuperação de Desastres.

Impressões finais

Infelizmente não pude ficar até o final do evento, pois existia uma ameaça de bloqueio do acesso ao aeroporto em Guarulhos por manifestações. De uma forma ou de outra, foi interessante sair da discussão teórica e ser lembrado, de maneira prática, da celeridade das ameaças, que surgem de forma inesperada e afetam não só negócios, mas também nossas vidas. Afinal, esse é o cerne do que estávamos discutimos nos dois dias de evento.

O fato é que organizações não podem mais usar a metodologia do avestruz  para tratar riscos. Meses atrás assistimos abismados ao maior desastre socioambiental da história brasileira, que roubou não apenas vidas, mas a existência de uma cidade inteira! Estamos vivendo um momento político altamente instável e inflamável, as olimpíadas já desapontam em meros meses (e claro, temos obras atrasadas e desastres e perdas de vidas humanas no histórico). Quantos casos poderiam ter sido evitados? Quantas pessoas salvas se levássemos GRC mais a sério? Infelizmente esse é um número depressivamente alto.

Por favor: #Não!
Por favor: #Não!

A meu ver – e prometo que essa é a última vez que menciono nesse artigo – nossa única esperança é mudarmos a cultura corporativa das empresas, fazer com que líderes estejam cientes das decisões e de suas implicações tanto no negócio, quanto em um contexto social. O que me deixou feliz durante o GRC+DRIDay 2016 foi ouvir, não só dos palestrantes, mas também da comunidade presente, que esse tema vem ganhando cada vez mais força nas grandes organizações. Ainda temos esperança!

Está na hora de atualizar sua Política de Segurança da Informação – PSI?

Conforme mencionado em Transformando sua Política de Segurança em um ativo estratégico, a criação de uma PSI efetiva e seu uso como um ativo estratégico é um dos passos mais importantes para uma boa Gestão de SegInfo em qualquer organização.

Se você já enfrentou doloroso processo de criação, aprovação e disseminação da PSI na sua empresa, certamente sabe que qualquer boa prática de segurança vai pregar que o documento da política deve ser atualizado “periodicamente” passando por todo o ciclo PDCA.

Embora este prazo de atualização não seja formalmente definido em normas e frameworks, pessoalmente considero que é uma ideia razoável ter pelo menos uma revisão anual ou sempre que houver uma mudança significativa no ambiente corporativo como aquisições, fusões, entradas em novos mercados e demais eventos que tornam tão divertida a vida de um gestor de segurança.

revusando a psi

Neste momento você deve estar lembrando de todo o esforço que foi gasto para elaborar a política, obter a aprovação da alta direção e o mais difícil: conseguir inserir a PSI na cultura corporativa e que os usuários entendam a sua importância e sigam as diretrizes. Talvez você tenha chegando a velha conclusão: “Em time que está ganhando não se meche”. ERRADO!

Mesmo uma pequena mudança na legislação vigente, a criação de uma jurisprudência ou até mesmo a ocorrência de incidentes de segurança podem tornar sua PSI completamente defasada e com mais buracos que queijo suíço e acabar com o seu dia se for necessário levar a política para uma disputa legal.

Embora modificações profundas não sejam recomendadas – a menos que estritamente necessário – existem alguns pontos que se observados podem garantir um resultado bastante positivo:

  1. Valide a ocorrência de incidentes de segurança: Ao contrário do que algumas pessoas costumam pensar, mesmo com uma boa gestão de SegInfo é razoavelmente comum e até mesmo aceitável a ocorrência de incidentes de segurança, desde que estes sejam adequadamente tratados e solucionados.

Incidentes de segurança fornecem um feedback crítico para a PSI.

Para a atualização de sua PSI é recomendável que sejam analisados os incidentes que ocorreram no último período e validar se estes estão adequadamente cobertos nos tópicos da política e outros documentos como normas e procedimentos.

2. Esteja atento a questões legais e contratuais: Aspectos trabalhistas, a criação de novas jurisprudências, modificações na legislação e até mesmo contratos com clientes podem exigir uma atualização. Nesse momento o apoio do departamento legal ou mesmo de um jurista especializado pode ser essencial.

Leis, leis e leis!
Leis, leis e leis!

Um bom exemplo é a modificação da CLT referente ao art. 6o (Dezembro 2011) que na Súmula nº 428, de 24 de maio de 2011, entendeu que “o uso de aparelho de intercomunicação, a exemplo de BIP, pager ou aparelho celular, pelo empregado, por si só, não caracteriza o regime de sobreaviso”. Incluir uma pequena diretriz na PSI informando que o acesso/trabalho remoto não implica na obrigatoriedade do pagamento de horas extras, a menos que formalmente solicitado, pode evitar que sua empresa perca tempo valioso em disputas trabalhistas.

3. Novas tendências e tecnologias = novas regras: Consumerização, BYOD, Cloud, redes sociais e antissociais, geotaging, privacidade, DLP, existe um número sem fim de buzzwords que representam as ultimas tendências do mundo da TI e SegInfo.

BYOD - Dilbert
BYOD – Dilbert

Será que sua PSI já menciona regras para mobilidade, uso de dispositivos pessoais ou computação na nuvem? Mesmo que esses recursos ainda não estejam implantados, pense estrategicamente, se sua organização vai fazer uso no próximo período esteja preparado para criar novas regras que reflitam essas mudanças.

4. Acompanhe a estratégia corporativa: Sua empresa está se preparando para uma fusão? Vai abrir uma filial em outro estado ou mesmo outro país? Questões culturais ou mesmo legais (leia novamente o item 2!) são extremamente importantes.

No caso do Brasil existem casos como a Lei Estadual n°. 12.228/06 – também conhecida como lei das lan houses, que se aplica apenas ao estado de SP. Se você vai abrir uma filial nesta localidade e presta algum tipo de serviço parecido como lan house (ou mesmo aquela velha e boa conexão gratuita para visitantes) é um ponto a ser observado.

O conceito de estratégia, em grego strateegia, em latim strategi, em francês stratégie... Os senhores estão anotando?

Já em um cenário multinacional, a diferença das leis entre países é tão grande que pode praticamente inviabilizar a sua política. Por exemplo, algumas nações europeias tem uma visão completamente diferente sobre questões de monitoramento de e-mails e acesso a internet. É uma questão tanto cultural quanto legal (já recomendei ler o item 2 novamente? Leia outra vez de novo!) que deve ser observada.

5. Menos é mais: Uma atualização não significa apenas acrescentar. Se existem tópicos defasados na sua política – e se você está razoavelmente seguro que estes não são necessários – não hesite, exclua sem piedade!  Ter uma PSI enxuta facilita tanto a administração como a absorção pelos seus usuários.

 6. Renove a aprovação da alta direção: Ok, às vezes obter a aprovação de um C-Level é mais difícil que enfrentar o Smaug em um dia que ele amanheceu com azia draconiana. Entretanto, é essencial demonstrar que a alta administração participa ativamente das decisões estratégicas em assuntos de SegInfo.

altadirecao

Isso vai conferir uma maior autoridade para sua gestão junto aos usuários e evidencias essenciais para governança ou caso você esteja pensando ou mesmo renovando uma certificação como a ISO 27001.

7. Não esqueça da divulgação e sign-off dos usuários: Assim que você concluir sua atualização/aprovação é extremamente importante garantir que a nova versão da PSI será amplamente divulgada para todas as partes interessadas. Uma boa ideia é fazer uma campanha de conscientização incluindo atividades como um ciclo de palestras, divulgação de memorandos e comunicados oficiais.

Em casos de mudanças maiores, talvez seja necessário solicitar novamente que os usuários confirmem que leram, entenderam e que pretendem seguir as diretrizes da política, considere coletar assinaturas ou outras formas de gerar evidencias desse aceite, isso pode salvar sua empresa (e consequentemente seu pescoço) em eventuais embates legais.

Sign-Off = Se não está evidenciado não existe!
Sign-Off = Se não está evidenciado não existe!

Obviamente a lista acima não pretende ser exaustiva, mas certamente fornece uma boa base para ajudar na atualização da sua PSI, normas, procedimentos correlatos e talvez ajude até mesmo outras áreas como Continuidade de Negócios e Gestão de Risco de uma forma geral.

Você tem mais alguma sugestão? Dicas e comentários serão amplamente bem vindos.

Ah, se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂