Pesquisa Nacional de Segurança da Informação: Divulgação dos resultados!

Um dos trabalhos que mais me agradou esse ano, foi à possibilidade de coordenar a Pesquisa Nacional de Segurança da Informação realizada pela DARYUS Strategic Risk Consulting. Afinal, essa era uma oportunidade de colocar no papel um retrato fiel de fatos que vejo no meu dia a dia como consultor.

pesquisa_resultados
clique na imagem para baixar a pesquisa!

 

A pesquisa, realizada em parceria com a EXIN e IT MÍDIA, é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. O objetivo era claro: Apresentar a forma como a maioria das empresas brasileiras encara a Segurança da Informação.

Leia mais

Executivos brasileiros não têm ideia do que é Cibersegurança (e adivinhe de quem é a culpa!)

CASSANDRA É UM PERSONAGEM FAMOSO NA MITOLOGIA GREGA. Devota de Apolo, recebeu deste o dom da profecia. Mas quando recusou-se a dormir com o Deus da Arte, foi amaldiçoada: Ninguém jamais acreditaria nas suas profecias ou previsões! Considerada como louca, a falta de credibilidade em suas visões levou a queda de Tróia.

Muitas vezes quando trabalhamos com Segurança da Informação, parece que sofremos do mesmo mal, o Complexo de Cassandra. Claro, não estamos fazendo previsões com o dom da profecia (eu espero!), mas usando análises baseadas em frameworks e melhores práticas de mercado. O resultado, porém, é o mesmo. Apesar de poder “prever”  riscos e possíveis incidentes no futuro, somos taxados como paranoicos pessimistas, e a alta direção ou o corpo executivo da organização descarta a possibilidade baseado na ideia de que aquilo “nunca vai acontecer na nossa empresa”.

Espero que essa não seja sua metodologia de Análise de Riscos.
Espero que essa não seja sua metodologia de Análise de Riscos.

O fato é que uma pesquisa recente, realizada Alvarez & Marsal com 150 executivos seniores de empresas brasileiras, mostra que a maioria tem uma noção apenas superficial dos riscos, e do que é CyberSecutiry. Os resultados apontam que 20% dos entrevistados não sabem quem é o responsável pela segurança cibernética em suas organizações. Outros 28% acham que o assunto é uma responsabilidade de TIC.

Quem trabalha há um tempinho na área de SegInfo, sabe que essa situação não é nenhuma novidade. Ficam duas perguntas:

Se Executivos não sabem o que é Segurança Cibernética, será que entendem o que é Segurança da Informação?

E será que os executivos são os únicos responsáveis por essa situação?

Em ultima instância a Alta Direção de qualquer organização sempre será responsabilizada por incidentes de segurança como, por exemplo, vazamentos de informações, fraudes, erros (propositais ou não). Isso independe se o fato foi uma falha técnica (segurança cibernética) ou se ocorreu fora do mundo digital, que por acaso ainda cai dentro do escopo da Segurança da Informação.

Pensando de acordo com a Norma ISO 27001:2013, uma boa Gestão de SegInfo deve englobar adequadamente Pessoas, Processos e Tecnologia. Afinal, uma das características básicas da informação é sua capacidade de mudar de meio de armazenamento, e pouco faz diferença se um vazamento ocorreu por conta de uma vulnerabilidade de SQL Injection ou num descarte inseguro de relatórios impressos. Se a quantidade de informação afetada for a mesma, o impacto negativo é igual.

Ok! Agora me explique o que é Segurança da Informação.
Ok! Agora me explique o que é Segurança da Informação.

Segurança é uma disciplina estratégica. Cabe aos Gestores da área de SegInfo conscientizar o negócio sobre sua relevância e explicar como uma ausência de controles pode ter um severo impacto negativo na operação, imagem ou reputação da empresa. A ideia central, é que a informação precisa ser protegida independentemente do seu formato, esteja ela em servidores locais, na nuvem, impressa ou armazenada em microfilme.

Muitas vezes falhamos em comunicar esses aspectos. Esquecemos que aprender a entender as estratégias, objetivos e a dialogar no idioma do negócio ($$$ na maioria das vezes!) é tão ou mais importante quanto saber escovar bits para hardenizar um sistema operacional.

Essa perspectiva leva a outra pergunta bem relevante: Assim como os executivos que não sabem o que é Segurança da Informação ou Cibersegurança, será que os profissionais da SegInfo entendem realmente o que precisa ser protegido e conseguem dialogar na linguagem do negócio?

Infelizmente ainda vivemos numa cultura da Síndrome do Appliance: Só nos sentimos protegidos quando existe um Led piscando no Rack. Essa postura, muitas vezes propagada pelos próprios profissionais da área de SegInfo, é uma maneira mais fácil lidar com os anseios de executivos.

Claro, apresentar um hardware que pode ser pesado, medido, tocado e ter um “resultado imediato”, é muito mais fácil do que lutar por controles mais “abstratos” como políticas, normas e procedimentos que exigem uma mudança na postura dos colaboradores e da organização como um todo. Isso serve apenas para propagar a ideia de que Segurança da Informação é uma “responsabilidade exclusiva de TI”.

Quer ser um bom Gestor de SI? Além de ter uma boa compreensão dos aspectos técnicos, aprenda a dialogar com os executivos no idioma deles e procure sempre manter sua área alinhada aos objetivos do negócio. E se mesmo assim o Complexo de Cassandra não diminuir, bem, você lembra o que aconteceu com Troia não é?

Fire_of_Troy
O Fogo de Troia. Ok Cassandra, você estava certa!

Fontes:

http://www.administradores.com.br/noticias/tecnologia/analise-executivos-brasileiros-nao-tem-ideia-do-que-e-ciberseguranca/84408/

http://alvarezandmarsaleurope.com/pesquisa

[2014]: Novamente atualizando sua Política de Segurança e uma partida de futebol

Enfim chegou 2014 (ok, estou um pouco atrasado já chegou fazem duas semanas!) e estamos naquela época do em que pretendemos cumprir as promessas feitas no final de ano passado, em 2012, 2011, 2010, bem … feitas algum tempo atrás. Mas o que será que planejamos para melhorar a Gestão de Riscos e Segurança da Informação da nossa organização?

Será que em 2014 vai?
Será que em 2014 vai?

Eu sempre acreditei que o começo do ano é um bom momento para iniciar um novo ciclo de renovação de políticas, normas e procedimentos. Um ano atrás escrevi o artigo “Está na hora de atualizar sua Política de Segurança da Informação – PSI?” exatamente com esse pensamento, e agora com a chegada de um novo ciclo, é valido perguntarmos: Será que as políticas e normas da minha empresa refletem as mudanças ocorridas em 2013?

O ano de 2013 nos brindou com uma série de novos desafios cada vez mais presentes. Mobilidade e equipamentos pessoais no ambiente de trabalho deixaram de ser uma mera “novidade interessante” e passaram a ser parte da estratégia do negócio, visando agilidade e uma demanda dos usuários que insistem em um ambiente de trabalho cada vez mais conectado e com menos barreiras físicas.

dilma spy

Não podemos esquecer a sempre presente sombra dos arapongas virtuais. NSA e Obama ganharam um incrível destaque devido a suas “pequenas indiscrições” e assustaram quem tinha a inocência de acreditar que a segunda profissão mais antiga da humanidade estava semi-aposentada. Como resultado empresas da administração pública federal direta, autárquica e fundacional estão migrando para o Serpro Expresso V 3.0 e o seguimento privado está mais uma vez correndo atrás de soluções de criptografia. Aparentemente vazamento de informação ocorre somente no serviço de e-mail. Uma dica: NÃO!

Nesse mesmo contexto é seguro dizer que muitas das empresas brasileiras ainda não possuem sequer uma Política Estratégica de Segurança da Informação, e uma boa parte daquelas que tem uma PSI publicada, simplesmente baixaram um modelo da internet. Bem, em 2014, vamos começar com o básico.

Por que uma Política de Segurança da Informação (PSI) é tão importante?

A PSI é um instrumento estratégico onde a Alta Direção da organização define as diretrizes básicas de como a Segurança da Informação deve ser gerenciada. Complicado? Ok! Vamos usar um exemplo mais simples, aproveitando o clima de Copa do Mundo 2014.

Imagine uma partida de futebol entre dois grandes clubes brasileiros. Um dos jogadores (não o goleiro!) toca claramente a bola com a mão. Todos viram: jogadores, torcida e claro, o Juiz. Presumindo que o evento tenha ocorrido fora da pequena área, o infrator é punido com um cartão amarelo e a partida segue sem maiores problemas.

Já deu uma lidinha no item sanções e punições da PSI?
Já deu uma lidinha no item sanções e punições da PSI?

Digamos que depois de alguns minutos, o mesmo jogador repete o feito, um novo toque da mão proposital na bola, que não deixa dúvidas e foi visto por todos. Desta vez o infrator recebe um cartão vermelho e é expulso de campo. Os ânimos dos times e torcedores podem ate ficar afetados contra o jogador infrator, mas ninguém reclama do Juiz. Por quê? Simples, como diz Arnaldo: “A regra é clara”, todos conhecem e sabem a punição por desobedecer.

Agora imagine um jogo de futebol onde ninguém além do Juiz conhece as regras. Jogadores são meramente instruídos que devem passar a bola pelo arco para obter um gol. Isso resultaria em um caos completo, onde os usuários (jogadores) buscariam a maneira mais conveniente e provavelmente carregariam a bola nos braços, enquanto o Juiz aplicaria uma punição sem explicar o porquê e provavelmente não seria visto com muito afeto pelo resto dos participantes.

Este “caos futebolístico” é muito parecido com o cenário de várias empresas que utilizam uma Política de Segurança mal elaborada, que deixa espaço para conflitos de interpretação e não foi adequadamente explicada aos usuários.

erik-carriere-mpala-mouri

O que temos que entender é que a PSI define as “regras do jogo”, deve ser levado em consideração que os usuários devem entender todas as diretrizes, assim apesar de escritas em uma linguagem formal (parecido com um contrato), as regras devem ser claras e não deixar espaço para dúvidas.

Seguindo a linha de raciocínio do nosso exemplo acima pense: Quanto tempo você levaria para explicar as regras do nobre esporte bretão? Se você construiu uma política que pode ser efetivamente explicada em um tempo similar, com certeza está no caminho certo.

Atualizando sua Política de Segurança para 2014

Se você quer uma boa lista de recomendações para elaboração de sua PSI recomendo a leitura de dois artigos aqui do blog “Transformando sua política de segurança da informação em um ativo estratégico” e “Está na hora de atualizar sua Política de Segurança da Informação – PSI?”.

Ambos os textos são complementares, sendo o primeiro focado em uma série de recomendações para elaboração e aplicação de uma boa política e o segundo sobre como manter a mesma sempre atualizada e alinhada ao negócio.

Paperwork

Talvez o ponto mais importante não seja a construção da Política de Segurança em si. De que serviria a melhor PSI, se esta não estivesse adequadamente comunicada e entendida pelos usuários? Se você ainda não fez uma campanha de segurança, este é o momento. Existem muitos bons exemplos de como se capacitar e treinar pessoas.

Claro, para fechar o texto, vou repetir o último paragrafo do ano passado: Se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂

Dilma anuncia e-mail seguro. Será que o Brasil está bem protegido contra espionagem cibernética?

Quando em julho deste ano Edward Snowden divulgou que pessoas, empresas e o governo do Brasil se tornaram alvos de espionagem da Agência de Segurança Nacional dos Estados Unidos (National Security Agency – NSA, na sigla em inglês) todos foram “pegos de surpresa”.

Oh! Que absurdo! Nunca suspeitamos que uma “nação amiga” fosse capaz de tamanha audácia. Que abuso o Obama querer xeretar nas comunicações secretas da nossa presidenta! Precisamos de uma resposta à altura! Quanta inocência.

dilma spy

Os mais cínicos sabem que a espionagem é a segunda profissão mais antiga do mundo, faz parte do jogo, “business as usual”. Os EUA fazem, O Brasil faz (ou faria se tivesse capacidade). O que a NSA fez de errado foi quebrar a regra de ouro de todo espião: “Não seja pego!”

É obvio que como uma nação, o Brasil precisava dar algum tipo de resposta a essa situação. O cancelamento de uma visita oficial que a Dilma faria aos EUA foi um primeiro movimento na valsa diplomática, sendo sucedido por declarações, pedidos de desculpas e discursos de ambas as partes. Tudo isso serve apenas para os holofotes.

Entretanto, o que todos estavam aguardando eram medidas concretas para solucionar o problema. Como iriamos nos proteger nessa guerra fria cibernética?

A resposta veio nesse último domingo (13/10), através do twitter da Presidena Dilma Rousseff (@dilmabr), que anunciou ter determinado ao Serpro a implantação de um sistema seguro de e-mails. Claro, isso não pode ser feito da noite para o dia, mas deve estar disponível no segundo semestre do próximo ano. Enquanto isso, a ordem do dia é inserir “Hi Obama, Whassuuuup?” aleatoriamente em qualquer parte das mensagens.

@dilmabr

@dilmabr

A pergunta que fica é: O que constitui um sistema seguro de e-mail? É fácil imaginarmos a aplicação de ferramentas de criptografia tanto para resguardar o conteúdo (confidencialidade) quando proteger a autenticidade (integridade) das mensagens. Ótimo! Nossa nação estará (em breve) protegida! Afinal a espionagem acontece apenas no correio eletrônico.

Sem considerarmos qual ferramenta será utilizada ou desenvolvida, a possibilidade de um backdoor ou qualquer outro tipo de falha de implementação, existe outro ponto importante que ainda deve ser endereçado: as pessoas.

Nem mesmo a melhor das tecnologias não é capaz de garantir a proteção de qualquer sistema, sem que as pessoas estejam preparadas para seu uso. Se você já implantou ferramentas de criptografia em seu correio eletrônico, sabe que os usuários resistem a qualquer clique ou passo adicional para criptografar a mensagem, afinal é uma tarefa que “toma tempo, reduz produtividade, dificulta o dia a dia de trabalho”. Sim, usuários consideram segurança da informação algo extremamente chato.

Antes que alguém diga “A solução é simples, vamos criptografar todas as mensagens”, é importante lembrar os rumores de que e-mails enviados para a Dilma, por assessores próximos, partiam de contas do gmail.

Ok! Agora estamos protegidos!
Exemplo do que acontece quando adotamos tecnologias de segurança sem capacitar e conscientizar as pessoas.

O fato é que implementar uma tecnologia de proteção é um passo na direção correta, mas essa medida sozinha não vai solucionar o problema. É necessário que o governo também formalize regras claras para o uso do correio eletrônico, capacite e conscientize seus usuários. Ah, alguem lembrou que espionagem não ocorre apenas no e-mail? Que tal expandir medidas de segurança para outros serviços e incluir também proteção física?

O Gabinete de Segurança Institucional da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, tem feito boas iniciativas nessa área, como é o caso da Norma Complementar 17/IN01/DSIC/GSIPR.

Publicada em abril de 2013, estabelece diretrizes para atuação e adequações de profissionais da área de Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, determinando recomendações para cursos de certificação e temas de SIC para formação/capacitação e atividades relacionadas a troca de conhecimento.

spying

Iniciativas como a normativa 17 devem ser louvadas, mas o seu maior problema é basicamente se restringir aos profissionais que atuam na área de SIC. É preciso que medidas como essa sejam expandidas aos demais níveis da Administração Federal.

Um amplo programa de capacitação e conscientização talvez não chame tanto a atenção como a implantação de um sistema de e-mail seguro, mas certamente é a medida mais eficiente quando queremos garantir a segurança da informação, seja no governo ou nas nossas empresas.

Vai Obama! Quero ver você me espionar agora!
Vai Obama! Quero ver você me espionar agora!

Fontes:

O GLOBO

TWITTER DILMA

BLOG DO PLANALTO

Norma Complementar 17/IN01/DSIC/GSIPR

ISO 27001:2013 – O que muda com a atualização da maior norma de Segurança da Informação?

O ano de 2013 nos brindou com diversas noticias sobre ataques de hackers, vazamentos de informação, espionagem digital, invasão de privacidade (oi Obama!) e a consequência é que todos os holofotes estão mais que nunca apontados para o tema Segurança da Informação.

É nesse contexto que nos últimos dias chegou a nova revisão da ISO 27001. Padrão internacional que – junto das demais publicações da família 27000 – há mais de uma década tem sido uma das principais referências sobre Segurança da Informação para empresas e profissionais em todo o mundo.

Uma série de perguntas fica no ar: O que realmente muda? A norma está mais efetiva?

Claro, quem é responsável pela gestão de um SGSI está imaginando a quantidade de novos controles e documentos obrigatórios para obter ou manter a certificação da sua empresa.

Sem mais delongas, vamos as mudanças!

27001:2013: Que venham as mudanças!
27001:2013: Que venham as mudanças!

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar das normas possuirem requisitos em comum, existem várias diferenças no que tange a definições .

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está valida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Quando vou adotar a 27001:2013?
Quando vou adotar a 27001:2013?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

  • Documentos:
    • Scope of the ISMS (clause 4.3)
    • Information security policy and objectives (clauses 5.2 and 6.2)
    • Risk assessment and risk treatment methodology (clause 6.1.2)
    • Statement of Applicability (clause 6.1.3 d)
    • Risk treatment plan (clauses 6.1.3 e and 6.2)
    • Risk assessment report (clause 8.2)
    • Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
    • Inventory of assets (clause A.8.1.1)
    • Acceptable use of assets (clause A.8.1.3)
    • Access control policy (clause A.9.1.1)
    • Operating procedures for IT management (clause A.12.1.1)
    • Secure system engineering principles (clause A.14.2.5)
    • Supplier security policy (clause A.15.1.1)
    • Incident management procedure (clause A.16.1.5)
    • Business continuity procedures (clause A.17.1.2)
    • Statutory, regulatory, and contractual requirements (clause A.18.1.1)
  • Registros:
    • Records of training, skills, experience and qualifications (clause 7.2)
    • Monitoring and measurement results (clause 9.1)
    • Internal audit program (clause 9.2)
    • Results of internal audits (clause 9.2)
    • Results of the management review (clause 9.3)
    • Results of corrective actions (clause 10.1)
    • Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

27001

Claro, se um documento referenciado acima faz parte do anexo A, este só obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

  • 5 Security Policies
  • 6 Organization of information security
  • 7 Human resource security
  • 8 Asset management
  • 9 Access control
  • 10 Cryptography
  • 11 Physical and environmental security
  • 12 Operations security
  • 13 Communications security
  • 14 System acquisition, development and maintenance
  • 15 Supplier relationships
  • 16 Information security incident management
  • 17 Information security aspects of business continuity
  • 18 Compliance

domino

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

  • Novos controles:
    • 14.2.1 Secure development policy – rules for development of software and information systems
    • 14.2.5 System development procedures – principles for system engineering
    • 14.2.6 Secure development environment – establishing and protecting development environment
    • 14.2.8 System security testing – tests of security functionality
    • 16.1.4 Assessment and decision of information security events – this is part of incident management
    • 17.2.1 Availability of information processing facilities – achieving redundancy
  • Controles Excluídos:
    • 6.2.2 Addressing security when dealing with customers
    • 10.4.2 Controls against mobile code
    • 10.7.3 Information handling procedures
    • 10.7.4 Security of system documentation
    • 10.8.5 Business information systems
    • 10.9.3 Publicly available information
    • 11.4.2 User authentication for external connections
    • 11.4.3 Equipment identification in networks
    • 11.4.4 Remote diagnostic and configuration port protection
    • 11.4.6 Network connection control
    • 11.4.7 Network routing control
    • 12.2.1 Input data validation
    • 12.2.2 Control of internal processing
    • 12.2.3 Message integrity
    • 12.2.4 Output data validation
    • 11.5.5 Session time out
    • 11.5.6 Limitation of connection time
    • 11.6.2 Sensitive system isolation
    • 12.5.4 Information leakage
    • 14.1.2 Business continuity and risk assessment
    • 14.1.3 Developing and implementing business continuity plans
    • 14.1.4 Business continuity planning framework
    • 15.1.5 Prevention of misuse of information processing facilities
    • 15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005, mas seja rápido!

Profissional de Segurança da Informação feliz com a 27001:2013!
Profissional de Segurança da Informação feliz com a 27001:2013!

Fontes:

ISO/IEC 27001:2013

http://iso.org

http://www.british-assessment.co.uk/articles/isos-annex-sl-explained

http://blog.iso27001standard.com