PDF – Palestra: Auditando Segurança da Informação – Combatendo fraudes e controlando riscos

Prezados colegas,

Estou disponibilizando AQUI o material de apoio da palestra que apresentei no dia 31/03 durante o Seminário de TI da turma de MBA de Governança de TI na FIC/CE. Novamente, agradeço ao Prof. Otávio Frota pelo convite.

Auditando Segurança da Informação - Combatendo fraudes e controlando riscos

 

Por que falham planos de recuperação de desastres e continuidade de negócios?

Sim, essa é a imagem mais batida sobre DRP, mas não tem nenhuma outraa que expresse tão bem planos intuitivos!
Scott Adams – Dilbert : Cartoon amplamente divulgado mas que não tem igual quando o assunto é mostrar a fragilidade de um PRD.

Planos de recuperação de desastres (PRD) e continuidade de negócios (PCN) nos preparam para lidar com crises e podem ser resumidos como diversas ações preventivas ou corretivas que são sistematicamente estabelecidas e condensadas em um plano que, quando ativado, deve reger ações de pessoas chave da organização e seus resultados podem simplesmente ser a diferença se a organização vai estar lá amanhã.

Entretanto, como já dizia herr Helmuth: “Nenhum plano de batalha sobrevive ao contato com o inimigo.” Esta máxima do estrategista pode ser perfeitamente aplicada a qualquer cenário de crise onde sempre vai existir um certo nível de incerteza.

Voltando ao tópico deste artigo, existem diversos motivos pelos quais mesmo o melhor dos planos pode falhar.

Muitos planos falham desde o seu início devido a uma análise de riscos ou mesmo uma análise de impacto nos negócios mal elaboradas e que não representam a realidade da organização.

Hoje vamos focar em um dos aspectos mais importantes e que pode simplesmente acabar com o mais bem elaborado dos planos. Para isso vou pedir a ajuda de minha série preferida: Os Simpsons.

Mr. Burns e a simulação de incêndio

Recomendo parar esta leitura por alguns segundos e dar uma olhadinha neste vídeo do episódio “A montanha da loucura” dos Simpsons:

Os Simpsons – 8ª Temporada Episódio 12 Completo e Dublado.

Se você está sem paciência, segue um resumo: Um belo dia, estando entediado no trabalho o Sr. Burns – dono da usina nuclear de Springfield – resolve agitar as coisas e escolhe um cenário comum a qualquer empresa – um “velho e bom” fire drill (teste de evacuação de incêndio).

Excelent!
Excelent!

O que se vê a seguir são uma série de trapalhadas no estilo Simpsons culminando em Homer trancando a maioria dos empregados e perguntando se tinha ganho o premio por ser o primeiro a sair do escritório. Nada mais longe da realidade, correto?

Não. Posso atestar em primeira mão que já conduzi um teste semelhante em uma instituição financeira que resultou no “Homer local” pegando uma vassoura para tentar silenciar o alarme de incêndio que o estava importunando. Nice!

Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais motivos de falha (que acredito serem os mesmos do meu exemplo real):

 

 

Mad dog drill? Esse eu gostaria de ver!
Fire!

Erro I: Nem os melhores planos duram para sempre

Primeiramente vamos olhar os cenários de teste a disposição de Mr. Burns:

• Alerta de derretimento (do reator nuclear)
• Ataque de cachorros loucos
• Ataque de Zepelim
• Evacuação de Incêndio

Como vimos em Fukushima, um alerta de derretimento é obviamente pertinente a uma usina nuclear e quanto a cachorros loucos realmente não sei o que dizer.

Porém, o último ataque de Zepelim foi registrado em 1940 ainda durante a segunda guerra mundial.

 

We all live in a yellow submarine!

Eis o primeiro grande erro. Assumindo que a série dos Simpsons se passava nos anos 90, acredito que deixar um plano que caiu em desuso por 50 anos não possa ser considerado uma boa prática.

Infelizmente, este cenário me lembra muito mais a realidade do que ficção pois como consultor é algo com que me deparo em empresas em diversos portes com uma frequência que considero nada menos que assustadora.

Erro dois: Estamos preparados!

Vamos a uma breve lista das pequenas trapalhadas do vídeo dos Simpsons:

  1. Carl pensa que o alarme de incêndio é o micro-ondas avisando que as pipocas estão prontas
  2. Lenny espera o café ficar pronto antes de sair
  3. Vários empregados correm em aparente desespero
  4. Um empregado usa um extintor para “se defender”
  5. Homer volta a seu escritório para buscar um retrato
  6. Um empregado corre desesperado em círculos sem tomar nenhuma outra ação aparente
  7. O plano de evacuação deveria ser concluído em 45 segundos, mas o Smiters não sabe informar quanto tempo levou, pois o cronometro só marca até 15 minutos

E a cereja do bolo:

  1. Homer (que para quem não sabe é inspetor de segurança) tranca os demais empregados e pergunta se ganhou um premio!

Em resumo o que estamos vendo é:

Sim, isto é mais próximo da realidade do que você está pensando.

Novamente devo dizer que os erros acima apresentados não poderiam estar mais próximos da realidade.

Dentre os muitos exemplos que já vi pessoalmente, ressalto o caso de uma funcionaria que não queria deixar o escritório sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram para buscar algum tipo de pertence pessoal ou da empresa.

Esta é a infeliz realidade dos planos informais que se baseiam na intuição das pessoas. A criação de uma cultura institucional é a chave de sucesso de qualquer PRD ou PCN. Lembre-se sempre: mesmo com uma boa preparação, a reação dos seres humanos é um dos pontos mais imprevisíveis em momentos de crise e em especial durante desastres.

Como escapar dessas armadilhas?

Presumir é a chave do insucesso e a base para criação de planos ineficazes.

  1. Presumir que algo é conhecido, quando na verdade ninguém conhece.
  2. Presumir que algo é simples, quando não o é.
  3. Que existe alguém competente tomando conta deste algo!

Planos de recuperação de desastres ou de continuidade de negócios são elementos “vivos” e devem ser tratados desta forma, não basta criar um bom plano e acreditar que sua organização estará protegida.

PDCA: ABNT NBR 15999-1
PDCA: ABNT NBR 15999-1

Qualquer bom profissional de continuidade de negócios vai lhe garantir que os dois aspectos mais importantes para garantir a pertinência de um PCN a sua organização são revisão e treinamento.

A dinâmica da maioria das empresas acarreta em aquisições, fusões, novos negócios, entrada e saída de colaboradores. Planos devem ser revisados com uma periodicidade regular (recomendo intervalos não maiores que 12 meses) e adequadamente comunicados a todos os indivíduos envolvidos.

Testes periódicos são uma parte essencial, mas cuidado, não faça como o Mr. Burns que aprendeu da forma mais difícil: um teste mal planejado pode ter um impacto bastante similar a um desastre real!


http://www.youtube.com/watch?v=ZHRWg70apMM

http://en.wikipedia.org/wiki/Helmuth_von_Moltke_the_Elder

http://en.wikipedia.org/wiki/Mountain_of_Madness

http://www.abntcatalogo.com.br/norma.aspx?ID=59370

Segurança Digital – 3ª edição setembro 2011

Revista Segurança Digital - 2ª Edição - Setembro 2011
Revista Segurança Digital - 2ª Edição - Setembro 2011

Lançar uma revista de Segurança da Informação traz sempre um grande risco de cair no comum e não conseguir brilhar diante da ampla quantidade e qualidade de publicações disponíveis na mídia convencional ou independente. E é com essa visão que no final de setembro estamos publicando nossa segunda edição recheada de matérias que abordam desde aspectos técnicos até a definição de estratégias de segurança corporativa.

-Baixe a revista agora-

A matéria de capa trata da Cyberguerra e reflete um cenário amplamente divulgado pela mídia, mesmo que nem sempre de forma justa. Quantas vezes confundimos hackers com crackers? Quantas vezes deixamos de nos preocupar com seus motivadores, com suas ambições e suas falhas? Muitas organizações simplesmente adotam uma postura neutra acreditando “que este problema não é meu” até que descobrem tarde demais que eram uma peça de um jogo onde muitas vezes as regras são tão confusas quanto injustas.

O registro dos usuários e o armazenamento de logs joga luz sobre aspectos legais de mitos como o anonimato na internet, que muitas vezes é o mantra de um lobby de empresas que não estão dispostas a abrir mão de seus lucros para investir em uma estrutura que pode apoiar a rápida solução de crimes digitais.

Nossa sessão de dicas traz o uso de uma ferramenta de criptografia extremamente maleável, poderosa e gratuita, o TrueCrypt, que permite a criação de drives ou partições seguras e uso transparente de criptografica. Continuamos discutindo e explicando questões bastante similares às provas do CISSP da ISC², uma das certificações de segurança mais desejadas e respeitadas a nível internacional.

Por fim, apresentamos uma abordagem realista para apoiar a árdua (e muitas vezes ingrata), mas extremamente importante tarefa da criação e manutenção de uma Política de Segurança da Informação, um excelente ativo estratégico que impulsiona a criação de uma cultura de proteção aos dados corporativos.

Tudo isso e muito mais foi feito pensando em você, caro leitor, que agora é convidado não só como mero coadjuvante, mas como peça principal em nosso cheque mate. Queremos a sua opinião, a sua dúvida, a sua participação, a sua crítica. Mais que tudo, queremos fazer bom uso do seu tempo divulgando e expandindo o corpo de conhecimento comum sobre assuntos sempre presentes no contexto profissional, que com uma frequência cada vez maior transcendem para nossas vidas pessoais.

Hinc robur et securitas

Transformando sua política de segurança da informação em um ativo estratégico

Políticas de segurança da informação (PSI) são documentos estratégicos que definem as regras que devem ser observadas durante o uso da informação de uma organização com o intuito de resguardar tanto os pilares básicos (Confidencialidade, Integridade, Disponibilidade) como seus derivados (e.g. Autenticidade, Não-Repúdio, Propriedade).

Os velhos e bons piláres da segurança da informação

Se você já passou pela árdua tarefa de criar e manter uma cultura institucional de proteção aos dados corporativos sabe que nada é mais distante da idéia de simplesmente baixar um modelo da internet (sim, existem muitos e alguns com razoável qualidade) que a aplicação de regras de segurança em um ambiente vivo, em que segurança da informação muitas vezes é percebida pelos usuários, gestores ou mesmo diretores como simples burocracia ou até um empecilho ao negocio.

A elaboração de uma PSI eficiente requer um grande nível de clareza, especialmente no quesito alinhamento com os objetivos do negócio. Entretanto, mesmo uma política eficiente não passa de um apanhado de material impresso ou disponibilizado na página institucional se não for bem utilizada no dia-a-dia.

Os oito passos a seguir podem ajudar bastante na hora de transformar sua PSI em um ativo estratégico eficiente, alinhado ao negócio e que vai ser muito mais eficiente em proteger as informações corporativas e, dependendo do caso, bem… até o seu emprego 🙂

Vamos à lista:

1 – Segurança da informação não é Tecnologia da Informação

Algumas vezes os termos acima são confundidos como sinônimos, e isto pode prejudicar drasticamente um projeto de PSI. Muitas vezes a mesma informação tem a capacidade de ser apresentada em diversos formatos diferentes, sejam estes eletrônicos, físicos ou até mesmo armazenados no conhecimento dos nossos colaboradores. De acordo com a ISO 27002 “Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”

Estratégia

Criar uma PSI exclusivamente para TI pode ter como conseqüência um escopo perigosamente míope. A ISO 27001 oferece 133 controles em seu Anexo A e basta uma rápida análise para chegar a seguinte conclusão:

  • Relacionados à TI: 46%
  • Relacionados à organização/documentação: 30%
  • Segurança física: 9%
  • Proteção jurídica: 6%
  • Relação com fornecedores e compradores: 5%
  • Gestão de recursos humanos: 4%

Um projeto de PSI que é um esforço apenas de TI esta fadado a enfrentar uma grande resistência dos demais setores. Entender quais são as áreas críticas e pessoas chave bem como seu funcionamento em conjunto é essencial na definição do que é segurança da informação para sua organização.

2 – Obtenha o apoio da alta direção

O famoso “apoio da alta direção” é um fator crucial para o sucesso de qualquer projeto que pretende uma mudança significativa na cultura institucional. Já vi vários projetos onde uma política “já concluída” era apresentada pela TI para a diretoria. Geralmente o documento era imediatamente aprovado e sistematicamente guardado em uma gaveta trancada no porão mais escuro da organização.

Sem um sponsor de alto nível a força do projeto da PSI pode ser completamente minada. Neste momento surgem os usuários que não “sabem” criar uma senha complexa ou que garantem que o seu email pessoal ou um IM público são essenciais para seu trabalho e ai começam a surgir às exceções que em pouco tempo se tornam a regra.

Um ponto muito importante e exposto de forma excelente no artigo Desmistificando o apoio da alta direção é entender quem realmente são as pessoas chave, os tomadores de decisão e especialmente quem vai ficar do seu lado quando a coisa começar a ficar feia!

3 – Converse com o negócio

Conforme previamente mencionado, um projeto de PSI de sucesso dificilmente é um esforço apenas da TI. Conversar com as demais áreas e até mesmo criar um comitê de segurança multidisciplinar traz uma visão muito mais ampla, imparcial e alinhada aos objetivos de negócio da organização.

Além disso, geralmente tira de TI o estigma de vilão da história. Pense nisso!

4 – Adote uma postura formal

A política de segurança da informação normalmente é um documento de distribuição apenas interna ou que é encaminhada para clientes e fornecedores. Obviamente é essencial que este documento seja de fácil entendimento, mas isso não requer uma abordagem informal.

É necessário lembrar que a PSI é um contrato entre a organização e os usuários da informação e que muitas vezes pode ser levada perante ao judiciário. Diferenças sutis em termos como, por exemplo, correio eletrônico ou e-mail podem ter implicações jurídicas inesperadas.

A PSI é um contrato e deve seguir uma postura formal, clara e não deixar espaços para dúvida. Nesse momento pode ser importante o apoio de seu departamento legal ou mesmo de uma consultoria jurídica especializada.

5 – Atenha-se a sua realidade, mas pense no futuro

Obviamente sua PSI não será talhada em mármore. Não se preocupe em prever toda e qualquer mudança na tecnologia, processos ou estratégias da organização.

Uma boa prática é atualizar políticas pelo menos anualmente, nesse momento você pode analisar novamente o cenário corporativo, o negócio e as novas tendências de tecnologia e segurança da informação. Obviamente, mudanças extraordinárias quando for necessário não estão descartadas.

Neste momento TI, que em geral faz a redação da maior parte da PSI, pode ser muito bem ajudada pelas demais áreas envolvidas. Ater-se a realidade é essencial para uma política funcional.

Exigir que, por exemplo, toda comunicação telefônica da diretoria seja criptografada fica muito bonito no papel, mas se você não tiver uma tecnologia ou um procedimento de apoio será apenas mais um ponto da sua política que nunca vai ser seguido.

6 – Não proíba, controle!

Conforme mencionei em Segurança da Informação e a arte de não dizer não dialogar com o negócio é essencial. Muitas vezes quando implantamos uma PSI o documento final vem carregado de “não”, “proibido” e outras referencias que passam ao usuário a idéia que nada mais pode ser feito.

Isto pode levar a uma postura negativa ou mesmo de rebeldia. Na maioria absoluta dos casos acreditar que o usuário vai abrir mão de sua comodidade em prol da segurança da informação é uma receita bem comum para a ocorrência de incidentes.

Ninguém reclama quando um jogador de futebol utiliza as mãos e recebe um cartão amarelo ou mesmo é expulso. Certo, algumas vezes ficamos até com raiva da decisão do juiz, mas no fundo sabemos que ele está apenas aplicando as regras do jogo e bem.. bola pra frente.

Usuários devem compreender que as regras existem por um motivo claro, que protegem o negócio e muitas vezes até eles mesmos. A PSI e a área de segurança da informação representam apenas as regras do jogo e o juiz, respectivamente.

Tente explicar aos usuários os “comos” e os “porquês” da segurança da informação ao invés de dar um simples não.

7 – Crie um bom programa de conscientização e avaliação do conhecimento

A política deve demonstrar claramente o apoio e comprometimento da organização com a segurança da informação. Dito isso, não adianta ter o melhor dos documentos se este não for adequadamente comunicado e, especialmente, entendido pelos usuários da informação.

Conforme mencionado acima, a PSI normalmente deve ter um caráter formal. Isto é muito bom do ponto de vista jurídico, mas muitas vezes torna a leitura do documento maçante e o jargão técnico pode ser totalmente incompreensível para a maior parte dos usuários da informação.

Participei de excelentes iniciativas onde TI trabalhava junto dos departamentos pessoais e de marketing em campanhas que se utilizavam do lúdico para garantir que os usuários fixariam pelo menos o essencial da PSI. Utilize-se de cartilhas, palestras, apresentações teatrais, jogos, simulações e qualquer outro recurso que esteja disponível para sua organização.

Lembre-se: a freqüência, a repetição, a repetição, a repetição… isto é treinamento. Você não precisa de um calendário muito extenso. Eventos a cada três meses podem tornar a equipe menos disciplinadas em colaboradores conscientes de suas responsabilidades e caso isso falhe.. bem, o que mesmo eles ainda estão fazendo na sua empresa?

E que tal tornar sua campanha realmente eficiente? Nada melhor que medir o nível de conhecimento dos usuários antes e após a campanha. Essa informação pode servir como um termômetro do seu estado atual e direcionamento para futuros eventos e melhorias.

8 – Consultoria ou não? Eis a questão!

Existem inúmeras vantagens em utilizar consultores especializados para apoio no desenvolvimento da PSI. Consultores experientes possuem uma vivência maior e normalmente participaram de projetos similares em diferentes segmentos. Esse é o tipo de inteligência que pode reduzir drasticamente o tempo do projeto, ajudar na aceitação pelos usuários e evitar showstopers.

Em especial se segurança da informação não é a sua especialidade ou se você não tem recurso humano disponível o uso de uma boa consultoria pode sair bem mais barato do que você pensa tanto em termos de tempo como financeiros ou até mesmo dores de cabeça.

A lista acima obviamente não é exaustiva e talvez nem todos sejam adequados para sua organização. Mas se você quer que sua política de segurança da informação seja mais do que apenas um simples papel encaminhado uma vez ou outra para a auditoria, pense em utilizar parte desses conceitos.


Links e referências:

http://blog.iso27001standard.com/pt-br/2010/12/16/seguranca-da-informacao-ou-seguranca-de-ti/

http://gustavares.wordpress.com/2010/11/20/apoio-da-alta-direcao/