CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

Leia mais

Cracker diz que essa fralda não está cheirando bem! E sim, isso é um problema de Segurança da Informação

Ok, até eu concordo: O assunto já está ficando batido. Sempre que escrevo sobre Segurança da Informação, invariavelmente acabo mencionando o quão usuários são avessos aos mais simples controles de segurança, mesmo que isso exponha os importantes ativos corporativos a riscos completamente desnecessários. Fato: #UsersHateSecurity!

Não considero uma cruzada pessoal, mas como profissional de SegInfo, gosto da ideia de, sempre que possível, colaborar com um mundo um pouco mais protegido, seja no ambiente profissional ou em nossas vidas pessoais, as constantes ameaças mostram que a escolha é simples: ou nos protegemos ou nos deixamos dominar por ameaças cada vez mais assustadoras e presentes. É por isso que gosto tanto de bons exemplos e os de hoje, com certeza, estão entre os melhores que já usei aqui.

Imagine a seguinte situação: Um jovem casal, que devido a vida moderna não tem tempo para cuidar do seu bebê de apenas 1 aninho, contratam os serviços de uma babá. Cientes de que o jovem infante é um dos principais ativos estratégicos do núcleo familiar, utilizam uma câmera IP para matar a saudade fazer monitoramento remoto e diminuir o risco de maus tratos por parte da referida ama-seca. Nada mais louvável.

Thats a really poopy diaper!
Thats a really poopy diaper!

Leia mais

Consumerização, BYOD e MDM: Indo além da sopa de letrinhas da mobilidade

CONSUMERIZAÇÃO E BYOD. Nos últimos meses esses talvez tenham sido os assuntos mais discutidos em todas as esferas corporativas da TI.

Se você ainda está se confundindo na sopa de letrinhas tenha calma, é fácil entender: Consumerização é a tendência que tecnologias desenvolvidas com foco no mercado consumidor adentrem a esfera corporativa como, por exemplo, smartphones e tablets. O BYOD (do inglês Bring Your Own Device) é a prática de se permitir o uso de dispositivos pessoais para trabalhar com informações da empresa.

 Ni! Peng! Neee-Won!
BYOD – O novo Santo Graal da tecnologia.

Da forma como o BYOD foi vendido é fácil compreender por que ele é visto como o Santo Graal da tecnologia: Empregados ficam mais felizes e produtivos com a flexibilidade e mobilidade de trabalhar no mesmo dispositivo em que jogam Candy Crush. Já a empresa economiza por não ter mais de investir na compra daqueles equipamentos obsoletos como notebooks e desktops.

Claro, em um mundo perfeito tudo seria ótmo! Entretanto, de volta a nossa realidade a ideia prover mobilidade e deixar que os usuários definam quais controles de segurança irão adotar é a receita perfeita para deixar qualquer CISO de cabelos em pé!

Sim, estou de cabelos em pé!
Sim, estou de cabelos em pé!

Somando as preocupações básicas como riscos legais, perda ou vazamento de informação, a falta de controle sobre aplicativos móveis, o número de malwares e a dificuldade de prover serviços e suportar a exponencialmente crescente variedade de dispositivos e sistemas operacionais fica claro o porquê do namoro com o BYOD não virar casamento.

Então podemos dizer que o uso de dispositivo pessoais no trabalho foi um fracasso estratégico? Nem tanto.

É preciso entender que essa questão vai muito além da tecnologia em si. Muitas organizações fazem uso do BYOD como estratégia de marketing, o que faz bastante quando vemos o perfil da nova geração de trabalhadores e estudantes recém graduados – que já nasceram em um mundo amplamente tecnológico e chegam ao ponto de afirmar que aceitariam ganhar menos se pudessem escolher com que dispositivo querem trabalhar e acessar redes sociais a qualquer momento.

É preciso compreender e saber absorver essa mudança do comportamento das pessoas no ambiente corporativo. Simplesmente fechar os olhos e achar que essa tendência vai passar é como usar um guarda-chuva para se proteger de uma bigorna. Só uma dica: Vai doer!

Só uma dica: Vai doer!
Só uma dica: Vai doer!

É nesse cenário que entram as tecnologias de gestão de dispositivos móveis (MDM –Mobile Device Management). De acordo com pesquisas da Gartner 65% das empresas devem adotar algum tipo de MDM até 2017.

A ideia com o MDM é separar dispositivos móveis em categorias: os fornecidos pela empresa, os aceitáveis e os não suportados. Desta forma, usuários passam a otimizar a tecnologia de acordo com suas necessidades e regras claramente definidas pelo negócio. Mas, como sempre, simplesmente acrescentar mais uma caixa no ambiente corporativo não é o suficiente.

Muito além da tecnologia, uma gestão efetiva e segura de dispositivos móveis deve começar com o estabelecimento de uma política forte servindo tanto para regular o que é permitido e proibido quanto como uma blindagem legal.

Obviamente, ter um inventário de todos os dispositivos móveis é essencial, pois não da para controlar e aplicar regras de segurança aquilo que sequer sabemos existir.

 

Ta.... ELE consegue impedir sim!
Ta…. ELE consegue impedir sim!

Por último e não menos importante o treinamento e a conscientização dos usuários é essencial para evitar erros, mau uso e qualquer dor de cabeça posterior. Claro, nesse momento sempre vão surgir os engraçadinhos que não aceitam a política de mobilidade da companhia. Bem, colaboradores da categoria Varelse podem continuar usando equipamentos modernos como um Motorola DynaTAC 8000X.

Segurança da Informação: Da Utopia a criação de uma cultura de proteção aos dados corporativos

Por volta do o ano de 1516, Sir Thomas More se viu fascinado pela descrição de Americo Vespucio do arquipélago paradisíaco brasileiro de Fernando de Noronha, e decidiu escrever sobre “um novo lugar onde haveria uma sociedade pura e perfeita”.

De optimo rei publicae statu deque nova insula Utopia traduz-se literalmente “Sobre o melhor estado da república e da nova ilha Utopia” e é comumente conhecido simplesmente por Utopia, a sociedade ideal, onde não há guerra, fome, pobreza, e – se Sir Thomas More tivesse nascido cerca de 500 anos mais tarde – sem incidentes de segurança da informação.

VUTOPIA - É bem ali.. depois de três quadras, dobra a esquerda, passa duas quadras, vira na padaria do Zé e é só seguir reto mais um ou dois Parsecs

Na sociedade utópica cada usuário está perfeitamente consciente de seus papéis e responsabilidades e, apesar de a segurança da informação (SI) ainda ser baseada na triade integridade, confidencialidade e disponibilidade (CID), os controles de segurança são focados apenas no fortalecimento da infra-estrutura contra eventos imprevisíveis e questões ambientais como um incêndio ou a velha e boa catástrofe natural.

Na Utopia não há necessidade de controles como, por exemplo, configurar requisitos de complexidade para senhas ou instalar um filtro web já que os próprios usuários sempre criam senhas complexas e usam o acesso à Internet somente para fins de trabalho.

Y U NO LESS BORING?
Que mundo chato! Voltemos a realidade atual!

Infelizmente cada dia nos leva um passo mais longe da utopia e a gestão de segurança da informação (GSI) tem de lidar com problemas comuns, tais como o surgimento de novos códigos maliciosos, vazamento de informações, hacktivismo e ao mesmo tempo derrotar o mais temível de todos os desafios: convencer o négocio e os usuários sobre a importância da segurança da informação como um ativo estratégico.

Dada a quantidade de espaço que a mídia tem usado para mostrar casos recentes de ataques realizados pelos autointitulados grupos hacktivistas como Anonymous e Lulzsec seria uma suposição bastante razoável que a maturidade corporativa sobre iniciativas de segurança também estaria aumentando. #Not!

awareness or not

A infeliz realidade é que, excetuando-se casos de empresas onde SI é mandatória (basicamente quando se é obrigado por alguma lei ou regulamentação) a maioria das organizações ainda têm um nível de maturidade pobre e prefere lidar com incidentes a “moda antiga”: SER REATIVO.

Qualquer literatura recente, incluindo normas como a ISO 27001, define Segurança da Informação como a “preservação da confidencialidade, integridade e disponibilidade das informações, além disso, outras propriedades, como autenticidade, não repúdio, responsabilidade e confiabilidade podem também estar envolvidos”. Estes aspectos certamente são importantes, porém não devem ofuscar o fato de que a tríade CID é suportada e dependente de processos, pessoas e tecnologia.

Esta “pequena” falha de entendimento pode levar a lacunas na proteção de ativos de informação, afinal, a SI tem um escopo muito mais abrangente do que IT Sec e até mesmo a melhor tecnologia não será capaz proteger a sua empresa quando o CFO tem uma senha “escondida” sob o seu teclado que é compartilhada com sua secretária de confiança.Do ponto de vista do business a SI não faz a operação ser mais fácil ou barata, mas certamente torna o negócio possível em um ambiente em constante evolução e com uma crescente variedade de ameaças.

CIDxPPT
CID x PPT

Desde seus primórdios, a segurança da informação tem sido intimamente associada com tecnologia, incluindo firewalls, IPS, IDS e todo um universo siglas que representam softwares ou appliances que visam a proteger a infra-estrutura e seus dados eletrônicos. Este fato vem de um erro bastante comum: confunir segurança da informação (SI) com segurança de tecnologia da informação (IT Sec).

Esta série de artigos tem como foco um dos aspectos-chave da gestão de segurança da informação: a criação de um programa de conscientização sobre segurança da informação que efetivamente permita a todos os níveis da organização compreender e cumprir o seu papel na proteção dos ativos de informação.

É preciso compreender que não existe necessidade de se criar uma “sociedade utópica”. Entretanto, um programa de conscientização de sucesso deve garantir o florescimento de uma cultura corporativa que abrange a protecção de dados para cada pessoa – desde a alta direção até estagiários, funcionários temporários e terceiros – que tem acesso ou manuseiam ativos de informação da empresa durante seu ciclo de vida.

A única maneira para se garantir o sucesso desta empreitada é ter a participação ativa da alta direção: Não basta ser comprometido, é preciso parecer comprometido. Outro ponto essencial é reunir as demais partes interessadas em departamentos como Recursos Humanos, Marketing e Jurídico.  Desta forma, garantimos que não há falta de conhecimento sobre as disciplinas não inerentes a área de SI ou das equipes de TI, especialmente de comunicação interna e iniciativas de marketing.