A maturidade da segurança da informação

Publicado em 23/fevereiro/2010 por Marcelo Adães

Ao longo de mais de onze anos atuando com Segurança da Informação (SI) e infra-estrutura de Tecnologia da Informação e Comunicação (TIC), tive a oportunidade de observar a evolução das tecnologias de SI, bem como a maturidade dos processos relativos a SI em centenas de empresas clientes e parceiras nas quais tive contato.

Com o passar do tempo, tornou-se claro que cada empresa encontra-se em um grau diferente de maturidade da sua cultura, processos e estrutura de SI. Com base nessas constatações, é possível desenhar o esboço de um padrão evolutivo onde identificam-se cinco estágios ou degraus de evolução da gestão em SI, que são determinados pela cultura de empresa, pelos objetivos, necessidades e restrições de negócio, e pela experiência do gestor de TI ou de SI. Além da evolução gradual dessa cultura e experiência, não raro um incidente de segurança da informação desperta a empresa para a necessidade de melhoria de sua gestão de SI, gerando a motivação necessária para se avançar para o próximo degrau.

Maturidade do processo de Segurança da Informação

Segurança Reativa (ou fase do feijão-com-arroz)

A segurança reativa é a fase onde a empresa está focada apenas nas soluções de tecnologia, e onde os controles técnicos básicos fundamentais de SI são implementados, destacando-se os três controles mais difundidos e implementados: backup, antimalware e firewall. Existe também nessa fase uma preocupação com o conteúdo acessado pelos usuários, através soluções (ainda técnicas) de controle de conteúdo web (filtro de URL) e antispam, com enfoque maior em produtividade da força de trabalho do que na SI propriamente dita.

Resolvidos os controles básicos de SI, também nessa fase encontramos a análises de vulnerabilidade, frequentemente utilizada como uma forma de justificar investimentos em SI e TIC, esperando-se que a análise de vulnerabilidades consiga “mostrar para a diretoria como estamos vulneráveis”. É a técnica de “assustar” a gestão da empresa.

Essa é a fase do “apagar incêndio”. Não existem métricas relativas a segurança da informação, os investimentos não são coordenados, e não existe uma política de segurança da informação de fato. Não é incomum nessa fase a alta gestão da empresa não ter plena confiança na experiência e conhecimentos técnicos do seu quadro interno responsável pela infra-estrutura de TIC em virtude das frequentes indisponibilidades do ambiente e da percepção de gestão por eventos, ou reativa, da SI. É frequente nesses casos a alta gestão da empresa buscar auditorias externas para validar os investimentos realizados e até a estrurua do setor de TIC.

Também nessa primeira etapa é comum que a gestão de SI seja exercida pelo setor de TIC, e que a maior preocupação com SI seja a disponibilidade dos serviços de TIC, com menor ênfase na integridade e preocupações pontuais e setoriais com a confidencialidade.

Políticas, Normas e Acordos (ou fase documental)

Nessa fase tem-se um entendimento mair de que a SI não será administrada apenas com tecnologia; começa-se a perceber a importância do fator humano, jurídico e normativo. Já fica evidente a necessidade de instrumentos de comunicação com os usuários, respaldo jurídico e processos internos de responsabilização e punição. Muitas empresas despertam para o fato que a informação a ser protegida não está apenas em formato eletrônico, mas encontra-se em mesas, gavetas, armários e nas mentes das pessoas.

São então desenvolvidas documentos de Política de SI, Acordo de Confidencialidade para funcionários e prestadores de serviço, normas de uso da Internet e e-mail, Termo de Responsabilidade, Manual de SI e documentos correlatos. Encontramos também a adoção de cláusulas contratuais com fornecedores, clientes ou prestadores de serviço que confidencialidade confidencialidade, e monitoramento de uso de recursos de processamento de informação.

Não necessariamente todos esses controles citados são implementados, e nem sempre na sua melhor forma. Por exemplo, é comum o desenvolvimento de Políticas de SI sem a participação das áreas de RH, Jurídico ou da alta direção, o que diminui a possibilidade do estabelecimento de uma política de fato.

Já nessa fase é útil referenciar-se a norma ISO 27002 de segurança da Informação (http://en.wikipedia.org/wiki/ISO/IEC_27002) para auxiliar na definição dessa documentação.

Análise de Risco

A Análise de Risco tem o potencial para ser um divisor de águas na gestão da segurança da informação da empresa.

A Análise (ou Avaliação) de Risco difere da Análise de Vulnerabilidade pois leva em consideração a importância do ativo analisado para os processos de negócio e os objetivos da organização. Em termos simples, como diferenciamos o risco entre, por exemplo, dois servidores de arquivos (file servers) que tem o mesmo sistema operacional, estão no mesmo ambiente físico, possuem os mesmos patches, mas um é utilizado apenas para armazenar documentos históricos para uma consulta eventual, e o outro armazena documentos utilizado no dia-a-dia dos processos, com milhares de acessos e atualizações por dia? Nesse caso o risco é calculado através do impacto de negócio em caso do comprometimento da disponibilidade, integridade ou confidencialidade desses servidores. Eles tem a mesma probabilidade de sofrer um ataque de hacker ou uma falha física, mas cada um trará um impacto diferente para a organização.

Ao contextualizar a análise para os processos e objetivos de negócio através de uma avaliação qualitativa do índice de risco por ativo de informação, alcançamos vários benefícios como:

  • Priorização de investimentos baseado em necessidades de negócio
  • Comunicação adequada da importância real de cada ativos de informação à alta direção da empresa
  • Indicadores de acompanhamento de risco, que serão ser utilizados para gerir o SGSI
  • Aprimoramento da segurança da informação e continuidade de negócio

Isso altera substancialmente a percepção e a confiança da alta direção da empresa nos processos e investimentos em infra-estrutura de TIC e em SI, permitindo ao CIO ou CSO compartilhar a responsabilidade desses investimentos com a alta direção.

Gestão do Risco

Por Gestão do Risco entende-se não apenas a implementação de controles para mitigar os riscos identificados na Análise de Risco, mas também calcular o risco residual e até mesmo permitir que a direção da empresa aceite riscos, ou seja, formalize o conhecimento dos riscos identificados e que não pretende no momento investir recursos na mitigação do risco, mas conviver com o mesmo temporariamente ou indefinidamente. Obviamente só é possível para a Direção da empresa assumir riscos caso exista uma visão clara e transparente do impacto dos mesmos ao negócio, o que é uma premissa da Análise de Risco.

A seleção de controles marca uma maior maturidade do processo de gestão da SI ao ampliar o leque de soluções antes apenas tecnológicas para envolver também processos, pessoas e ambiente.

Uma boa referência para seleção de controles de gestão de riscos é a norma ISO 27002 (http://en.wikipedia.org/wiki/ISO/IEC_27002) que fornece mais de 130 melhores práticas de controles de SI como: processo de classificação da informação; acordos; registros de auditoria; gestão de continuidade de negócio; definição de responsabilidades; identificação de legislação aplicável vigente; processo disciplinar; política de mesa limpa e tela limpa; e dezenas de outros.

Gestão da Segurança da Informação

Aqui temos o processo formal que estabelece um Sistema de Gestão de Segurança da Informação (SGSI ou ISMS) baseado na família de normas 27000 (http://en.wikipedia.org/wiki/ISO/IEC_27000-series), especialmente na ISO 27001:

 

Ao estabelecer um SGSI, estamos finalmente prontos para buscar a certificação na norma ISO 27001, adequando a empresa às normas internacionais de SI, permitindo aumentar a confiabilidade do nome da empresa, atestando ao mercado que as informações são tratadas atendendo às melhores orientações e práticas.

Em qual das fases acima a sua empresa está? Qual será seu próximo passo?

Filed under: Gestão, Segurança da Informação | Etiquetado: , , , , , , , , , | 3 Comentários »

Segurança Digital para Jovens e Crianças

Publicado em 04/fevereiro/2010 por Marcelo Adães

“Um mundo seguro para troca de informações digitais”

Essa é a visão da Trend Micro, uma das maiores empresas do mundo de Segurança da Informação. Realmente é um sonho motivador e desafiador. Mas o impacto da busca por esse sonho transpõem as fronteiras da área de atuação de uma empresa .com para motivar e desafiar indivíduos e a sociedade. A “troca de informações digitais” é um termo tão amplo e descreve práticas tão arraigada no nosso dia-a-dia, que provavelmente não percebemos quanto. Mais difícil ainda de perceber e mensusar é o quanto essa incursão do mundo diginal na sociedade tem modificado a forma de crescer e aprender das crianças e jovens.

“Mãe, e-mail é uma coisa tão antiga!”, disse uma adolescente de 13 anos de idade, que participa de pelo menos 4 redes sociais, usa SMS e MMS, Messenger, faz download ilegal diário de música e filmes através de P2P Ares (“eMule é coisa velha”), tem um iPod Touch e um PC. Não estamos falando de uma “nerd”. Essa mesma adolescente gosta de esportes, atividades ao ar livre, é ótima aluna e se socializa muito bem com os amigos e com a família.

Não tenho condições de precisar o peso que a “troca de informações digitais” tem na formação cultural, intelectual e social dessa jovem e da sua geração. Mas posso intuir que isso muda radicalmente a percepção que ela está criando, já nessa idade, sobre o mundo e sobre a vida em sociedade. Essa mudança é rápida e visível. Me assusta a distância digital que está se formando entre essa geração e as gerações anteriores. Se você não trabalha diretamente com Tecnologia da Informação e Comunicação, a velocidade com que você está permitindo que a sua vida incorpore novas tecnologias é muitas vezes mais lenta do que a da jovem do exemplo. E ela não é uma exceção, mas regra.

O YouTube cresce a 20 horas de vídeo por minuto (http://bit.ly/KlLQ2). No Youtube, só nos últimos 60 dias, fora postados mais horas de vídeo do que as três maiores redes de TV americanas transmitiram em 60 anos (http://bit.ly/6kL6Xd). O Wikipedia tem mais de 538.000 artigos em Português, mais de 3 milhões em Inglês, e é tão precisa quanto a Enciclopédia Britânica (http://bit.ly/oqUg) a maior referência mundial em qualidade de enciclopédias, que só tem 228.274 tópicos (http://bit.ly/90Ebxe). O Twitter é o mair fenomeno de crescimento na Web dos últimos anos. Em conjunto com outras redes sociais, fez a diferença na eleição de Obama (http://vimeo.com/7870206). Tweets já salvaram vidas, foram usados como provas em processos criminais, protestos políticos e já foram postados diretamente da ISS, no espaço (http://bit.ly/JVsI). Isso não é o futuro da revolução digital, mas o presente. Nesse futuro ”você é o que você compartilha” (http://bit.ly/cGb3DY). Você está participando disso?

Essa é a realidade do mundo em que os jovens estão aprendendo a viver. Quem vai guiá-los nessa realidade? Ensinar o que é certo e o que é errado? Você está preparado para isso?

Imagine o quanto é fácil perder a confiança do seu filho/sobrinho/aluno no que diz respeito a assuntos do cyberespaço, simplesmente porque ele/ela é mais fluente do que você nesse território. Isso não só principia a tal distância digital, mas a alimenta a cada interação onde você deixa transparecer o quanto está longe desse mundo. Como você pode guiar alguém por um terreno que você desconhece? Você se acha um bom guia? Você passa segurança? Seu filho/sobrinho/aluno vai confiar em você? Por isso é tão fácil não prestar atenção no que está acontecendo, não monitorar, não participar, deixando o jovem desbravar esse território sozinho, imaginando que você não conseguirá acompanhá-lo, ”pois as almas deles residem na morada do amanhã, que vocês não podem visitar nem mesmo em sonhos” (Kahlil Gibran).

O problema é que esses meios de comunicações e tecnologias não são nada mais do que novas formas de conectar pessoas e conteúdo, mas as pessoas são as mesmas do mundo real e os conteúdos, como no mundo real, podem ser impróprios para os jovens e crianças. Essa nova forma de conectar e compartilhar é fantástica, abre milhões de novas possibilidades, para o bem e para o mal. Veja o caso da mãe que descobriu pela mudança de comportamento do filho de 14 anos de idade e através da investigação dos registros de conversas de chat, o estupro realizado por um adulto de 26 anos no Rio de Janeiro, em 20/Janeiro/2010: http://bit.ly/dxiwrs.

O caminho é conhecer, conversar, entender, orientar, aprender, dar as mãos, acompanhar. Mas nós também precisamos de orientação para orientar.

Um bom ponto de partida é o site de Segurança na Internet para as Crianças e sua Família (http://bit.ly/cHsBWD), que identifica e classifica os riscos para jovens e crianças, além de fornecer dicas e orientações úteis sobre ações e precauções possíveis.

Conteúdo inadequado  

  • Pornografia
  • Violência, autodestruição
  • Conteúdo Inexato ou Extremo

Conteúdo indesejado     

  • Assédio sexual
  • Intimidação por colegas

Propaganda agressiva ou indesejada     

  • Mistura de conteúdo e propaganda
  • Pedido de informações pessoais em troca de premiações (que levam a spam ou propagandas indesejadas ou mal intencionadas)

Ameaças web veladas     

  • Spyware
  • Ataque de hacker
  • Vírus
  • Outros softwares maliciosos

Compartilhamento de Informações pessoais/particulares     

  • Que podem ser usadas por alguém com más intenções
  • Que podem afetar a reputação do jovem

Comentários depreciativos sobre outros     

  • Comentários difamatórios, perversos, racistas
  • Intimidação de colegas, amigos, parentes

Compartilhamento de arquivo involuntário ou ilegal     

  • Músicas, vídeos, jogos e outros arquivos  por meio de serviços P2P ilegais ou que não estão corretamente configurados

 Abaixo 10 dicas simples e úteis. Avalie as que melhor se adequam a você e a sua família.

  1. Mantenha o computador em área comum
  2. Combine um limite de tempo para uso da Internet
  3. Mantenha atualizado seu antivírus/antispyware/antispam
  4. Para crianças pequenas, crie a lista de favoritos
  5. Use uma ferramenta de filtro de conteúdo (filtro de URL)
  6. Converse com seus filhos sobre fornecer informações pessoais on-line
  7. Oriente seus filhos a ignorar contato com pessoas que nunca encontrou (não fale com estranhos)
  8. Verifique o histórico do navegador e o arquivo de histórico do messenger
  9. Oriente a utilizar apelidos e não o nome real
  10. Ensine a ter respeito com os outros também on-line

No guia (vai o link de novo: http://bit.ly/cHsBWD) você encontrará mais dicas e mais explicações.

Converse com pessoas que conhecem essas tecnologias, pesquise, aprenda, se interesse, navegue junto com seu filho. Dê informação e orientação. E compartilhe esse artigo com outros pais/tios/professores.

Filed under: Segurança da Informação, Sociedade e Sustentabilidade | Etiquetado: , , , , , , , , , , | Deixar um comentário »

  • Calendário

    • janeiro 2012
      S T Q Q S S D
      « fev    
       1
      2345678
      9101112131415
      16171819202122
      23242526272829
      3031  

  • Blogroll

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.