Postado por Plinio Cruz em 29 de maio de 2010 na categoria Editorial, Segurança | 
Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo.
Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação.
Pornografia e o processo disciplinar
Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português”.
Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então”. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.
Voltando ao comitê de segurança da informação, as discussões sobre o assunto são polêmicas. Por exemplo, caso alguém veja as fotos do carnaval de 2010, onde a passista está com os seios de fora, a organização irá:
Opção 1 – aplicar uma medida disciplinar educativa. Ou seja, só vai conversar com a pessoa para não fazer mais isso. Será que isso funciona no Brasil? Acredito que não.
Opção 2 – aplicar uma medida disciplinar corretiva. Agora a coisa é formal. Vai ficar documentado no RH que o infrator viu os seios de uma passista no carnaval de 2010 usando um recurso da empresa. Mas e se o infrator for terceirizado? Olha só o assunto esquentando, no bom sentido.
Opção 3 – a organização resolve dispensar o infrator. Isso mesmo, o infrator é demitido. Mas será demitido “sem justa causa” ou “por justa causa”? O assunto está esquentando mais ainda.
Opção 4 – Deixa para lá porque quem está acessando é alguém da alta diretoria. Ei, não é brincadeira não! Tem empresa que discute até isso. Uma vez bloqueamos o acesso ao conteúdo pornográfico de uma grande organização.
Vale até para o presidente
O presidente dessa empresa convocou uma reunião com a equipe do projeto. É lógico que eu pensei: vamos receber um elogio pelo sucesso do projeto. Porém, o executivo, dono da empresa, explicou para a equipe toda que uma das maneiras dele tirar o estresse era acessando páginas pornôs. Não vale dar risada agora, você está na frente do presidente da empresa.
E não parou por ai. Ele deixou bem claro que quem estava pagando o salário de todo mundo era ele. Sendo assim, ou as páginas pornográficas eram liberadas para ele ou sei lá o que ele quis dizer. Conclusão, eu fui para outro projeto porque não criamos exceção.
Existem mais opções ainda. Por exemplo, não vamos fazer nada porque ver os seios das passistas do carnaval de 2010 é comum no Brasil. Porém, vamos continuar o assunto porque tem muita coisa para discutirmos no comitê de segurança da informação. E olha só que legal, o comitê é de segurança da informação, mas estamos discutindo sobre o processo disciplinar, que é do RH e do Jurídico.
Outro exemplo: quando o colaborador acessar a página do Paparazzo para ver as fotos sensuais das últimas gatas do Big Brother Brasil ou ver algum ensaio masculino, o que a empresa vai fazer? Quais das opções acima você escolheria? A tarefa não é nada fácil para os responsáveis pelo comitê de segurança da informação.
Existem aqueles colaboradores que compram revistas pornográficas e vão “ler” no banheiro da empresa. O que fazer neste caso? Não podemos instalar câmeras no banheiro para detectar desvios na política de segurança da informação. Esse assunto também é discutido nos comitês de segurança da informação.
As coisas em seus devidos lugares
Cada empresa vai agir de um jeito. O departamento de Recursos Humanos, em parceria com o Jurídico, deve liderar a discussão desse assunto no comitê de segurança da informação.
A política de segurança da informação deve fazer referência à norma interna ligada ao processo disciplinar da organização.
A norma de uso dos recursos computacionais móveis (notebooks, pen drive, celular corporativo etc) deve fazer referência à norma interna relacionada ao processo disciplinar da organização.
A norma sobre o correio eletrônico (e-mail) deve citar a norma interna referente ao processo disciplinar da organização.
E não se esqueça: durante o processo de conscientização de todos os colaboradores da sua organização, apresente nas palestras como funciona o processo disciplinar da empresa. O efeito psicológico funciona melhor do que qualquer tecnologia de segurança da informação.
Fonte: http://blog.dennyroger.com.br/2010/05/27/pornografia-no-pc-da-empresa-punicao/
Postado por Plinio Cruz em 17 de abril de 2010 na categoria Segurança |
Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação).
Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante.
Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.
Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade.
Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:
• Ele possui experiência em disciplinas mais amplas, como banco de dados e desenvolvimento de software, utilizando recursos de segurança da informação muito básicos.
• Não possui um histórico de participação em palestras/eventos ou treinamentos sobre segurança da informação.
• Desconhece padrões internacionais de segurança da informação (por exemplo, ISO 27002) e não acompanha os boletins sobre as novas ameaças na internet.
• Realiza a leitura apenas de livros relacionados a tecnologias de banco de dados e linguagens de desenvolvimento de software.
• Possui curso superior de tecnologia em banco de dados, MBA em Gestão de Tecnologia da Informação e certificações da Microsoft e da Oracle.
Você conseguiu adivinhar qual era o papel dele na empresa? Isso mesmo! Ele era o responsável pela administração do banco dados. Agora, ele é o Gerente de Segurança da Informação.
Terceiro: algumas empresas criam um departamento de segurança da informação para fazer gestão de acesso ao ambiente computacional. Ou seja, criar usuários, alterar senhas, configurar permissões em diretórios etc. Tudo isso para atender regulamentações ou auditorias.
Quarto: criar um departamento de segurança da informação subordinado à área de Tecnologia da Informação é o erro mais comum das organizações.
A área de segurança deve estar alinhada ao departamento jurídico e à auditoria no organograma. A área de segurança da informação subordinada ao diretor de TI funciona mais como um suporte técnico do que uma área responsável pelo Sistema de Gestão da Segurança da Informação.
Fatores de sucesso
O sucesso da sua empresa não está ligado ao arsenal tecnológico. Existem alguns fatores que devem ser considerados ao decidirmos criar uma equipe de segurança da informação e implementar um Sistema de Gestão da Segurança da Informação. O primeiro fator é obter a aprovação dos gestores da organização para iniciar o projeto de implantação do Sistema de Gestão da Segurança da Informação.
Nesta fase, a equipe de projetos apresenta as prioridades e objetivos e escopo para a implantação do Sistema de Gestão da Segurança da Informação. Deve também discutir uma alteração na estrutura organizacional da empresa, incluindo responsabilidades, para atender aos objetivos do projeto e às necessidades de negócio.
O produto final desta fase é a aprovação e o comprometimento dos gestores para a implementação do Sistema de Gestão da Segurança da Informação.
O segundo fator é o desenvolvimento do diagnóstico e análise do nível de maturidade. Durante esta fase, mapeamos a situação atual da organização e apresentamos uma relação de melhorias necessárias nos processos de segurança da informação para estruturarmos uma ligação entre o planejamento estratégico da organização e a implementação do sistema de de segurança.
O terceiro aspecto é a criação de um Comitê Interdepartamental para o desenvolvimento da política e normas de segurança da informação, incluindo apoio do conselho administrativo e/ou da alta direção, baseada nas diretrizes da Governança da Segurança da Informação, necessidades de negócio e regulamentações.
Com o apoio da cúpula
A criação de uma equipe de segurança da informação e a definição de suas responsabilidades depende, principalmente, das diretrizes estabelecidas pelo conselho administrativo e/ou diretores. Essas diretrizes devem estar documentadas na política de Governança da Segurança da Informação.
A Governança da Segurança da Informação irá esclarecer aos gestores sobre os objetivos estratégicos da empresa, em relação à segurança da informação, e apresentará uma lista dos requisitos legais/regulamentações, o que envolve requisitos contratuais de segurança da informação aplicáveis ao negócio.
A combinação dos três fatores ajudará sua empresa na criação de uma equipe de segurança da informação e na implantação de um Sistema de Gestão da Segurança da Informação.
Por Denny Roger
Postado por Plinio Cruz em 16 de abril de 2010 na categoria Segurança |
Mais de 50% das empresas de Serviços Financeiros não usam dispositivos de detecção de intrusos em seus sistemas. Dados como este foram apontados no estudo Privacy & Data Protection Practices: a Benchmark Study of the Financial Services Industry, realizado pela Compuware, empresa líder em monitoramento de aplicações com foco em usuários finais, em parceria com o Ponemon Institute – órgão de pesquisa especializado em políticas de segurança e proteção de dados e informações.
O estudo detectou seis áreas principais de vulnerabilidade na privacidade e segurança de dados para a indústria de Serviços Financeiros: risco de violação de dados, diminuição da fidelidade e confiança do cliente, pessoas internas mal-intencionadas ou negligentes, risco de terceirização de dados confidenciais, não-cumprimento das normas e controle ineficiente de privacidade e informação.
Para chegar a estes dados, foram entrevistados diretores de Segurança da Informação (CISO – Chief Information Security Officer), de Segurança (CSO – Chief Security Officer) e de Privacidade (CPO – Chief Privacy Officer), entre outros pares, de 80 organizações multinacionais do setor de Serviços Financeiros. As respostas revelaram áreas de vulnerabilidade ou não-cumprimento das normas, como a que aponta que 83% das empresas entrevistadas usam dados reais no desenvolvimento e teste de aplicações.
Estudos da Forrester Research ajudam a entender os impactos destes riscos à reputação das empresas. Segundo o relatório Your Enterprise Database Security Strategy 2010, divulgado em setembro de 2009, apenas uma invasão em dados, como número de cartão de crédito dos clientes, pode causar um dano imenso à reputação de uma empresa. E, ainda, trazer consequências mais graves, como ações judiciais e multas.
“Investir em soluções que proporcionem armazenamento seguro dos dados dos clientes é o melhor caminho para fidelizá-los, proteger a reputação da empresa e ainda evitar impactos negativos”, afirma Arnaldo Murasaki, country manager da Compuware no Brasil. “Buscamos oferecer soluções de privacidade de dados que sejam eficientes para nossos clientes, que incluem as principais instituições financeiras do mundo. Assim, ajudamos seus times de TI a testar efetivamente importantes aplicações de negócios, enquanto ainda sustentam a confiança que os consumidores depositam em seus negócios”, explica o executivo.
Em adição a essa área de vulnerabilidade, a pesquisa do Ponemon encontrou outras áreas de risco à segurança de dados pouco notadas, incluindo:
- Procedimentos legais de identificação – (usado por apenas 56% das empresas entrevistadas);
- Sistemas de detecção de intrusos (usado por apenas 47% das empresas entrevistadas);
- Tecnologia de prevenção contra perda de dados – DLP (usada por apenas 41% das empresas entrevistadas);
- Uso de dados como CPF – (88% dos entrevistados ainda usam esse dado como o principal identificador).
O relatório também levantou que 60% das organizações possuem um diretor de privacidade (CPO). Entretanto, 50% afirmam que não possuem recursos suficientes para alcançar suas metas. “Uma das coisas mais importantes que uma empresa pode fazer para assegurar seu sucesso futuro é consertar as falhas em suas políticas de segurança. Especialmente nas áreas críticas demonstradas no estudo,” disse Larry Ponemon, PhD do Ponemon Institute. “Já podemos ver um grande progresso neste sentido, mas ainda há um longo caminho a ser percorrido”, acrescenta.
A Compuware oferece uma solução completa de privacidade de dados para ajudar empresas a protegerem suas informações, oferecendo segurança aos ambientes de teste e produção. Com sua aplicação é possível cifrar, embaralhar, traduzir, gerar, envelhecer, analisar e validar dados de teste. A solução ainda permite uma gravação eficiente da atividade interna autorizada entre os usuários e a aplicação, protegendo os dados contra ataques internos.
O estudo Privacy and Data Protection Practices: Benchmark Study of the Financial Services Industry foi um projeto de três meses, finalizado em outubro de 2009. O instrumento de pesquisa comparativa foi projetado para coletar informações descritivas sobre as práticas de proteção de privacidade de dados feitas por empresas do setor. No total, 80 empresas com mais de 500 funcionários foram selecionadas para análise no relatório.
As empresas representadas são na maioria grandes companhias financeiras multinacionais, com base na América do Norte. Isso incluiu organizações bancárias e de investimento, corretagem, seguros, cartões de crédito e hipoteca.
Fonte: S2 Comunicação Integrada
Postado por Plinio Cruz em 5 de fevereiro de 2010 na categoria Editorial, Segurança, Tecnologia |
Se observarmos as principais empresas de segurança da informação, todas elas estão passando por uma reavaliação do modelo de negócios. Pode ser que já não faça tanto sentido oferecer apenas produtos “tudo em um”. Muitas empresas estão migrando determinados processos informatizados para ambientes de cloud computing, tendo como objetivo a redução de custos com energia, hardware, software, recursos humanos, móveis etc. Sendo assim, essas empresas não precisam mais comprar ou renovar tecnologias para proteção de um determinado processo da organização. O ambiente de cloud computing já oferece suporte a segurança da informação.
Independente do modelo de negócio (produto ou serviço), as empresas que desenvolvem soluções de segurança da informação têm um fluxo de dinheiro bastante previsível, de modo que se tornam alvos ideais para investidores que buscam diversificar seus investimentos. Alguns dos fatores que mantêm o mercado de segurança da informação aquecido são as novas regulamentações e a necessidade de assumir projetos de alto risco para viabilizar novos negócios. Essa combinação – bom fluxo de dinheiro e a necessidade dos clientes – tem atraído a atenção dos investidores.
Por outro lado, já se fala que o aquecimento do mercado poderia adiar a venda de uma consultoria ou fabricante de soluções de segurança da informação porque os novos contratos, assinados agora em janeiro, valorizam ainda mais o valor de venda da empresa. O crescimento da carteira de clientes e aumento da receita estava previsto para março. Porém, a retomada dos projetos pré-crise e o aumento do orçamento para segurança da informação contribuíram para que as previsões fossem antecipadas para fevereiro.
Um segundo fator está atrasando a concretização de venda das empresas de segurança da informação. A empresa ou investidor que faz a oferta de compra de uma empresa de segurança da informação tem dificuldades em calcular quanto vale o poder de inovação da organização. Por exemplo, avaliando a contabilidade e mais alguns dados de mercado, o possível comprador oferece R$ 10 milhões pela empresa. Porém, essa empresa está desenvolvendo uma idéia ou produto que, futuramente, ajudará no crescimento acelerado da receita e na expansão do negócio. O valor “real” da empresa pode chegar a R$ 17,5 milhões graças ao poder de inovação. Mas na prática, calcular tudo isso e justificar o valor relacionado ao poder de inovação têm sido um dos principais desafios durante a negociação da venda.
A compra de uma consultoria ou fabricante de soluções de segurança pode trazer ganhos financeiros mais rápidos, em comparação aos investimentos realizados em ações na bolsa de valores. Porém, o risco para o investidor ou comprador é muito maior. O aquecimento da economia, o surgimento de novas regulamentações, leis, normas internacionais, o aumento das ameaças na internet, a informatização dos processos de negócio etc, criaram o cenário ideal para quem busca uma boa oportunidade de negócio. Esta é uma potente combinação que tem atraído a atenção de investidores, mas como saber quais empresas de segurança da informação estão à venda?
Por Denny Roger
Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.
Postado por Plinio Cruz em 3 de fevereiro de 2010 na categoria Editorial, Segurança, Tecnologia |
A CFSEC Security Architects, uma das principais empresas brasileiras que busca e desenvolve novos pontos de vista sobre Segurança da Informação, tem à sua frente, desde sua fundação em 2001, Nelson Corrêa. Desde 2005, o executivo tem conscientizado as empresas sobre como as inovações biométricas podem aumentar a segurança ou agregar valor aos softwares desenvolvidos. Ele também comenta, nesta entrevista exclusiva a EPSEC, suas experiências sobre a criação de uma escala de maturidade para a gestão da segurança, o crescimento do uso da biometria no Brasil e os desafios para estruturar uma área de segurança da informação. Conversamos com Nelson Corrêa sobre sua brilhante carreira e o perfil do profissional que atua na área de segurança da informação. Acompanhe a entrevista completa.
