Patrocínio Natura
A política do bloqueia tudo funciona?
Editorial , Segurança / 22 de fevereiro de 2011

A ideia de escrever este artigo nasceu de uma conversa com a minha esposa, durante as últimas férias de verão, onde nossos filhos aproveitaram parte do tempo livre para uma visita ao nosso escritório. O tema “segurança da informação” surgiu quando a minha esposa fez uma observação curiosa a respeito do conteúdo que o meu filho de apenas 8 anos estava tentando acessar na internet: pornografia. “Vamos bloquear tudo nos computadores para que ele não tenha acesso a este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos executivos que levam quase tudo na emoção. Por exemplo, a organização identifica que um colaborador, funcionário ou prestador de serviços, está burlando a política de segurança da informação ou as normas internas. Vamos imaginar que este colaborador realiza acessos, constantemente, a sites não relacionados aos negócios da empresa – fotos das musas do carnaval, receitas de culinária, sites de relacionamento etc. O executivo resolve aplicar uma medida disciplinar para que todos na organização saibam que este tipo de comportamento não será tolerado. Porém, o executivo esqueceu que antes de tudo isso é necessário a implantação de campanhas de conscientização sobre segurança da informação e o código de conduta. Expliquei para…

Empresas ainda têm dificuldades com senhas de funcionários
Editorial , Segurança , Tecnologia / 3 de dezembro de 2010

É enorme o alvoroço dos funcionários quando recebem a política ou norma de segurança da informação, que diz, por exemplo, que todos devem alterar suas senhas a cada 45 dias. Nesse momento, os funcionários não pensam duas vezes antes de guerrearem contra os gestores. Em outras palavras, a resistência a mudanças é tão grande que os colaboradores travam um verdadeiro duelo contra a política de segurança da informação. É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política e norma de segurança da informação, mas a companhia cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança. Mas esse não é o único problema. Hoje temos a senha do internet banking, e-mail pessoal, corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, blog etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

Pornografia no PC da empresa: punição?
Editorial , Segurança / 29 de maio de 2010

Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo. Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação. Pornografia e o processo disciplinar Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português”. Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então”. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.

O que deve ser analisado ao se montar um departamento de segurança da informação.
Segurança / 17 de abril de 2010

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação). Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante. Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto. Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade. Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:

Investidores negociam compra de empresas de segurança da informação
Editorial , Segurança , Tecnologia / 5 de fevereiro de 2010

Se observarmos as principais empresas de segurança da informação, todas elas estão passando por uma reavaliação do modelo de negócios. Pode ser que já não faça tanto sentido oferecer apenas produtos “tudo em um”. Muitas empresas estão migrando determinados processos informatizados para ambientes de cloud computing, tendo como objetivo a redução de custos com energia, hardware, software, recursos humanos, móveis etc. Sendo assim, essas empresas não precisam mais comprar ou renovar tecnologias para proteção de um determinado processo da organização. O ambiente de cloud computing já oferece suporte a segurança da informação. Independente do modelo de negócio (produto ou serviço), as empresas que desenvolvem soluções de segurança da informação têm um fluxo de dinheiro bastante previsível, de modo que se tornam alvos ideais para investidores que buscam diversificar seus investimentos. Alguns dos fatores que mantêm o mercado de segurança da informação aquecido são as novas regulamentações e a necessidade de assumir projetos de alto risco para viabilizar novos negócios. Essa combinação – bom fluxo de dinheiro e a necessidade dos clientes – tem atraído a atenção dos investidores. Por outro lado, já se fala que o aquecimento do mercado poderia adiar a venda de uma consultoria ou fabricante de soluções…