Patrocínio Natura
A política do bloqueia tudo funciona?
Editorial , Segurança / 22 de fevereiro de 2011

A ideia de escrever este artigo nasceu de uma conversa com a minha esposa, durante as últimas férias de verão, onde nossos filhos aproveitaram parte do tempo livre para uma visita ao nosso escritório. O tema “segurança da informação” surgiu quando a minha esposa fez uma observação curiosa a respeito do conteúdo que o meu filho de apenas 8 anos estava tentando acessar na internet: pornografia. “Vamos bloquear tudo nos computadores para que ele não tenha acesso a este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos executivos que levam quase tudo na emoção. Por exemplo, a organização identifica que um colaborador, funcionário ou prestador de serviços, está burlando a política de segurança da informação ou as normas internas. Vamos imaginar que este colaborador realiza acessos, constantemente, a sites não relacionados aos negócios da empresa – fotos das musas do carnaval, receitas de culinária, sites de relacionamento etc. O executivo resolve aplicar uma medida disciplinar para que todos na organização saibam que este tipo de comportamento não será tolerado. Porém, o executivo esqueceu que antes de tudo isso é necessário a implantação de campanhas de conscientização sobre segurança da informação e o código de conduta. Expliquei para…

Empresas ainda têm dificuldades com senhas de funcionários
Editorial , Segurança , Tecnologia / 3 de dezembro de 2010

É enorme o alvoroço dos funcionários quando recebem a política ou norma de segurança da informação, que diz, por exemplo, que todos devem alterar suas senhas a cada 45 dias. Nesse momento, os funcionários não pensam duas vezes antes de guerrearem contra os gestores. Em outras palavras, a resistência a mudanças é tão grande que os colaboradores travam um verdadeiro duelo contra a política de segurança da informação. É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política e norma de segurança da informação, mas a companhia cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança. Mas esse não é o único problema. Hoje temos a senha do internet banking, e-mail pessoal, corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, blog etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

A empresa bloqueou as redes sociais, e gerou uma rebelião entre os funcionários
Editorial , Segurança / 22 de outubro de 2010

Poucas horas após a implantação de um novo mecanismo de segurança da informação, funcionários buscam desesperadamente idéias para driblar o novo controle interno, desvalorizando as políticas e normas que devem ser seguida por todos. Funcionária burlou proibição e atualizou Orkut com ajuda de amiga, que recebeu pelo e-mail corporativo login e senha do site Essa é a realidade na maioria das empresas. Mas vamos entender melhor os fatores que motivam essa guerra interna. “Bloquearam o meu acesso às redes sociais” Diante de novas ameaças na internet e a baixa produtividade de alguns colaboradores, a diretoria de uma organização começou a agir. A ordem foi para bloquear todo e qualquer acesso as redes sociais. O caso aconteceu no ano passado. O diretor de segurança da informação deixou claro para a equipe de consultores, da qual eu fazia parte, que não pretendia abrir exceções e que era necessário o monitoramento constante para identificarmos quais eram os colaboradores que tentariam burlar a nova regra.

Pornografia no PC da empresa: punição?
Editorial , Segurança / 29 de maio de 2010

Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo. Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação. Pornografia e o processo disciplinar Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português”. Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então”. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.

O que deve ser analisado ao se montar um departamento de segurança da informação.
Segurança / 17 de abril de 2010

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação). Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante. Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto. Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade. Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação: