Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Vazamento de Informação: na moda, mas um problema antigo.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Vivemos momentos conturbados e delicados em nosso país. Parece que não se fala outra coisa a não ser: corrupção, fraude, propina, suborno…e agora o termo da vez é Vazamento de Informação. Capa da última edição da revista Isto É, por conta da delação premiada do senador Delcídio do Amaral, o certo, a despeito de estar na moda e na boca do povo, é que o vazamento de informação é um problema antigo e, infelizmente, na maioria das vezes erroneamente interpretado e consequentemente mal combatido.

 

O Vazamento de Informação pode ter dois agentes. Um é interno, na figura de seus colaboradores de uma maneira geral. O outro é externo, onde seu mais ilustre representante é um hacker. Vou me ater nesse artigo ao agente de ameaça interno.

 

O conceito de Vazamento de Informação no contexto do ambiente empresarial, público ou privado, e olhando o agente interno, é a ação de colaboradores dessas empresas ou mesmo de terceiros que lá trabalham, tendo ou não tendo acesso autorizado à uma dada informação, de compartilhar informações classificadas, no mínimo como internas, para o ambiente externo da empresa, por exemplo, para a concorrência Essa desobediência, essa ação não autorizada com relação à política de classificação da informação da empresa é que caracteriza o Vazamento de Informação.

 

A despeito de alguns considerarem que o vazamento de informação pode ter um caráter não intencional, p.ex., envio de um e-mail para um destinatário errado, a questão é que o termo ganhou uma característica de uma ação intencional, praticada com diversos intuitos. E a pergunta é: por que alguém faz isso?

 

Entre os vários intuitos destacam-se a possibilidade de ganho financeiro com a informação vazada e/ou a possibilidade de prejudicar o proprietário direto ou indireto da informação, por exemplo, uma vingança. Em muitos casos quem pratica tem aquele pensamento: com uma paulada mato dois coelhos. Leva a grana do solicitante da informação e prejudica ao mesmo tempo o proprietário da mesma; entretanto, existem inúmeros casos em que a ideia era só a de prejudicar.

 

Com base em uma série de casos e fatos que vocês já leram ou tomaram conhecimento, imaginam que é algo intrínseco do ser humano, e dessa forma, muito complicado de evitar. Certamente, de evitar sim, mas não de mitigar essa possibilidade, colocá-la em um patamar em que posso fazer o gerenciamento de um risco residual aceitável.

 

Valor e Classificação.

Uma empresa que entende e de fato cumpre na prática a máxima de que a Informação, em todo seu ciclo, é um dos principais ativos que mantém seu negócio de pé, procura a todo custo avaliar o risco do Acesso à Informação.

 

O Acesso a Informação sucede a duas importantes premissas: o Valor e a Classificação da Informação. O valor determina sua classificação. Se eu não consigo determinar o valor de cada informação no meu negócio, eu não consigo classificá-la.

 

Valorar a informação pode não ser uma tarefa das mais fáceis, mas deve ser feita. Você deve assumir uma série de critérios e atributos para valorar a informação de sua empresa. Feito isso, passe para a etapa de classificar a informação, colocar um rótulo nela.

 

Aqui cabe um lembrete oriundo da ciência da informação. É importante você ter em mente nesse trabalho de valoração e classificação da informação que existem abordagens, modalidades de informação em uma empresa. São elas: a informação não-estruturada, a estruturada em papel e a estruturada em computadores. Entender cada uma dessas modalidades é de extrema importância nesse trabalho.

 

A informação em computadores e seu dilema.

Vivemos a era da informação em computadores, mas com dilema. As pessoas certamente preferem as informações que são oportunas e ricas em detalhes contextuais. Elas gostam quando envolvem sequência e causalidade, percebem uma historia, quando são apresentadas com humor ou quando ganham uma interpretação única – informações visivelmente ricas, em cores, texturas, estilos – e que tenham relevância para nossas vidas e nosso trabalho.

 

Mas o que recebemos dos computadores são normalmente informações datadas, com pouco contexto ou significado, destituídas de sequência ou causalidade, apresentadas em formato geralmente pobre, ou em volume muito maior do que desejamos.

 

Várias pesquisas indicam que gestores preferem informações que não residem no computador, porque elas não oferecem a variedade, atualidade ou relevância que esses executivos exigem. Como resultado, a maioria das informações verbais em suas fontes são mais importantes. Esses gestores tendem a obter de fontes humanas mais de dois terços da informação que usam. A maior parte dessa informação provém de contatos pessoais, conversas telefônicas, e-mail e semelhantes.

E isso é um grande perigo e acende o sinal amarelo quase laranja. Essas informações não-estruturadas dependem única e exclusivamente para sua proteção da conscientização e educação da pessoa em relação à segurança da informação. Bato muito nessa tecla em minhas palestras. São fundamentais!

 

Acesso a Informação.

Quem pode acessar O Que nos sistemas computacionais? Quem pode ler determinado documento no papel? Quem pode entrar em determinada sala na empresa? Sempre QUEM e sua relação com O QUE, aqui subentendido como a informação corporativa.

 

A ideia desse controle todo é simples: evitar que pessoas não autorizadas possam ter acesso à determinada informação, que tem seu valor e sua classificação definida, quer seja em uma informação estruturada em papel, não estruturada ou em computadores.

 

Eis aí a questão. Desde que você já tenha feito a lição de casa como se deve para a Valoração e Classificação da Informação, agora começa por fornecer o Acesso à ela. E aqui mora o perigo.

 

O acesso à informação em uma empresa pública ou privada deve ser fornecido em uma relação diretamente proporcional à necessidade do indivíduo para exercer o seu trabalho, nem mais e nem menos. E isso inclui, veja, acesso a sistemas computacionais, internet, e-mail…acesso a documentação em papel …acesso em locais físicos onde existam informações. Essa é uma premissa absolutamente básica.

A partir daí você pode utilizar a metodologia que bem entender em obediência à suas políticas e normas de segurança da informação. Mas ferir essa premissa, por certo estará arrumando dor de cabeça no futuro. Aqui não cabe eu preciso acessar, eu sou amigo do dono e por aí vai. É preciso fazer a coisa certa!

 

Riscos do Vazamento de Informação.

Mesmo valorando, classificando, definindo o acesso, e claro, com política e normas complementares homologadas e conscientizadas aos colaboradores, os riscos são vários.

 

O tal colaborador necessitando de uma grana com um interessado em determinadas informações subornando-o, ele vai arrumar um jeito de vazar essa informação, mesmo não tendo autorização de acesso a tal. Como?

 

De uma coisa podemos ter certeza, as possibilidades são muitas. Vamos a duas bem simples, que certamente existem na maioria das empresas.

 

Situação 1

Não tendo autorização de acesso a determinada informação e precisando obtê-la para levantar a grana, utilizo da técnica da engenharia social sobre determinada pessoa que tem acesso a essa informação, independente de onde esteja essa informação. E com grande chance a tenho em mãos. Difícil? Negativo. Um bom engenheiro social interno ainda consegue hoje em dia fazer muito estrago e acreditem, sair ileso da história. Oculta e muito bem.

Situação 2

Preciso da informação, mas não quero ter muito trabalho e até posso demorar um pouco mais até obtê-la. Como? Seleciono aqueles que porventura podem me fornecer sem desconfiar de nada. Monitoro-os anotando seus hábitos e costumes. Vejo que ele tem por hábito deixar documentos sobre a mesa, tela aberta em sistemas que tem a informação que preciso, sai de salas de reunião com quadro branco por apagar, e por aí vai. Anoto e vou à luta. Hoje muito mais simples do que antigamente. Com meu super telefone celular, fotografo com altíssima resolução tudo o que desejo, de forma disfarçada, dissimulada.

Pronto. Feito. Afinal de contas, a moda de hoje é fotografar qualquer coisa, então…

 

Controle e Monitoramento.

Estabelecer e implantar Controles tem por objetivo reduzir a possibilidade de que o vazamento ocorra. Deve ser determinado a partir de sua matriz de risco. A gama de controles é inúmera e depende da cultura organizacional, de quanto sua empresa se preocupa com os impactos de um incidente desses, o quanto ela está disposta a investir, e por aí vai.

Por exemplo, e pegando a situação 1 do exemplo que dei para riscos de vazamento, tem empresa que proibiu o uso de celular com câmera no interior da empresa. É um controle? Sim. Mitiga a possibilidade de risco de vazamento? Sim, claro. Mas, você pode argumentar que não é uma atitude simpática, ok? Certamente. Mas a empresa também pode argumentar: o colaborador precisa trazer uma máquina fotográfica para trabalhar? A não ser que seja um fotógrafo! Pode ser uma discussão de quem nasceu primeiro, o ovo ou a galinha?

Já o Monitoramento, para ser eficaz, deve ser estabelecido de tal forma que eu consiga detectar que um vazamento de informação está na iminência de ocorrer e conseguir evitar. Existem diversos mecanismos que possibilitam essa ação. Outras formas de Monitoramento em que eu apenas consiga detectar que um vazamento ocorreu ou que está ocorrendo, pode não ser nada eficaz, pois dependendo da situação, pode ser uma bomba para a empresa. Infelizmente em muitas empresas o Monitoramento nem existe, o que pode ser um erro terrível nesse caso.

 

O problema é antigo, mas com o tempo novas abordagens o tornam mais do que atual. As vulnerabilidades no ambiente empresarial são inúmeras, quase sempre provocadas por uma visão desfocada do problema, o estabelecimento de pobres controles, quando eles existem, e má gestão.

 

Claro que você deve ter a política, as normas, a conscientização e outros controles básicos que mitigam a possibilidade de vazamento, mas é necessário ir mais fundo para tentar colocar esse risco em um ponto bem residual. Já falei em outros artigos que o mundo hoje é absolutamente diferente do que era há 50, 30, 20 anos atrás. Valores mudaram, transformações ocorrem diariamente, tecnologia avança em ritmo frenético e aqueles profissionais que tem que lidar com esses incidentes precisam, mais do que nunca, acompanhar essa evolução e adequar na melhor condição. Caso contrário, lamenta-se, quando ainda se pode!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

10 erros mais comuns na segurança da informação corporativa.

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

Errar é humano, como se costuma dizer. Não somos infalíveis, erramos, mas sempre devemos procurar aprender com os nossos erros. Enquanto isso ocorre com nossa vida pessoal tudo bem, geralmente temos condições de corrigirmos o rumo, aprendemos com ele e seguimos em frente. Em nossa atividade profissional é que a coisa pode mudar de figura. Nem sempre nossos erros são aceitos de primeira, e podemos ter problemas, principalmente quando determinados erros podem desencadear consequências bem desagradáveis para a organização que trabalhamos.

 

E quando falamos em prover de forma devida a segurança da informação corporativa (SIC) nesses tempos por demais bicudos, os erros podem não ser bem digeridos pelo “andar de cima”. Não é uma tarefa nada simples mitigar o máximo possível incidentes de segurança da informação. São muitas variáveis envolvidas que requerem planejamento, execução e monitoramento. Nesse artigo, sem ser exaustivo, vamos falar de dez erros bem comuns que pode servir de alerta na SIC. Vamos à lista!

 

Erro 1: A Segurança da Informação Corporativa (SIC) não é só TI

É mais comum do que imaginamos a ideia de se pensar que SIC é segurança da TI. Pensar que só porque a TI é a custodiante da informação das empresas não quer dizer que a SIC deva se concentra inteiramente nela. Envolve bem mais que a TI.

A segurança da informação corporativa (SIC) deve ser desmembrada e avaliada em quatro núcleos e entendida da seguinte forma:

  • Baseada em Pessoas;
  • Baseada em Processos;
  • Baseada em Tecnologia da Informação; e
  • Baseada em Segurança Física.

Então veja só. Além da TI eu tenho mais três outros núcleos que eu devo olhar e tratar; são eles: as pessoas que trabalham na empresa, os processos que regem a segurança da informação e a segurança física, que trata entre outros, dos acessos físicos às áreas internas e externas da empresa.

Cada núcleo tem atividades específicas de trabalho que se somam as da TI.  Tratá-los como secundários ou negligenciá-los só aumenta o risco de incidentes de SIC na empresa. O planejamento da SIC só estará correto se você olhar para os quatro núcleos de forma igual e integrá-los, um alinhado ao outro.

 

Erro 2: Definição equivocada na Gestão da SIC

Esse é um dilema antigo na SIC e o que mais se vê são modelos que não atendem às necessidades da organização. Na linha de raciocínio do item 1, pergunto: o gestor da SIC deve ficar em TI? Seria esse o melhor modelo? A maioria faz desse jeito então eu também vou fazer porque deve ser o certo? Qual o melhor?

 

Aqui não dá para copiar e colar. A empresa deve avaliar seu negócio, seus objetivos organizacionais, suas estratégias e seus riscos antes de tomar uma decisão dessas. Não é simplesmente colocar a gestão embaixo do CIO, promover alguém de TI e trazer um caminhão de responsabilidades para a pessoa, que em boa parte das vezes, não tem nem a competência necessária para cuidar do núcleo de TI, quanto mais dos outros três núcleos! Tomar decisões cômodas e que até parecem óbvias podem colocar a empresa sob riscos desnecessários.

 

Se a Alta Administração considera que a Segurança da Informação é uma questão estratégica para a empresa, então deve ser tratada de tal forma, tornando uma área independente, reportando-se ao primeiro nível.

 

Erro 3: A SIC sem Planejamento Estratégico

Como qualquer outra área na empresa não é possível fazer gestão e governança da SIC sem que, antes de tudo, tenha tido um planejamento estratégico elaborado a ser executado. Infelizmente, acredito até por falta de conhecimento do tema, muitas empresas executam a SIC de forma pontual, executam o que outros executam, e por aí vai.

Novamente a mesma premissa, se você considera a informação de sua empresa um ativo primordial, protegê-la deve ser a condição básica. Visitando o que falei aqui: são quatro núcleos a serem tratados! O Planejamento é a base do orçamento (próximo item) e premissa para a assertiva execução.

 

Erro 4: A SIC sem um orçamento anual

Se você concorda comigo que a informação de sua empresa é um dos seus principais ativos, então ela deve merecer atenção especial, certo? E essa atenção especial passa por destinar recursos ($$) para que a mesma seja devidamente protegida de incidentes que possam causar impactos e até a descontinuidade de sua empresa. Então, como qualquer outra área, a SIC, independente de onde ela esteja no organograma, deve ter um orçamento anual. Não destinar os recursos necessários à área por meio de um orçamento, é tratar a informação como um ativo sem importância.

 

Erro 5: Política e Normas longas, confusas e impraticáveis

A Política geral de SIC e suas normas complementares devem ser entendidas como controles de disuassão. A ideia é que a partir de sua elaboração e implantação, os colaboradores da empresa entendam e pratiquem suas diretrizes e determinações, pois caso contrário, poderão sofrer as sanções previstas. Ok, essa é a ideia.

 

Mas para que as pessoas as cumpram é preciso que elas entendam o que está sendo definido pela empresa. Infelizmente muitos erros são cometidos desde a elaboração até a implantação da política e das normas complementares. Faça um teste em sua empresa. Peça para que as pessoas opinem sobre as mesmas? Pergunte a elas para citarem algumas diretrizes? O que acaba acontecendo na grande maioria dos casos é que você construiu essa papelada apenas para inglês ver, como diz o ditado popular, ou para fiscalizador conferir. Muitos incidentes poderiam ter sido evitados se a coisa tivesse sido feita corretamente desde o início.

 

Erro 6: Não há um Programa de Conscientização e Educação

Muitas empresas elaboram sua política geral, suas normas complementares, convocam seus colaboradores para uma palestra de conscientização em SIC, e pronto, tá fechado esse ano o que eu tinha que fazer para o núcleo, Baseado em Pessoas. Infelizmente errou de novo e é mais comum do que se possa imaginar.

A palestra de conscientização em SIC é parte integrante de algo bem mais abrangente e que chamamos de Programa de Conscientização e Educação em SIC (PECSI). Esse programa tem no centro o tratamento do elo que consideramos o mais fraco na SIC que são as pessoas, os colaboradores e outros que trabalham em sua empresa. O PECSI envolve uma série de atividades é deve ser executado ao longo de todo ano, revisado anualmente.

 

Erro 7: Inexistência da Gestão do Risco em SIC

Realizar a gestão do risco da SIC é uma condição imperativa nas organizações que prezam seu ativo informação. Essa disciplina é a base para planejamentos, programas, etc. que tenham que ser executados. Infelizmente, também é esquecido ou mal executado nas empresas.

 

Identificar, medir, priorizar, responder e monitorar o risco nos quatro núcleos da SIC é a base do trabalho nessa área. O problema é a visão opaca que uma parte das empresas tem com relação à matéria. Não se trata de algo subjetivo, de despesa desnecessária, como muitos apregoam. A gestão do risco é tema normativo e praticado por empresas dotadas de excelente governança. A gestão quando executada dentro das melhores práticas, auxilia de forma contundente as empresas na melhor identificação de seus riscos, na medição dos mesmos, a encontrar quais as melhores respostas e a realizar o seu monitoramento, pois os riscos não são estáticos, principalmente os da SIC.

Dá trabalho, requer investimento, mas tenha certeza que conhecer seus riscos em SIC é bem melhor do que simplesmente negligenciá-los.

 

Erro 8: Falta de critérios na escolha do profissional de SIC

Em muitos casos a SIC fica com a TI, conforme comentado aqui, e um profissional interno da área é escolhido para ser o security officer da empresa. Acho extremamente louvável a ideia de sempre aproveitar e promover alguém internamente, antes de sair para o mercado. O problema é que em muitos casos a escolha é feita sem critérios. Não é porque o profissional gerencia o firewall ou a rede da empresa que ele reúne condições de ser o security officer da mesma. Esse é um erro muito comum.

Conforme já falado aqui, existem quatro núcleos na SIC. Critérios para escolha devem ser estabelecidos para contemplar o que esses quatro núcleos necessitam. Se internamente você tem essa pessoa, ótimo. Caso contrário, você deve ir para o mercado e selecionar o profissional que atenda as necessidades definidas.

E ainda, cometendo o erro de “promover” alguém sem as credenciais necessárias, você pode desfalcar uma atividade importante exercida por um bom profissional e “achar” que resolveu o problema de outra, promovendo a pessoa errada. Cuidado!

 

Erro 9: Importância menor ao agente de ameaça interna

Vamos contextualizar os dois principais agentes de ameaça em SIC. Internamente os colaboradores da empresa e, externamente, o que convencionamos chamar de hackers, crackers…

 

Pois bem, não tenho uma opinião formada por qual o motivo que as empresas ficam excessivamente preocupadas com o agente de ameaça externo. Talvez deva ser porque as notícias de hackers dão mais IBOPE, pesquisas de todo jeito são lançadas na mídia, mas o certo é que as empresas se preocupam 80% com as ameaças de fora e no máximo 20% com as ameaças internas. Parece existir certa complacência, uma letargia quando o assunto é tratar o agente de ameaça interna com a mesma dose de importância que se dá para o externo.

 

Você pode até justificar que ramos de atividade como o setor bancário ou e-commerce merecem uma atenção redobrada com os agentes externos, ou governos ou entidades públicas, mas chegar quase a negligenciar o agente interno é perigoso demais e bem comum nas empresas.

Fraudes internas, vazamento de informação e uma lista bem grande de incidentes podem ser perpetrados por agentes internos e ficarem anos até serem descobertos, causando substanciais perdas financeiras e na reputação. É preciso de forma imperativa tratar com o mesmo foco tanto o agente interno como o externo, sem entrar na onda de que A é mais danoso do que B, simplesmente por causa de números ou porque outros agem assim.

 

Erro 10: Falta de envolvimento da Alta Administração

Deixei por último da lista, mas poderia ser o primeiro. Sem o envolvimento da Alta Administração da empresa que deve demonstrar com ações que ela se preocupa com a SIC, a coisa não anda. Não quero dizer que seria por conta de liberar verba, de aprovar orçamento. Digo de ações que demonstrem que esse é um tema considerado importante para o alto escalão, tanto quanto o faturamento ou a redução de custos na empresa.

As pessoas da organização precisam do exemplo, da palavra e das ações da Alta Administração para acreditarem que de fato aquilo é importante. E essa ação não é só quando se tem que punir, é bem antes.

Um erro bem comum é ver que esse envolvimento venha a acontecer depois que um grave incidente de SIC ocorreu na empresa. Não é assim que as coisas devem acontecer, mas se esse foi o “caminho escolhido”, pela dor, enfim, que seja.

 

Claro que a lista poderia ser maior, e de fato é. Erros e descuidos de toda monta existem em todo lugar. Mas como disse, é importante avaliar e corrigir em tempo. Infelizmente um incidente de SIC não avisa quando vai ocorrer. Mesmo em organizações com alto índice de maturidade na SIC incidentes ocorrem e provocam impactos, várias vezes significativos. Fragilidades tem uma relação linear com as incertezas. Precisamos ficar atentos em corrigir o que não está certo, diminuindo as fragilidades, diminuindo nossas incertezas.

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Informe de Rendimento para IR e Pishing – 24fev2012

enigma.consultoria Sem categoria Leave a comment   , ,

 Hoje a Receita Federal inicia a disponibilização para download do programa para elaborar o IR 2012. Uma novidade para quem faz a sua declaração diz respeito aos Informes de Rendimentos enviado pelos Bancos. A Receita Federal desobrigou os bancos a enviarem esses Informes por correio. Os bancos poderão disponibilizar em seu site esses Informes e os usuários acessam a Internet e fazem o download do mesmo. Até aí tudo bem, o Planeta agradece. Mas, por outro lado, abre a possibilidade para que crackers possam agir, utilizando uma técnica chamada Pishing. É muito simples.

Fazem se passar pela instituição financeira, enviando um e-mail com logo da empresa e tudo mais que faz acreditar aos não conscientizados sobre o tema, que de fato o e-mail é da Instituição Financeira. Nesse e-mail, entre outras possibilidades, inserem um link para a pessoa clicar e dizem que esse link baixará o Informe de Rendimento no computador da pessoa. Pronto, está feita a coisa! O link é falso e o cracker consegue roubar senha e uma série de informações privativas da máquina do usuário atacado.

Um amigo me perguntou um dia desses se existem pessoas que ainda caem nesse golpe. Eu disse que sim, e que não são poucas. Falta conscientização sobre a segurança da informação, e muita. Os crackers procuram de toda forma ludibriar, e conseguem em muitos casos seu intento.

Qual é a dica? É muito simples: Nenhuma instituição financeira utiliza e-mail ou qualquer outro meio eletrônico que possa trazer insegurança para se comunicar com seus clientes. Então, não clique em nada. Trate esse e-mail como lixo eletrônico ou spam e pronto. Aliás, estenda essa dica a outras empresas como Serasa, SPC, Receita federal, etc.

Um abraço e até a próxima!