Wednesday, December 19, 2001

Calculando o ROI em projetos de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Um dos grandes desafios dos Security Officers e, quando não somente destes, dos encarregados pela segurança da informação em grandes e médias organizações é o de justificar o investimento em hardware, software e consultorias especializadas, determinando um período de payback nos moldes dos ciclos de retorno sobre o investimento - ROI.

Não há nisso tanto mistério. O que falta é um modelo de plano, que atenda às necessidades de segurança da informação já bem conhecidas pelo mercado de tecnologia. Adotando-se uma estratégia orientada ao market-share, torna-se evidente a importância da segurança da informação como valor diferencial na estruturação e consolidação de uma guideline capaz de colaborar na captação de novos clientes, fornecedores e parceiros.

Duas das maneiras mais conhecidas e utilizadas pelo gerentes de segurança da informação para o cálculo do ROI são as análises de custos por incidente (individualizada por evento), e a análises de custos acumulados (geralmente mensal ou anual). Este cálculo serve para apresentar o retorno aos acionistas, apontando o patrimônio líquido do período, dividido pelo patrimônio líquido sem o resultado pretendido.

Single Loss Expectancy - SLE
A primeira destas técnicas é chamada de Single Loss Expectancy (SLE). O cálculo do SLE mensura em termos financeiros o impacto de um incidente. Para início devemos listar todos os Ativos (tudo aquilo que é importante para a organização) e identificar as ameaças e vulnerabilidades existentes. Não devemos esquecer de potencializar o valor do risco pela importância do Ativo no contexto da organização (por exemplo, o computador utilizado pelo estagiário não tem a mesma importância que o do gerente de financeiro, mesmo que o hardware seja igual).

O índice resultante desta avaliação é o famoso BITMAP (Business and Information Technology Map) – para unidades de negócio, e AMAP (Asset Map) para os Ativos.

Agora, que iniciaremos com exemplos de cálculos, é indispensável que todas as variáveis relacionadas abaixo sejam preenchidas pelo valor correspondente da sua organização, assim conseguiremos consolidar um plano com interferência real na apresentação dos resultados, conquistando desta forma a aceitação do grupo executivo.

Para o cálculo do SLE vamos considerar que uma empresa possui um sistema proprietário para administração do departamento financeiro. Este sistema foi desenvolvido ao longo de um ano por uma equipe de cinco pessoas que utilizavam cento e sessenta horas por mês. Com um salário de R$ 3.000,00 para cada um, estimamos um custo/hora na casa dos R$ 20,00 (acrescidos encargos, benefícios e outros).

Uma vulnerabilidade no servidor principal deste sistema, explorada por uma ameaça - funcionário insatisfeito, hackers através da internet; sabotagem -, causaria danos que na melhor das hipoteses dispenderiam o esforço de revisão de todo o código fonte da aplicação.

O prejuízo deste sistema pode ser calculado da seguinte forma:

8 (horas/dia) x 240 (dias/ano) x 5 (número de pessoas) = 9.600 horas

R$ 20,00 (custo/hora) x 9.600 (horas) = R$ 192.000,00

Prejuízo total de R$ 192.000,00 - 100%. Destruição total dos arquivos, inexistência ou indisponibilização das cópias de segurança (back-up). Isto é quanto custa o Ativo do exemplo supracitado. Agora só resta decidir o quanto vale a pena investir em seguranca, pois já possuímos uma métrica para a definição de um prejuízo total.

Não computamos no exemplo acima fatores que causam a perda direta de marketshare como: roubo e divulgação de informações confidenciais e ataque à imagem da empresa.

Estes pontos que até aqui nos amedrontam como riscos contra os quais ninguém está 100% livre podem se tornar diferencial competitivo na conquista de mercado.

Annualized Loss Expectancy - ALE

O cálculo de nossa segunda força de argumentação, instrumento capaz de mensurar os resultados de um bom projeto ou produto de segurança da informação, é baseado em incidentes percebidos ao longo de um período. Esta fórmula equaciona a Single Loss Expectancy, e o número de eventos ocorridos em um determinado espaço de tempo.

SLE x número de ocorrências durante um ano = Annualized Loss Expectancy Neste modelo de cálculo trabalharemos em cima de duas realidades bastante comuns a organizações que já utilizam a Internet como meio de comunicação entre funcionários ou como plataforma de novos negócios.

A utilização dos recursos de conectividade para o desempenho de atividades sem relação alguma com o negócio da organização, é sem dúvida motivo de preocupação. Salas de bate-papo e páginas de mulheres nuas lideram o ranking das “atrações” que mais tomam tempo dos funcionários (diminuindo a produtividade) e banda da organização (tornando a conexão com o mundo insuportavelmente lenta).

Na ponta do lápis os números assustam. Imaginando o seguinte cenário: uma empresa com 500 funcionários, onde 75% possuem acesso a rede. Cada um destes 375 funcionários utiliza uma hora por semana para “brincar na rede”. Com um valor/hora na faixa de R$ 10,00 ficamos com um prejuízo acumulado de:

375 (funcionários) x 1 (hora por semana) x 44 (semanas) = 16.500 horas

R$ 10,00 (custo/hora) x 16.500 (horas) = R$ 165.000,00

Vejam só! São 165.000,00 reais perdidos anualmente. Sem contar a utilização da banda contratada pela sua organização. Em alguns casos já constatei cerca de 60% de utilização indevida do link. Para quem pensa que a conexão está lenta e já imagina a contratação de um link maior, já pensou em avaliar o que passa pela sua rede?

Wednesday, March 14, 2001

Security Officer: Como contratar este profissional?

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Ao contrário do que escutamos por aí, o candidato a Security Officer (gestor da segurança da informação) não deve ter um glorioso passado hacker para garantir o bom desempenho das suas atividades e a proteção efetiva da sua organização. Alias, tampouco é recomendado que o tenha. Isso porque o perfil necessário à gestão de um processo tão delicado, transcende o “escovador de byte”, exigindo do Security Officer habilidades que vão da coordenação de projetos à apresentação executiva dos resultados.

É isso mesmo, aquele jovem que foi até a sua organização oferecendo proteção, ora apresentando evidências da fragilidade do seu website, ora fazendo demonstrações práticas de ataque ao seu sistema, em sua grande maioria, não esta ainda em condições de coordenar uma tática de proteção dos seus ativos de informação.

O grande engano é confundir gestão de segurança da informação com refinados conhecimentos em técnicas de intrusão; aquele que sabe invadir, não necessariamente saberá defender. Grandes empresas recebem mensalmente dezenas de currículos de jovens profissionais da informática, interessados em preencher a tão cobiçada vaga, mas fica no ar a dúvida: Como determinar o perfil do profissional de gerência de segurança da informação? Quais os requisitos? Como avaliar?

Em primeiro lugar é necessário entender e aceitar que o gestor tático do processo de segurança deve ser alguém capaz de planejar ações, resolver macro problemas e comunicar resultados. Esta é a química necessária à formação do seu gestor. Em alguns casos, como em instituições financeiras, empresas de telecomunicações ou empresas de comércio eletrônico, é indispensável que o gerente de segurança conheça a fundo as nuances do business que pretende proteger.

Deixaremos o gênio da informática de lado? Claro que não, parte integrante de uma boa equipe, este profissional com alto conhecimento técnico será responsável pela operacionalização das táticas e pela implementação dos controles de segurança necessários à empresa, seja na configuração de um firewall ou no desenvolvimento de uma solução personalizada, sempre coordenado pelo Security Officer.

Quando entrevistamos o candidato, devemos considerar que algumas características pessoais são tão ou mais importantes que a sua capacitação técnica. Enumerarei algumas das diversas atribuições indispensáveis ao bom gestor de segurança, características que têm sua importância elevada quando compreendemos que este funcionário terá acesso a praticamente todas as informações sigilosas da organização e será ponto focal dos eventos de segurança no ambiente corporativo. Não tenho por objetivo esgotar o assunto, antes disso, utilizem este documento como um roteiro de suporte, e não como instrumento único de avaliação.

1-) Ótima capacidade de comunicação

A figura do Security Officer será responsável por manter os executivos da empresa informados, sempre que o assunto envolver segurança da informação; significa que além de uma forte habilidade na comunicação escrita (estilo, clareza e objetividade), o gestor deve ser capaz de defender verbalmente frente ao grupo executivo, a necessidade de se investir, por exemplo, em um novo modelo de firewall, ou sobre a importância da inserção de políticas de segurança ao documento já existente. Significa que os memorandos internos não deverão ser repassados com siglas do informatiquês, típico “Peço aos usuários que não façam mais requisições na porta 25 depois do horário de expediente”, ou que durante a reunião com o Comitê Executivo, não adiantará nada dizer “Eu preciso de um IDS interligado ao firewall na DMZ”.

Um bom trabalho é composto de forma (apresentação, recurso visual e etc.) e conteúdo (produto, idéia e etc.). De nada adianta um relatório entregue ao presidente da companhia ou ao diretor de TI, se este não inspirar o interesse em lê-lo. Faz-se necessário um pré-processamento das informações, ao invés de apresentar o relatório com 80 páginas de logs, seria conveniente demonstrar em um gráfico uma síntese das informaçções mais importantes. Esta habilidade em entender a visão do estrategista e apresentar-lhe somente o que interessa, é indispensável ao Security Officer.

2-) Capacidade de conciliar interesses de segurança e interesses do negócio

O Security Officer deve ser capaz de perceber, dentre uma série de opções de serviços e produtos do mercado, aquela que melhor se enquadra ao perfil e aos interesses da organização. O “melhor produto” é aquele que serve de maneira adequada às necessidades de determinado processo ou unidade de negócio.

Para justificar um investimento em segurança da informação, é importante que o gestor domine conceitos de Return on Investment e Return on Opportunity, e que faça uso destas ferramentas para projetar períodos de payback.

3- ) Auto-atualização: Circular pelo meio tecnológico

O gerente de segurança da informação deverá possuir um perfil pró-ativo: conhecer produtos, novas tecnologias, explorar novidades, estar disposto a formar uma grande rede de contato com experts no assunto e manter-se diariamente atualizado, através de boletins e listas de discussão especializados.

Para muitas empresas é custoso contratar um profissional que ainda não está familiarizado com tecnologia da informação. Significa um grande investimento em cursos, um tempo excedente (que muitas organizações não possuem) e o risco da empresa perder, depois de formado, seu treinee.

O profissional de gestão da segurança não precisará conhecer a fundo os conceitos da programação TCP/IP, ou “o valor do protocolo X no cabeçalho do protocolo Y”, tão somente deve estar apto a escolher uma tecnologia, em vista do respaldo técnico dos profissionais da sua equipe e em vista dos resultados provenientes de suas análises de benchmark.

4-) Familiaridade com termos e conceitos

É indispensável ao Security Officer familiaridade com termos e conceitos comuns da segurança da informação. São poucos os cursos de formação de profissionais de segurança, ainda mais no Brasil, mas esta passagem é importante: algumas regras básicas devem fazer parte da bagagem do futuro gestor, conteúdo que estes cursos costumam abordar.

Termos como alta-disponibilidade, acordo de confidencialidade, análise de risco, diretrizes de segurança e plano de resposta a incidentes, são linguajar comum na rotina deste profissional. Conceitos como firewall, PKI, Intrusion detection system, Single Sign-On e outros, também fazem parte da knowledge base mínima do Security Officer.

Recomendo aos candidatos a leitura da NBR ISO/IEC 17799:2001, norma brasileira que apresenta uma série de controles para uma boa implementação de segurança. Lembrando que este documento considera uma centena de controladores, e que nem todos serão necessários: cabe avaliar as peculiaridades do ambiente de negócio. Outro ponto crítico é compreender a ISO 17799 como um guia das melhores práticas, e não um “como fazer”. É um grande passo àqueles que decidem marchar do mundo técnico para o lado processual da segurança.

Espero que estes quatro pontos sejam proveitosos durante a entrevista. Repasse uma cópia deste documento para o seu gerente de recursos humanos, estou certo de que cedo ou tarde ele precisará destas informações.

Tuesday, February 6, 2001

Gestão de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Gerenciar a segurança da informação em dias como os de hoje, não é tarefa simples. Pergunte ao seu encarregado de TI se ele está satisfeito com o modelo de gerência dos controles de segurança implementados; o acesso à rede, desligamento de funcionários, termos de análise e aceitação de risco, manutenção da segurança dos sistemas e auditoria -, em uma aposta otimista noventa porcento das respostas será um sobrolho pensativo.

São tantos ativos de tecnologia, rotas de dados, aplicativos e sistemas, que fica dificílimo uma só pessoa controlar. Responsabilidade de quem? Alguns dizem que é do gestor do sistema ou equipamento. Os gestores alegam, muitas vezes com razão, serem responsáveis pela produção – o stay working. Não é para menos, um dos primeiros requisitos da gerência de segurança é: delegar a responsabilidade da gestão a alguém sem ligação com o funcionamento do sistema. Quem então é responsável pela salvaguarda da informação?

Este é um assunto polêmico que causa grande inquietação dentro dos mais diversos nichos organizacionais, uma discussão produtiva, capaz de atentar o grupo executivo a uma das mais sérias preocupações do estrategista moderno, garantir a confidencialidade, integridade e disponibilidade do seu maior patrimônio – a informação.

Faz-se necessário que seja instituído um responsável pela segurança da informação organizacional. Chamaremos este colaborador de Security Officer (termo do inglês, caracteriza o gestor de segurança da informação), e a ele será delegada toda a responsabilidade por organizar regras para salvaguardar a informação gerida na organização.

Para início, é necessário demonstrar que há uma consistência no discurso do grupo executivo com as ações de segurança engendradas pelo Security Officer. A base para instauração de um órgão de segurança da informação dá-se com a criação de um fórum interno. O fórum é formado por membros da alta administração, consultores especialistas em segurança e pelo Security Officer. Este comitê será responsável por:

• Analisar e aprovar tecnologias e processos inseridos no negócio;
• Analisar criticamente os relatórios de monitoração de incidentes;
• Aprovar as iniciativas para aumentar o nível de segurança;
• Aprovar o relatório bimestral (mensal ou semanal) de segurança, entregue pelo Security Officer;

Não se aplica ao fórum, a utilização dos jargões técnicos de segurança. O Security Officer (gestor de segurança da informação) deve ser especialmente habilidoso; conciliar sólidos conhecimentos tecnológicos à capacidade de transformar a massa de dados em informações gerenciáveis. Caso contrário, não conseguirá para si a atenção dos executivos por mais de dez minutos.

Após a criação do fórum interno, o Security Officer deverá convocar especialistas na operação de segurança, para tomar parte de sua equipe. Considera-se indispensável (para uma empresa que busca um espelhamento às melhores práticas de segurança da informação), a vinculação dos seguintes profissionais à coordenação do Security Office:

Analista de informações: Deverá avaliar diariamente os registros dos programas críticos (firewall, IDS e outros).

Normatizador: Avaliará a necessidade de atualização da política de segurança da informação. Será o responsável pela normatização escrita dos controladores inseridos no documento da política. Lembre-se: para cada atualização, uma normatização.
Implementador: Aplicará as correções de segurança nos sistemas. Deve ser capaz de inserir regras no firewall, corrigir vulnerabilidades e quando possível, desenvolver soluções personalizadas.

A missão desta equipe e de identificar, avaliar e administrar os riscos à informação da organização. Considera-se de sua responsabilidade determinar dentre as opções existentes aquela que melhor se enquadra na diminuição dos riscos identificados na análise do ambiente. Os resultados deverão ser repassados ao comitê executivo nas ocasiões do fórum, que poderá se reunir pontualmente.

A equipe é responsável por dessenvolver políticas, padrões e procedimentos de segurança para proteger o negócio como um todo.

Em alguns casos, dependendo da necessidade da empresa, é aconselhável a criação de um grupo de resposta a incidentes (Computer Emergence Response Team). Este grupo poderá atuar na holding, atendendo todas as empresas ligadas a ela. Existem empresas que optam por CERTs terceirizados, como opção de uso por demanda, já que e altamente custoso manter uma equipe de especialistas de plantão 24x7.

A gerência de segurança é um elemento estratégico no processo de negócio de uma empresa preocupada com as ameaças do mundo cibernético. Gerenciar riscos é compreender que o em um mercado dinâmico, segurança da informação é mais do que parte do negócio, é parte da lucratividade do negócio.

Wednesday, January 10, 2001

Imposturas Políticas

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Para não começar errado, devemos compreender na sua amplitude, o que é e para que serve a tal da “política”. É muito comum a confusão dos afoitos, são criadas regras inconseqüentes para usuários insatisfeitos. Política deve ser simples, clara e desenhada em um documento conciso, ao alcance de todos os colaboradores. Só isso define? Claro que não! Então vamos por partes.

Imagine um documento segmentado, com especificações simples para procedimentos usuais, some a estes a disponibilidade dos equipamentos e aplicativos necessários e adicione o eterno e super atuante trabalho de um bem disposto grupo de divulgadores. Você está começando a entender.

Pois vamos mais longe, na terra da “informação-sem-dono” onde a falta de comunicação é a marca forte do colaborador, até mesmo lá poderíamos implementar uma rotina de segurança com procedimentos de sucesso – a chave para o êxito é a capacidade do administrador ou consultor em personalizar seus moldes sem afetar o andamento do trabalho na empresa.

Não há nada pior para um usuário e, disso sabemos muito bem, do que ter uma política aplicando bloqueio de terminal para cada 15 minutos de inatividade em um ambiente dinâmico, como em uma loja onde os atendentes mudam de posto com grande freqüência. Este tipo de atividade não protege, só atrapalha.

Outro exemplo da má aplicação de políticas de segurança pode ser onde um determinado usuário é impedido de trabalhar, fora do horário normal, para garantir que nenhuma informação será comprometida. A idéia é utilizar equipamentos que possam conferir as regras da política, como câmaras de segurança e registros de atividades, não forçando o usuário a seguir normas impossíveis.

O correto seria utilizar meios de coerção eletrônico, ao invés de cobrar e punir aqueles que não trocam suas senhas de 90 em 90 dias, devemos criar procedimentos automáticos para que ao expirar - o próprio sistema se encarregue de pedir ao usuário o cadastro de sua senha -, aí sim aplicando todas as regras para proteção de sua autenticação. A segurança da Informação, ao contrário daquilo que comumente escutamos, vai além da atualização sistemática de softwares e das perturbadoras câmaras de vídeo – estamos na era da informação e devemos aproveitar, com cultura, divulgação, conscientização e orientação não há como errar.

Como dizia Descartes ao revelar seu método para eliminação de problemas científicos “reduzo os grandes problemas em pequenas partes” pois hoje sabemos que o francês tinha toda a razão e é assim que devemos trabalhar com o elemento humano. O segredo (que já não é mais segredo faz muito tempo) é corresponder cada norma da sua política a realidade do seu negócio observando:

- Estrutura tecnologia para suportar suas diretrizes, normas e procedimentos;

- Bom senso, sem abusar do usuário com regras de segurança inaplicáveis, por exemplo, proteger o software de calculadora;

- Entendimento por parte do usuário sobre aquilo que ele deve seguir.

Um exemplo engraçado relacionado a uma norma absurda que criou confusão em uma grande empresa: “O usuário deve fazer backup de suas informações sempre que houver infecção de vírus”, o administrador recebeu um telefonema de um usuário reclamando não poder fazer backup justamente por estar acometido pelo vírus da gripe.