Estamos nos aproximando do final do ano, época em que fechamos nosso planejamento para o próximo ano. É um momento de reflexão, momento em que devemos sopesar ações passadas considerando a sua eficiência, e as ações futuras levando em conta seu relacionamento com os aspectos estratégicos para o negócio. Não considero que a responsabilidade pela definição do Plano Diretor de Segurança da Informação – PDSI, seja exclusiva da área de tecnologia, deveria ser uma ação conjunta à Alta Administração, mas no Brasil na maioria dos casos é assim que funciona. Como estou preocupado mais com a prática que com a teoria, este artigo versará nestes moldes. Para garantir um artigo sintonizado com as últimas tendências utilizei como referência o guia do SGSI da BS 7799-2 e também a experiência de alguns dos maiores gestores de TI do país, com quem tenho algum tipo de relacionamento.
Nosso primeiro passo será listar todos os projetos relacionados à segurança que foram realizados no ano corrente. Não se pode planejar o futuro sem entender o passado, pois seria incoerente tratar de novos desafios sem antes dar o fechamento aquilo que foi realizado ou está em fase de finalização. Com base a nosso planejamento passado devemos aferir nossa capacidade de predição orçamentária considerando também a previsão de tempo, recursos e expectativas. Vou lhes contar uma regra de ouro da segurança, que parece óbvia mas nem sempre é seguida: só o que é monitorado pode ser medido, só o que é medido pode ser gerenciado. Se não houve histórico para determinarmos a performance de determinada ação, dificilmente saberemos se estamos indo para o lado certo.
Todo o investimento em um controle de segurança deve ser justificado com a minimização de um risco. Conceitualmente “controle de segurança” é tudo aquilo que se aplica na redução de determinado risco, controles são firewall, IDS, biometria, redundância de link e etc. Quanto gastar no controle? A análise de risco é quem vai dizer. Se comprei um firewall e não consigo mensurar através de informações gerenciais qual o impacto da sua ausência no negócio da minha organização, entã, não posso afirmar que eu preciso de um firewall. Lembro que esta análise deve ser preferencialmente financeira, em alguns casos – pela dificuldade que ainda temos em tangebilizar o valor do ativo informação – está a contento uma análise qualitativa apresentando o impacto da quebra da confidencialidade, integridade e disponibilidade.
Agora vamos ao que realmente nos interessa: quais são as melhores práticas para a confecção de um plano diretor anual para uma empresa de médio e grande porte. Preparei uma lista de projetos que não consideram contratação de hardware ou software, porque assim eu entraria em particulares que variam dentro de um grande espectro. Refiro-me aquilo que é imprescindível e que independente da natureza do negócio, deve ser realizado, variando apenas o escopo abrangido por cada um dos tópicos.
Janeiro – Primeira Reunião com Fórum de Segurança: esta reunião, que deve contar com a parcitipação da Alta Administração da organização, proverá direcionamento ao processo de segurança da informação, garantindo apoio a política de segurança existente e apontando quais são os níveis de risco aceitáveis para a organização.
Janeiro/Fevereiro - Análise de Riscos e Vulnerabilidades: é imprescindível que seja realizada uma análise de riscos e vulnerabilidades. Se já foi realizada uma análise no ano anterior, então é o momento de revisá-la. Esta análise deve retornar como produto um relatório que será utilizado pelo gestor durante todo o ano. O relatório de análise de risco é dinâmico e deve receber como anexo as demais análises realizadas pontualmente sobre processos que foram agregados ao negócio da organização durante o ano.
Fevereiro/Março – Plano de Continuidade do Negócio: antes do fechamento do primeiro semestre é importante que seja realizada uma Análise de Impacto - BIA, preferencialmente associada aos indicadores de criticidade dos processos listados na Análise de Riscco. Geralmente a reavaliação dos planos de continuidade geram diversas ações que fogem ao comando da área de tecnologia, responsável pela continuidade dos sistemas e muitas vezes de toda a área de telecomunicações. Ações administrativas, geralmente envolvem modificações estruturais em sites e também a contratação de terceiros. Modularize seu plano de maneira a conseguir sustentar a continuidade operacional, recuperação em caso de desastres e procedimentos para retorno a normalidade.
Março/Abril – Revisão e Confecção dos Procedimentos Operacionais e Normas de Segurança: para que haja aderência do processo de segurança à norma BS 7799- 2, faz-se necessária a documentação de todos os procedimentos operacionais e normas de segurança que garantirão a efetividade dos controles implementados. Este trabalho deve ser realizado por uma equipe especializada, uma vez que nem sempre a maneira como está sendo realizado o rodízio das fitas de backup ou o rótulo das informações, por exemplo, é o mais correto. A participação de uma equipe especializada facilita a padronização das regras seguindo os critérios das melhores práticas em segurança.
Abril – Primeiro Teste de Intrusão Externo: é indicado que sejam realizados pelo menos dois testes de intrusão em empresas que possuem endereço IP válido na internet. Após a implementação dos primeiros controles sugeridos na Análise de Risco que deve ter sido realizada no início do ano, já é momento de auditar através de tentativas simuladas de ataque a partir da Internet. Se a empresa já possui um plano de continuidade, é interessante considerar ataques de denial-of-service (esgotamento de recursos) e ensaiar a equipe de resposta a incidentes. Não se assuste quando eu escrevo “equipe de resposta a incidente”, independente do tamanho da organização deve haver alguém responsável por responder de maneira efetiva quando identificado um ataque: não importa que seja uma “equipe” de um só homem, de dez pessoas ou que seja um serviço terceirizado – como um CIRT, por exemplo.
Maio/Junho - Auditoria Tecnológica: para que haja um endosso mensal, garantindo que a empresa mantem o nível de segurança alcançado através da implementação dos controles sugeridos na Análise de Risco e delineados na Estratégia de Continuidade. Todos os controles tecnológicos devem gerar registros e estes registros devem ser verificados. A auditoria tem o caráter de envidenciar oportunidades de melhoria dentro da organização. A norma BS 7799-2 sugere que esta auditoria seja realizada por uma equipe independente e especializada, participando também o auditor interno.
Julho/Agosto - Treinamento de Funcionários: imprescindível é o treinamento dos funcionários da organização. É interessante que sejam realizados seminários tratando de temas como: Engenharia Social, Importância do Backup, Cuidados com a Senha, Classificação da Informação e etc. Em casos peculiares, considerando a participação da Alta Administração, devem ser agendados treinamentos tratando da proteção de notebook, utilização de criptografia e assinatura digital ou qualquer outro assunto que possa auxiliar à redução de risco, conforme índice indicado pela própria Alta Administração como aceitável na matriz dos riscos.
Agosto - Atualização / Treinamento do Security Officer: é tempo de atualização frente ao vasto contingente de conhecimentos que se renovam. O Security Officer ou quem for que ocupe a função de gerenciar a segurança da informação – seja este um analista, gerente, diretor ou até mesmo alguém que acumule esta função -, deve realizar pelo menos um treinamento anual para reciclagem. Este treinamento tem por objetivo o intercâmbio de boas idéias com os colegas de outras organizações e também a reflexão das melhores práticas de segurança, considerando o conhecimento e a experiência dos instrutores. Deve ser analisada também a possibilidade de um treinamento de Security Officer para uma equipe inteira, em treinamento in company. Esta prática vem sendo cada vez mais frequênte e tem trazido ótimos resultados.
Setembro – Evento Interno de Segurança da informação: para que haja o comprometimento da organização como um todo, em diversos momentos é necessário realizar trabalhos de reforço à Política de Segurança. Muitas empresas optam adotar um dia do ano como Security Day – Dia da Segurança da Informação, e aproveitam esta data para o lançamento da sua campanha de segurança, com camisetas, mousepads, pronunciamento do presidente e etc. O assunto segurança não é dos mais amigáveis. Apresentar novos controles ou conceitos que parecem tão cerceadores em um coquetel ou utilizando o recurso de um mascote, pode ser uma boa idéia.
Outubro – Segunda Reunião com Fórum de Segurança / Análise Crítica da Política de Segurança: para esta reunião é interessante que seja organizado uma espécie de Security Scorecard com indicadores de controle para cada risco tratado. Para que haja o giro do PDCA do sistema de gestão de segurança da informação, faz-se necessária uma revisão crítica da Alta Administração para endossar a continuidade da Política de Segurança da Informação.
Novembro/Dezembro - Entrevista de Aderência à Política de Segurança: a entrevista de aderência à política tem como objetivo medir a cultura de segurança da informação dos funcionários. É uma espécie de termômetro que fornece indicadores para que seja providenciado um acerto de rota. Caso seja evidenciado, por exemplo, que o departamento de engenharia está conhecendo pouco da política de backup, então entra em ação a equipe de endomarketing, sugerindo cartazes ou treinamentos específicos para elevar o conhecimento destes funcionários a um nível considerado adequado. Existem diversos softwares que realizam avaliação dos funcionários, deve-se considerar a compra ou contratação deste tipo de serviço.
Dezembro – Segundo Teste de Intrusão: é recomendado que sejam realizados no mínimo dois testes de intrusão por ano. Em algumas organizações recomenda-se testes trimestrais. Quem decide? Os interesses da organização em vista da Análise de Risco.
Além dos pontos listados acima é necessário que sejam realizadas atividades mensais, que garantam a manutenção da segurança. Uma boa prática é a realização de chekups mensais na forma de auditoria para garantir que o nível de segurança está sendo mantido. Deixe reservado um fundo que possa cobrir eventuais consultorias em uma média de 30 a 50 horas mensais, considerando a possibilidade de ocorrerem eventos pontuais que necessitem a ajuda de consultores experientes, como uma análise forense ou uma análise de vulnerabilidades em uma nova tecnologia.
A tecnologia da informação nos faz subir cada vez mais na escalada onde cada centímetro de vantagem nos dá maior participação em mercado, satistação do cliente e diferenciação. Nesta escalada não podemos subir, subir, subir sem pensar em segurança. Entenda os 127 controles apresentados na ISO 17799 como aquele pino que os alpinistas prendem à parede a cada metro de subida, garantindo que se houve algum tipo de queda, esta será controlada e estará dentro do limite de risco aceito. Espero que este perfil de direcionamento para as atividades de segurança possa ajudá-lo a organizar as prioridades para o próximo ano. Este artigo não tem a intenção de ser um modelo a ser seguido, mas de ser utilizado como benchmark na hora em que você for confeccionar seu plano para 2004.
Nosso primeiro passo será listar todos os projetos relacionados à segurança que foram realizados no ano corrente. Não se pode planejar o futuro sem entender o passado, pois seria incoerente tratar de novos desafios sem antes dar o fechamento aquilo que foi realizado ou está em fase de finalização. Com base a nosso planejamento passado devemos aferir nossa capacidade de predição orçamentária considerando também a previsão de tempo, recursos e expectativas. Vou lhes contar uma regra de ouro da segurança, que parece óbvia mas nem sempre é seguida: só o que é monitorado pode ser medido, só o que é medido pode ser gerenciado. Se não houve histórico para determinarmos a performance de determinada ação, dificilmente saberemos se estamos indo para o lado certo.
Todo o investimento em um controle de segurança deve ser justificado com a minimização de um risco. Conceitualmente “controle de segurança” é tudo aquilo que se aplica na redução de determinado risco, controles são firewall, IDS, biometria, redundância de link e etc. Quanto gastar no controle? A análise de risco é quem vai dizer. Se comprei um firewall e não consigo mensurar através de informações gerenciais qual o impacto da sua ausência no negócio da minha organização, entã, não posso afirmar que eu preciso de um firewall. Lembro que esta análise deve ser preferencialmente financeira, em alguns casos – pela dificuldade que ainda temos em tangebilizar o valor do ativo informação – está a contento uma análise qualitativa apresentando o impacto da quebra da confidencialidade, integridade e disponibilidade.
Agora vamos ao que realmente nos interessa: quais são as melhores práticas para a confecção de um plano diretor anual para uma empresa de médio e grande porte. Preparei uma lista de projetos que não consideram contratação de hardware ou software, porque assim eu entraria em particulares que variam dentro de um grande espectro. Refiro-me aquilo que é imprescindível e que independente da natureza do negócio, deve ser realizado, variando apenas o escopo abrangido por cada um dos tópicos.
Janeiro – Primeira Reunião com Fórum de Segurança: esta reunião, que deve contar com a parcitipação da Alta Administração da organização, proverá direcionamento ao processo de segurança da informação, garantindo apoio a política de segurança existente e apontando quais são os níveis de risco aceitáveis para a organização.
Janeiro/Fevereiro - Análise de Riscos e Vulnerabilidades: é imprescindível que seja realizada uma análise de riscos e vulnerabilidades. Se já foi realizada uma análise no ano anterior, então é o momento de revisá-la. Esta análise deve retornar como produto um relatório que será utilizado pelo gestor durante todo o ano. O relatório de análise de risco é dinâmico e deve receber como anexo as demais análises realizadas pontualmente sobre processos que foram agregados ao negócio da organização durante o ano.
Fevereiro/Março – Plano de Continuidade do Negócio: antes do fechamento do primeiro semestre é importante que seja realizada uma Análise de Impacto - BIA, preferencialmente associada aos indicadores de criticidade dos processos listados na Análise de Riscco. Geralmente a reavaliação dos planos de continuidade geram diversas ações que fogem ao comando da área de tecnologia, responsável pela continuidade dos sistemas e muitas vezes de toda a área de telecomunicações. Ações administrativas, geralmente envolvem modificações estruturais em sites e também a contratação de terceiros. Modularize seu plano de maneira a conseguir sustentar a continuidade operacional, recuperação em caso de desastres e procedimentos para retorno a normalidade.
Março/Abril – Revisão e Confecção dos Procedimentos Operacionais e Normas de Segurança: para que haja aderência do processo de segurança à norma BS 7799- 2, faz-se necessária a documentação de todos os procedimentos operacionais e normas de segurança que garantirão a efetividade dos controles implementados. Este trabalho deve ser realizado por uma equipe especializada, uma vez que nem sempre a maneira como está sendo realizado o rodízio das fitas de backup ou o rótulo das informações, por exemplo, é o mais correto. A participação de uma equipe especializada facilita a padronização das regras seguindo os critérios das melhores práticas em segurança.
Abril – Primeiro Teste de Intrusão Externo: é indicado que sejam realizados pelo menos dois testes de intrusão em empresas que possuem endereço IP válido na internet. Após a implementação dos primeiros controles sugeridos na Análise de Risco que deve ter sido realizada no início do ano, já é momento de auditar através de tentativas simuladas de ataque a partir da Internet. Se a empresa já possui um plano de continuidade, é interessante considerar ataques de denial-of-service (esgotamento de recursos) e ensaiar a equipe de resposta a incidentes. Não se assuste quando eu escrevo “equipe de resposta a incidente”, independente do tamanho da organização deve haver alguém responsável por responder de maneira efetiva quando identificado um ataque: não importa que seja uma “equipe” de um só homem, de dez pessoas ou que seja um serviço terceirizado – como um CIRT, por exemplo.
Maio/Junho - Auditoria Tecnológica: para que haja um endosso mensal, garantindo que a empresa mantem o nível de segurança alcançado através da implementação dos controles sugeridos na Análise de Risco e delineados na Estratégia de Continuidade. Todos os controles tecnológicos devem gerar registros e estes registros devem ser verificados. A auditoria tem o caráter de envidenciar oportunidades de melhoria dentro da organização. A norma BS 7799-2 sugere que esta auditoria seja realizada por uma equipe independente e especializada, participando também o auditor interno.
Julho/Agosto - Treinamento de Funcionários: imprescindível é o treinamento dos funcionários da organização. É interessante que sejam realizados seminários tratando de temas como: Engenharia Social, Importância do Backup, Cuidados com a Senha, Classificação da Informação e etc. Em casos peculiares, considerando a participação da Alta Administração, devem ser agendados treinamentos tratando da proteção de notebook, utilização de criptografia e assinatura digital ou qualquer outro assunto que possa auxiliar à redução de risco, conforme índice indicado pela própria Alta Administração como aceitável na matriz dos riscos.
Agosto - Atualização / Treinamento do Security Officer: é tempo de atualização frente ao vasto contingente de conhecimentos que se renovam. O Security Officer ou quem for que ocupe a função de gerenciar a segurança da informação – seja este um analista, gerente, diretor ou até mesmo alguém que acumule esta função -, deve realizar pelo menos um treinamento anual para reciclagem. Este treinamento tem por objetivo o intercâmbio de boas idéias com os colegas de outras organizações e também a reflexão das melhores práticas de segurança, considerando o conhecimento e a experiência dos instrutores. Deve ser analisada também a possibilidade de um treinamento de Security Officer para uma equipe inteira, em treinamento in company. Esta prática vem sendo cada vez mais frequênte e tem trazido ótimos resultados.
Setembro – Evento Interno de Segurança da informação: para que haja o comprometimento da organização como um todo, em diversos momentos é necessário realizar trabalhos de reforço à Política de Segurança. Muitas empresas optam adotar um dia do ano como Security Day – Dia da Segurança da Informação, e aproveitam esta data para o lançamento da sua campanha de segurança, com camisetas, mousepads, pronunciamento do presidente e etc. O assunto segurança não é dos mais amigáveis. Apresentar novos controles ou conceitos que parecem tão cerceadores em um coquetel ou utilizando o recurso de um mascote, pode ser uma boa idéia.
Outubro – Segunda Reunião com Fórum de Segurança / Análise Crítica da Política de Segurança: para esta reunião é interessante que seja organizado uma espécie de Security Scorecard com indicadores de controle para cada risco tratado. Para que haja o giro do PDCA do sistema de gestão de segurança da informação, faz-se necessária uma revisão crítica da Alta Administração para endossar a continuidade da Política de Segurança da Informação.
Novembro/Dezembro - Entrevista de Aderência à Política de Segurança: a entrevista de aderência à política tem como objetivo medir a cultura de segurança da informação dos funcionários. É uma espécie de termômetro que fornece indicadores para que seja providenciado um acerto de rota. Caso seja evidenciado, por exemplo, que o departamento de engenharia está conhecendo pouco da política de backup, então entra em ação a equipe de endomarketing, sugerindo cartazes ou treinamentos específicos para elevar o conhecimento destes funcionários a um nível considerado adequado. Existem diversos softwares que realizam avaliação dos funcionários, deve-se considerar a compra ou contratação deste tipo de serviço.
Dezembro – Segundo Teste de Intrusão: é recomendado que sejam realizados no mínimo dois testes de intrusão por ano. Em algumas organizações recomenda-se testes trimestrais. Quem decide? Os interesses da organização em vista da Análise de Risco.
Além dos pontos listados acima é necessário que sejam realizadas atividades mensais, que garantam a manutenção da segurança. Uma boa prática é a realização de chekups mensais na forma de auditoria para garantir que o nível de segurança está sendo mantido. Deixe reservado um fundo que possa cobrir eventuais consultorias em uma média de 30 a 50 horas mensais, considerando a possibilidade de ocorrerem eventos pontuais que necessitem a ajuda de consultores experientes, como uma análise forense ou uma análise de vulnerabilidades em uma nova tecnologia.
A tecnologia da informação nos faz subir cada vez mais na escalada onde cada centímetro de vantagem nos dá maior participação em mercado, satistação do cliente e diferenciação. Nesta escalada não podemos subir, subir, subir sem pensar em segurança. Entenda os 127 controles apresentados na ISO 17799 como aquele pino que os alpinistas prendem à parede a cada metro de subida, garantindo que se houve algum tipo de queda, esta será controlada e estará dentro do limite de risco aceito. Espero que este perfil de direcionamento para as atividades de segurança possa ajudá-lo a organizar as prioridades para o próximo ano. Este artigo não tem a intenção de ser um modelo a ser seguido, mas de ser utilizado como benchmark na hora em que você for confeccionar seu plano para 2004.