TI e a Corrida para o Futuro - A Gestão de Riscos como Alternativa

Por Victor Hugo Menegotto, CISSP

Geralmente a corrida inicia em direção ao caminho mais fácil, que parece ser sempre o mais adequado, o menos custoso, e mais eficiente, quase tão bom quanto os maiores players do mercado. Afinal, se a Microsoft, a Cisco e a IBM seguem estes padrões, faremos o mesmo, é perfeito. Parece perfeito.

Perdi a conta do número de projetos encerrados e sem continuidade, perdi a conta do número de executivos que não se preocupou em gerir, medir e controlar, mas apenas em atender demandas externas ou exigências internas. E de fato, seus objetivos foram atingidos, mas para um período curto de tempo, a curto prazo, pois é assim que funciona nossa cultura. Não é a toa que os indianos possuem uma grande potência em TI, eles planejam a longo prazo, e quando começam a colher os frutos, a garantia de que terão frutos para um século é quase certa. O mais grave disso tudo, não é a garantia dos frutos que talvez não tenhamos, mas a concorrência - com planejamento e organização – que sem piedade, nos atropelará.

Então basta de atender demandas e exigências, esta na hora de planejar o futuro, participar da implantação de seja qual for a normativa, e principalmente, dar continuidade aos processos implementados. Essa é uma tarefa difícil, mas longe de impossível. Com participação, organização e as ferramentas certas, o processo se torna menos complexo. E às vezes até simples.

Mas afinal, que normativa devemos seguir?

Considerando ITIL (ISO 20000) e Cobit, como muito promissores, pelo menos 1 destes 2 é um “must have” para quase qualquer organização de médio à grande porte. Mas o principal ponto de investimento, não é especificamente nenhuma norma. E sim, a gestão de riscos, sejam eles financeiros, de mercado ou de segurança. Independente do risco, sua gestão é fundamental.

Ok, esta entendido, ITIL, Cobit e Gestão de Riscos, mas por onde começo?

Quando você compra um carro, qual a primeira coisa que você se preocupa?

a) Em como vai fazer para consertar alguns detalhes da pintura;
b) Em como vai fazer para trocar o som, as rodas e etc;
c) Com o seguro.

Não sei em relação a você, mas para mim a resposta parece muito simples, no seguro é claro. E é neste ponto que assino embaixo da Gestão de Riscos, que irá nos proporcionar a alternativa para o seguro - o controle. A gestão de riscos vai nos dizer, quais são os problemas, vai elencá-los, vai tratá-los, e vai medí-los. Provendo a gerencia completa sobre nossos processos. Sem dúvida, a gestão de riscos deve ser o ponto de partida para qualquer executivo de TI.

E por favor, não esqueça: não basta analisar os riscos, você deve gerí-los, acompanhá-los, controlá-los e aí sim, terá gerência sobre Tecnologia da Informação e seus processos de negócio.

Socorro, invadiram o meu computador!

Por Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Estamos mergulhados na tecnologia, e isso é inegável. Feliz, ou infelizmente, hoje não temos mais como optar em não fazer parte da comunidade “conectada” à Internet. A exclusão digital causa tanto impacto quanto qualquer outro tipo de exclusão social. Mas como em tudo que é novo, a tecnologia traz consigo riscos que até então eram desconhecidos. Nunca antes tivemos tantos relatos de fraudes na Internet, seja o roubo de informações de usuários, intrusão de computadores, captura de números de cartões de crédito ou até mesmo o controle da conta bancária do internauta desprevenido.

Mas a Internet não é um bicho de sete-cabeças, e tudo isso não acontece por acaso. Acredito sinceramente que passar o cartão de crédito pela Internet em 90% das vezes é uma operação mais segura que passar o cartão para o frentista em um posto de gasolina ou em um restaurante desconhecido. Onde mora a diferença entre a segurança e a insegurança no ambiente virtual? Mora no comportamento e nos hábitos do usuário, ou seja, em nossa condição de realizarmos tarefas com consciência do risco, e tomando alguns cuidados.

O assunto é novo e nem todo mundo tem acesso a informação de como se manter seguro no mundo digital. Você já deve estar se perguntando “O que eu devo fazer para navegar com tranqüilidade?”. Sintetizei abaixo algumas dicas que julgo de máxima importância e que poderão ajudá-lo. Se estas dicas forem levadas a sério e praticadas, posso garantir que você estará muito mais seguro.

Precauções para Usuários Leigos na Internet

• Evite instalar programas que você não precisa, principalmente pacotes de software distribuídos em revistas ou disponíveis gratuitamente pela Internet. Às vezes por traz de um software gratuito, esconde-se um programa que captura informações do seu computador e envia para centros de pesquisa de marketing e mídia.

• Desligue seu computador ou desconecte da Internet enquanto você não estiver utilizando.

• Evite ao máximo abrir arquivos via anexo ao seu e-mail. Esteja atento: os vírus geralmente enviam e-mails falsificando o remetente e usando o endereço de e-mail de alguém que você conhece. Frases curtas e em inglês ou português no corpo de e-mail, e arquivos anexados no formato ZIP são fortes indícios de vírus. Quando se trata de arquivos em anexo ao e-mail a ordem é sempre desconfiar. Em alguns casos recomendo que você telefone para o suposto “remetente” e pergunte se o e-mail é original. Muito cuidado com e-mails de desconhecidos, em 99% dos casos podem ser vírus. Não deixe sua curiosidade sobrepor sua cautela.

• Instale um software de antivírus em seu computador. Esta é uma premissa básica e deve reduzir bastante o seu risco de infecção por vírus, o que não garante uma “segurança 100%”. Lembre-se de atualizar seu antivírus: um antivírus desatualizado é só um pouco melhor que nenhum antivírus.

• Quando for utilizar a internet para fazer compras, dê preferência as lojas que possuem boa reputação ou indicadas por pessoas de confiança. Nunca passe mais informações pessoais ou informações da sua empresa do que o necessário.

• Não se constranja em ligar para a loja virtual para garantir que ela realmente existe. Pergunte ao vendedor qual o endereço físico da loja. Talvez você só tenha que fazer isso uma vez, e pode ter certeza que vai evitar dores de cabeça no futuro.

• Antes de você usar o notebook da empresa para trabalhar em casa, confira com a equipe de tecnologia da sua empresa se as regras de segurança não estão sendo desrespeitadas.

• Se você carrega um notebook ou um handheld (palmtop, pocket pc e etc), evite levar consigo informações confidenciais. Certifique-se de não deixá-los em locais onde possam ser roubados, principalmente quando são despachados no aeroporto.

• Grande parte dos crimes onde há roubo de informações como senha bancária, são realizados através de e-mails enviados a correntistas simulando a página dos bancos. A grande maioria dos bancos brasileiros não enviam e-mmails para seus correntistas, a exceção dos que enviam, em hipótese alguma solicitam informações como por exemplo a senha dos correntistas. Nesta caso a regra, mais do que nunca, é: DESCONFIE. Em caso de dúvida, ligue para o seu gerente.

• Se você teme pela visualização de conteúdos ofensivos pelos seus filhos, consulte um especialista. Existem mecanismos que filtram o conteúdo da Internet e impedem que crianças sejam expostas a pornografia ou outras ameaças desse tipo.

• Se o seu computador está se comportando de maneira estranha, como por exemplo, abrindo janelas com propaganda sem que você tenha clicado em nenhum botão, chame um especialista.

• Dependendo da importância das informações que você carrega em seu computador, recomendo que um técnico certificado e de confiança verifique de tempos em tempo o seu equipamento em busca de falhas de segurança, vírus ou cavalos-de-tróia (o cavalo de tróia é um software que permite ao intruso acessar seu computador remotamente).

• Utilize senhas fortes (com combinação de letras e números). Evite usar nomes próprios, datas e outras palavras de fácil adivinhação. Uma boa senha pode ser, por exemplo, a combinação de diversos caracteres com no mínimo 8 caracteres: “s3nh4f0rt3”. Troque sua senha pelo menos a cada 90 dias.

• Quando utilizar sistemas públicos, como por exemplo, cyber cafés, evite ao máximo acessar seu Internet Banking. Caso você tenha que acessar algum sistema que peça senha, certifique-se de trocá-la imediatamente após retornar para casa.

• Nunca, em hipótese alguma, revele a sua senha para ninguém, nem mesmo para o administrador do sistema da rede da sua empresa. A função da senha é ser secreta.

• Para usuários de sistema Microsoft, recomendo que utilizem o Windows XP com o service pack 2 (última atualização do sistema operacional). Se você não souber como fazer, procure o suporte de um técnico.

• Use um firewall, programa que protege o seu computador contra acesso de terceiros. Softwares de firewall podem ser facilmente encontrados em lojas de software ou na Internet. Recomendo ainda que utilizem o programa de firewall que vem junto ao Windows XP na versão com atualização do service pack 2. Configurá-lo pode não ser fácil, portanto considere o apoio de um técnico de confiança.

• Faça cópias de segurança dos arquivos do seu computador para CDs ou outras mídias removíveis, como disquete ou fitas. Confie em mim, você ainda vai precisar recuperar alguma informação importante.

Estas são apenas algumas dicas para que você possa evitar a maioria dos riscos do mundo digital. Cedo ou tarde vamos nos defrontar com alguma situação que poderá colocar em risco nossas informações, nossa privacidade e algumas vezes o acesso a nossa conta bancária. Neste momento, a diferença entre o sucesso ou o fracasso do ataque, será o seu conhecimento. Sinta-se a vontade para passar este documento adiante.

Segurança e Insegurança em Telefones Celulares

Victor Hugo Menegotto, consultor da Axur Information Security.

Os crimes envolvendo a Internet e os ativos de informação estão surgindo com uma força jamais vista, ocupando cada vez mais o “top-of-mind” das preocupações rotineiras de CSOs, CIOs, CFOs e CEOs. Como tudo que é novo, existe ainda uma grande lacuna que dificulta o trabalho de investigações de crimes que utilizam a tecnologia como meio, e este gap é sentido por advogados, juízes e contadores, e não só pelos profissionais de TI. Como sabemos, o Brasil é referência mundial quando o assunto é “hackers e afins”, significa que devemos abrir os olhos para estas ameaças e garantir nosso papel também como referência no combate ao crime “virtual”.

Comentei em um artigo que escrevi em abril 2004 que deveríamos começar a nos preocupar com os vírus em telefone celular. Em junho de 2004 saiu a primeira notícia de um vírus para telefone celular pela Kaspersky Labs, e ao contrário do que já tinha se visto, este vírus era real, e não mais um HOAX. Em novembro do mesmo ano surgiu outro vírus. Eu sinceramente não imaginava que eles viriam tão rápido e que causariam tantos danos.

Os vírus para celular se propagam através de Bluetooth e, em alguns casos consomem toda a bateria dos aparelhos contaminados. Não é fantástico? Claro, do ponto de vista tecnológico. Já por outro lado, do ponto de vista do cidadão digital, é uma catástrofe. Estamos perdidos no meio de Bluetooth, Bluesnarfing, Bluebugging, Bluejacking e outros termos que denominam tecnologias e técnicas de intrusão. Mesmo os que não utilizam computadores estão sujeitos a uma contaminação, basta ser dono de um celular. A contaminação por estes "mobile virus" é voltada para aparelhos telefônicos avançados.

Os vírus atuantes mais comuns são o Skull, Cabir e suas variantes. O Skull substitui os ícones do telefone por caveiras, e o Cabir infecta os aparelhos em um raio de até 10 metros, via bluetooth. Um hacker com um dispositivo Bluetooth em um shopping pode conseguir diversas informações. Já imaginaram estar em um restaurante, em uma feira de tecnologia ou simplesmente passeando em um shopping center e ter o seu celular invadido por um hacker agindo através do Bluetooth? Ou mesmo, contamido por um vírus que apaga toda a sua agenda?

Da mesma forma como nos preocupamos com o aspecto de contaminação do celular por vírus, existe o viés da utilização do celular como ferramenta de espionagem, e então entramos na ciranda da busca por evidências nestes dispositivos, algo que até então ainda não se tratava. Informações muito valiosas podem estar contidas nos aparelhos, desde uma chamada realizada até uma fotografia. São inúmeros os casos de roubo de informações através de fotos tiradas via telefone celular. Um simples clique, e depois outro. Pronto, a fotografia do projeto esta no e-mail do concorrente. Mais fácil seria gravar uma reunião, ou telefonar para o concorrente e deixar o aparelho ligado durante uma decisão importante. As alternativas são muitas, cabe a nós identificá-las e tratá-las da forma mais adequada.

Já existe uma movimentação no mercado para proibição de utilização de alguns tipos de aparelho celular dentro das empresas. Em algumas corporações é proibida a entrada em determinados locais com telefone celular. Atualizem suas políticas e adicionem esta regra para os perímetros considerados críticos. A facilidade que estes aparelhos nos fornecem no dia-a-dia são também um prato cheio para quem quer se aproveitar de seus recursos.

Mas a salvação esta a caminho. O número de artigos e informações sobre investigação de aparelhos celular dobrou neste último ano. A tecnologia se desenvolve, e nós corremos atrás, na tentativa de criar proteção. O número de conceitos abordados por tecnologias móveis é tão grande que a comunidade de segurança da informação no Brasil deveria dedicar atenção maior ao tema. Não cabe discutir as vantagens e desvantagens das tecnologias, mas cabe o alerta de que esse conhecimento deve ser adquirido pelos profissionais de segurança.

Os aparelhos GSM, por exemplo, possuem cartões de memória denominaados SIM - Subscriber Identity Module, os famosos chips. Estes chips armazenam informações fundamentais para uma investigação. O GSM armazena até informações dos locais pelos quais o usuário do aparelho passou. Ferramentas como Sim Manager Pro e SIM-Scan são utilizadas para análises das informações armazenadas nos cartões SIM. Vale lembrar que os cartões também podem ser invadidos. Uma das práticas mais comuns de "anti-forensics" é a remoção de informações importantes para a investigação. Para quem tem GSM, guarde bem seu PIN e seu PUK. Outros aparelhos, CDMA, que não utilizam cartões do tipo SIM também podem ser investigados. Um exemplo de software para este fim é o famoso Oxygen, desta vez na sua versão Forensics.

Seguindo a regra de que neste ano de 2005 os investimentos em segurança serão priorizados, com o avanço das tecnologias de telefonia móvel, é interessante que as empresas comecem a levar em consideração medidas de proteção de propriedade intelectual em visão aos dispositivos móveis, considerando telefones celulares de handhelds. De qualquer forma, fica o recado, mesmo para quem passou por situações traumáticas de vazamento de informações através de celulares: existe uma luz no fim do túnel e com a tecnologia disponível para este tipo de investigação, é muito dificil que os criminosos consigam sair ilesos.

Security Officer: O Gestor da Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Com a evolução dos sistemas de tecnologia houve uma desenfreada busca pela modernização e pela informatização dos processos das empresas. Processos que antes eram realizados manualmente, ou através de dezenas de formulários, foram traduzidos para os meios digitais. Isso tudo aconteceu nos últimos 10 ou 15 anos. A quebra de paradigmas dos ativos reais e tangíveis para os ativos de informação, muitas vezes intangíveis, fizeram com que as grandes empresas fossem pegas no contrapé.

O universo cada vez maior de hackers, de vulnerabilidades tecnológicas e de ameaças internas criaram um cenário de grande risco para as organizações. Surgiu um risco com o qual os executivos não estavam acostumados a lidar: o risco da quebra da confidencialidade, integridade e disponibilidade da informação. As primeiras perguntas dirigidas pelos CEOs aos diretores e gerentes de TI foram: Qual o meu nível de risco? Como devo gerenciar este risco? Qual o nível adequado do risco? Quais são as melhores práticas internacionais em segurança da informação?

E percebeu-se que ninguém sabia ou poderia responder. A disciplina de gestão de risco operacional, sistêmico, cambial, entre outros, é parte do dia-a-dia de muitas empresas; a gestão do risco à informação, não. Pois então, na mesma época – década de 90 - percebeu-se também que não havia ninguém nas empresas com conhecimento suficiente para responder as perguntas dos executivos. Foi frente a esta nova necessidade que surgiu o Security Officer.

O nome ainda permanece em inglês, mas Security Officer é o equivalente a Gerente de Segurança da Informação, e possui variações como CSO – Chief Security Officer, resumindo que este funcionário é responsável pela gestão da segurança da informação. Observem que em algumas empresas americanas e até mesmo brasileiras, o CSO está com status de C-Level, respondendo diretamente ao Conselho Administrativo. Mas o nome do cargo não é tão importante, o que deve ser esclarecido é a natureza do seu conceito funcional.

Ainda está em crescimento o número de SO (Security Officers) que não são responsáveis somente por segurança em tecnologia da informação, acumulando também funções de segurança no controle de acesso físico – como deveria ser. Nos Estados Unidos a grande maioria dos SO possui background militar, do FBI ou serviço secreto; aqui no Brasil este cenário é muito diferente, nossas cadeiras de SO são ocupadas geralmente por ex-funcionários de grandes consultorias de segurança da informação.

O especialista em segurança da informação tem ganhado cada vez mais espaço no mercado de trabalho. Ainda existe muita demanda para profissionais de segurança, inclusive com salários que superam em muito a média de um profissional de tecnologia da informação. Infelizmente não existem muitos cursos acadêmicos com foco em segurança da informação, por conta disso, a formação deste profissional fica a critério de cursos especializados e de certificações internacionais. Nesta área, possuir certificações neutras (não focadas em uma tecnologia específica), pode significar rápida colocação no mercado de trabalho, destaco algumas certificações como CISSP e SSCP do (ISC)2, CISA, CISM do ISACA e CIFI do IISFA. Maiores informações podem ser encontradas na web.

Exemplo de Descrição de Cargo

Existe muita dificuldade em estabelecer quais são efetivamente as responsabilidades do SO e como este se enquadra na hierarquia de uma empresa. O que percebemos é que na maioria das empresas brasileiras o SO fica abaixo do diretor de tecnologia. Este é um modelo errado, embora eu tenha sempre muito cuidado em apontar este erro, porque já é um grande mérito a empresa possuir um responsável por segurança. No modelo ideal posicionamos o Security Officer de forma a que esta possa se reportar diretamente a Alta Administração. A independência é fator fundamental, porque o SO não pode se sentir constrangido em indicar situações anômalas que envolvam seus superiores. É necessário também um conhecimento generalista de tecnologia; queiramos oou não, as empresas são apoiadas por componentes tecnológicos em seus processos de negócio.

Responsabilidade:

Manter a análise de risco atualizada, refletindo o estado corrente da organização;

Identificar controles físicos, administrativos e tecnológicos para mitigação do risco;

Aprovar junto a Alta Administração o nível de aceitação do risco;

Desenvolver, implementar e gerenciar um programa de conscientização e treinamento com base na Política de Segurança da empresa;

Conduzir processos de investigação forense computacional e estabelecer interfaces com especialistas externos

Trabalhar lado-a-lado com consultores externos e auditores independentes quando for necessário.
Qualificações:

Deve ser diplomático, bem articulado possuir condições de liderar um ou vários grupos e ainda, estar capacitado a escrever relatórios com uma linguagem de negócio para indicar à Alta Administração o status de risco da organização;

Deve possuir experiência em Gestão de Risco, Política de Segurança, Plano de Continuidade de Negócios, Auditoria e padrões internacionais de segurança, como a BS 7799;

Deve estar capacitado a desenvolver acordos de níveis de serviço com terceiros, para estabelecer um bom controle da segurança nas interfaces externas à organização;

É interessante que o SO possua conhecimento em aspectos legais relacionados à segurança da informação. Algo que é muito valorizado é o conhecimento técnico e seu entendimento acerca dos controles tecnológicos como Firewall, IDS, VPN, antivírus entre outros.

Estas são algumas indicações que eu imagino que poderão facilitar na definição da posição do Security Officer na sua empresa. Obviamente existem diferentes modelos que vão variar de acordo com a cultura de cada empresa, o mais importante é começar, a evolução da figura do SO será uma equalização natural que a experiência fornecerá ao entendimento que a organização tem em relação à segurança da informação.

Governança Corporativa: Segurança da Informação na Mira dos Conselhos

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

No atual modelo de governança corporativa, aspectos como a segurança da informação raramente são considerados. “Criar valor para o acionista” – esta é uma das principais premissas de qualquer empresa da iniciativa privada. Observando sob esta fria óptica, existe um grande contrasenso na abordagem utilizada por alguns executivos.

Alguns dos indicadores que posicionam o valor da empresa quando de um processo de valoração, são diretamente influenciados pela capacidade da organização em proteger sua informação. Significa que empresas da nova economia, e empresas da velha economia que estão buscando a modernização, tem seu maior valor concentrado nos ativos intangíveis, como marca, percepção de mercado e conhecimento.

Analisando este cenário, percebemos que os ativos de valor para a empresa se desdobram sob o prisma da informação. O que conta hoje não é mais o patrimônio imobilizado, e sim a capacidade que ela tem de gerar retorno sobre o investimento em uma perspectiva de dois ou cinco anos, em conseqüência dos seus diferenciais. Muitos destes diferenciais, que agregam valor para a empresa, são personificados em: bases de dados, cadastros, planejamento estratégico, fórmulas, projetos dentre outros. Ou seja, informação pura.

Os últimos cinco anos estão aí para confirmar; algumas empresas que surgiram no início deste nosso novo século já valem muito mais do que indústrias centenárias. Existe um movimento forte para a informatização, processos digitalizados; frente a isso, ou as empresas modernizam sua forma de pensar a gestão do negócio, ou terão que sair do jogo. Na estrada rumo ao desenvolvimento e a modernização, informatização é palavra chave.

Então, o que fazer para seguir um bom modelo de governança, considerando a segurança da informação como uma das regras do jogo? A exemplo do que muitas empresas já fazem nos EUA e em toda a Europa, as empresas brasileiras devem começar a olhar com mais seriedade para as questões dos riscos relacionados a tecnologia da informação. O que muitos executivos não percebem, é que a responsabilidade final caso ocorra algum incidente relacionado ao vazamento de informação, ataque de um hacker, perda de dados entre outros, será da Alta Administração. O impacto de qualquer um dos incidentes citados refletirá no potencial competitivo da empresa, minimizando sua vantagem competitiva e em alguns casos trazendo sérias conseqüências financeiras e administrativas, como quebra de contratos, multas e até mesmo degradação da imagem.

Para que haja caracterização de Due Dilligence, o Conselho Administrativo da empresa deverá prestar atenção em aspectos como:

• existência de uma política de segurança da informação dando o direcionamento das ações para o manuseio dos dados no ambiente corporativo e também por parceiros de negócio;

• analise dos riscos relacionados a informação, para poder tomar decisões em relação a implementação de controles

• acompanhamento dos incidentes expressivos no ambiente organizacional

• garantia da privacidade da informação de clientes e parceiros

• segurança da informação deve fazer parte das tomadas de decisão das empresas

Deve-se considerar também a formação de um Fórum de Segurança. Este Fórum já está presente nas grandes organizações e geralmente é composto por membros da Alta Administração e pelo Security Officer (pessoa responsável pelas questões táticas da segurança na empresa). Estas são algumas das medidas que devem ser estudadas para configurar um bom modelo de governança, considerando a proteção dos ativos de informação. Este processo não é simples e traz consigo uma mudança nos paradigmas administrativos, mas é tão importante, que deve ser tratado como ponto chave na estratégia de uma empresa que pretende continuar posicionada no mercado pelos próximos cinco anos.

Aplicações Seguras: Como saber se a segurança é suficiente?

André Palma, consultor da Axur Information Security.

A garantia de segurança das informações de sua empresa depende diretamente de sua habilidade em gerenciar os riscos existentes no ambiente tecnológico. A implementação de ambientes seguros tem sido uma das principais preocupações dos executivos da Área de Tecnologia. Entretanto, é fundamental que as aplicações desenvolvidas para sua empresa apresentem os controles necessários frente aos cenários: “ameaças” x “vulnerabilidades” x “impacto”.

É importante ter em mente que desenvolver aplicações com segurança representa um custo adicional no projeto. Tanto prazo quanto investimento podem ser diretamente afetados pela necessidade de construir aplicações que estejam preparadas para os riscos existentes no ambiente em que serão executadas.

Quando o assunto é segurança, é impossível desconsiderar o aspecto financeiro envolvido. É muito importante que os profissionais de segurança e tecnologia estejam preparados para justificar os investimentos em segurança da informação. É necessário que todo custo envolvido em um projeto possa ser adequadamente justificado frente a necessidades reais.

Aplicar mecanismos de segurança em excesso, simplesmente para seguir as melhores práticas do mercado, pode significar investimento desnecessário: identificar o nível ideal de segurança não é um processo simples. Requer uma avaliação das ameaças e vulnerabilidades do nosso ambiente.

Sabe-se, por exemplo, que a quantidade de caracteres de uma senha está diretamente relacionada à dificuldade de quebra ou adivinhação desta senha. Agora a pergunta importante seria: quantas vezes tentaram quebrar ou adivinhar a senha de minha aplicação? Se nunca foi tentado antes, por que exigir senhas complexas com dezesseis caracteres ou caracteres especiais?

E por mais incrível que possa parecer, descobrir as estatísticas das tentativas de acesso não autorizado não é uma tarefa impossível. Comece analisando a quantidade de tentativas de entrada no sistema invalidadas devido à senha incorreta. Se estes números lhe parecem estranhos, então talvez seu sistema precise de senhas complexas com vários caracteres, caso contrário, talvez o mecanismo que exige senhas muito complexas esteja representando um custo desnecessário.

O que fica claro com este exemplo é o desafio de não apenas garantir o desenvolvimento de aplicações seguras, mas também de garantir que a implementação de mecanismos de segurança não está sendo exagerada. Em outras palavras, garantir que a aplicação irá atender os requisitos necessários de segurança, sem superestimar os riscos existentes.

Porém o contrário também não é desejável. Um outro lado da moeda pode ser apresentado por aplicações cuja segurança é considerada secundária, o que representa um erro assim como exagerar nos mecanismos de segurança. É comum que o cronograma para o desenvolvimento de aplicações priorize as funcionalidades essenciais ao sistema. Muitas vezes o pensamento é: “Vamos fazer o sistema funcionar, depois iremos pensamos nos aspectos secundários, como segurança”.

Considere sempre a segurança como aspecto essencial, pois não existe sentido em ter uma aplicação pronta, mas insegura. Cedo ou tarde será necessário aplicar mecanismos de segurança nesta aplicação e isto pode ser desastroso quando considerado após a finalização do projeto.

Partindo do pressuposto que seu ambiente está seguro, pois atualmente a segurança da infra-estrutura de tecnologia tem sido uma das prioridades nas áreas de tecnologia, é fundamental possuir uma metodologia que permita inserir mecanismos de segurança nas aplicações de forma racional. E mais, é importante que a aplicação seja monitorada para que a real necessidade ou eficiência dos mecanismos de segurança possam ser medidos e acompanhados enquanto a aplicação está em produção. Dessa forma é possível identificar os pontos em que a segurança foi subestimada e também aqueles pontos em que foi superestimada.

O desenvolvimento de novas versões das aplicações deve considerar melhorias também nos mecanismos de seguraança, dessa forma a aplicação irá com o tempo atingir o nível ideal de segurança considerando os riscos realmente críticos e a relação custo x benefício dos controles mecanismos implementados.

Qualquer erro de projeto, verificado posteriormente durante o processo de monitoração da aplicação, pode servir de lição para novas aplicações. O importante é não confiar em excesso na definição inicial dos requisitos de segurança de uma aplicação e garantir que a área de tecnologia está habilitada a verificar se as ações tomadas e os controles inseridos estão realmente minimizando os risco de acordo com o impacto para a empresa.

BS 7799-2: Certificar ou não certificar? Eis a questão.

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

A euforia causada pela possibilidade da certificação em um padrão de segurança da informação internacionalmente reconhecido traz consigo um pouco de confusão. Já não se sabe realmente quais são os benefícios da certificação. Alguns defendem que a certificação na BS 7799-2 é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento do risco, outros consideram a certificação como uma conseqüência natural de um sistema bem implementado. Quais são os reais benefícios de uma certificação em BS 7799-2? E quais são seus potenciais riscos (se é que eles existem)?

Por ser um entusiasta da segurança da informação, em especial da BS 7799, sou um tanto quanto suspeito para falar. No último ano tivemos três empresas brasileiras certificadas na norma, e para este ano estamos sentindo uma movimentação intensa de organizações dos mais diversos setores em busca da tão desejada certificação. A utilização do framework da norma BS 7799 talvez seja a solução para muitos gestores de tecnologia e de segurança que buscavam uma fórmula para gerenciar seus riscos e a eficiência de seus controles de segurança.

A norma reflete a experiência dos maiores players internacionais do mercado, e significa uma redução de trabalho considerável, uma vez que não temos que sair por ai reinventando a roda. Sintetizei alguns pontos que considero fundamentais na hora da escolha pelo caminho da certificação.

I - Aumentar a efetividade da segurança da informação

Para quem tem uma visão purista da segurança da informação, talvez este seja o mais importante aspecto inerente à certificação. A implementação de um SGSI – Sistema de Gestão de Segurança da Informação, segue a visão de melhoria contínua apregoada pelos sistemas de qualidade, na configuração de um PDCA (Plan-Do-Check-Act). Esta sistemática da à organização a capacidade de manter-se monitorando constantemente oportunidades de melhoria.

II - Investimento racional em segurança da informação

Muitas empresas não possuem claramente definidas suas necessidades de segurança - realizam grandes investimentos em segurança de acordo com as práticas de mercado. O retorno sobre o investimento em recursos de segurança torna-se obscuro. Possuir um Sistema de Gestão de Segurança da Informação significa identificar com grande precisão as necessidades de melhoria. Isto é, investir onde é necessário, garantindo um nível adequado de segurança e investimentos alinhados às necessidades da empresa.

III - Diferencial de mercado frente à concorrência

Em ambientes de forte concorrência, onde a confiança é fator fundamental para agregar novos clientes ao seu negócio, a certificação é uma poderosíssima ferramenta de marketing. Estar certificado na norma BS 7799 significa para o cliente a tranqüilidade em saber que a empresa possui solidez e que as suas informações, enquanto custodiadas pela empresa certificada, serão tratadas com o maior zelo, garantindo a privacidade, confidencialidade, disponibilidade, integridade e legalidade da informação.

IV - Gerar valor aos acionistas e satisfazer requerimentos de consumidores

A gestão da segurança da informação já esta sendo considerada como elemento complementar aos modelos de governança corporativa. Em tempos onde a informação é apontada como um dos ativos intangíveis mais importantes em processos de valoração das empresas, garantir uma boa gestão do risco da informação deve ser considerada disciplina tão ou mais importante que a gestão do risco operacional, de crédito, de câmbio entre outros.

V - É o único padrão com aceitação global

A norma BS 7799 é a convergência entre os interesses dos mais diversos tipos de empresas, tanto da iniciativa pública quando da iniciativa privada, para a configuração de um padrão que corresponda aos interesses do mundo todo. A primeira parte da BS 7799 transformou-se em ISO 17799, padrão reconhecido internacionalmente, inclusive no Brasil, onde contamos com a NBR ISO/IEC 17799.

VI - Pode haveer redução em taxas de seguro

Estar de acordo com as práticas indicadas na norma BS 7799 significa redução de risco. Do ponto de vista financeiro, quanto menor o risco, tanto maior será a garantia de perpetuidade do negócio. Algumas empresas conseguiram expressivas reduções nas taxas de seguro em vista da certificação.

VII - A norma cobre a área de tecnologia, recursos humanos e estrutura física

Ao contrário de normas específicas para segurança de ativos tecnológicos, a BS 7799 cobre a organização com uma visão holística, considerando a proteção do patrimônio informação independente da sua forma de apresentação (física, digital, voz e etc), considerando controles tecnológicos, administrativos e físicos. Muitas vezes há uma preocupação excessiva com a tecnologia e esquecemos que a dependência da empresa pelo conhecimento de um técnico especialista em JAVA, pode ser uma vulnerabilidade tão grave quanto um firewall mal configurado.

VIII - Reduz a probabilidade de risco devido a não implementação de políticas ou procedimentos eficientes

A organização da gestão da segurança no modelo PDCA, garante a continuidade das ações de segurança e a constante medição da eficiência dos controles, no melhor modelo Security Scorecard. Evita que sejam despendidos esforços em vão em projetos perecíveis que são ações pontuais contra focos de risco. As auditorias internas e o sistema de reporte de incidentes garantem um tratamento continuado às políticas de segurança e a efetividade da utilização dos procedimentos necessários para a manutenção da taxa de risco.

IX - A Alta Administração direciona as ações de Segurança da Informação

Com a estruturação da segurança conforme o padrão BS 7799, quem comanda as ações estratégicas que vão nortear as atividades táticas e operacionais é a Alta Administração da empresa. A composição do Fórum de Segurança contempla o repasse de síntese de incidentes, dos resultados da auditoria interna de segurança e da eficiência dos controles para os executivos. Este sumário apresenta o status da empresa frente aos riscos existentes, considerando os riscos que estão sendo mitigados e riscos que fazem parte do negócio.

X - Revisão independente do seu sistema de Gestão da Segurança

A certificação na BS 7799 indica a revisão independente do seu sistema de gestão de segurança da informação. O documento da certificação atesta a imparcialidade com que seu sistema de gestão foi avaliado. A auditoria externa segue regras rígidas e por isso tranqüiliza os parceiros das empresas certificadas: com a certificação em BS 7799, a empresa realmente pratica a disciplina de segurança da informação.

XI - Certificação significa “due dilligence” e redução do risco

Estar certificado significa expressar publicamente que a Alta Administração desenvolveu uma análise de risco à informação, que possui uma política de segurança da informação e que esta é divulgada amplamente, e que existe uma sistemática para monitorar permanentemente os riscos aos ativos de informação. O termo “due dilligence” indica que a empresa toma as atividades necessárias frente as suas responsabilidades para salvaguarda da sua informação. Caso, futuramente, ocorram incidentes relacionados ao vazamento de dados ou qualquer outro tipo de evento, a empresa poderá apontar indícios de que tomou todos os cuidados para que esta situação não ocorresse.

XII - Maior conscientização por parte dos funcionários

A busca e a manutenção da certificação na BS 7799 é por si só um motivador para o engajamento dos funcionários junto aos objetivos de segurança da informação. A segurança da informação sempre foi vista com certa antipatia pelos colaboradores, de uma forma geral, por parecer um cerceamento desnecessário das facilidades de acesso à informação que gozam a grande maioria dos nossos colegas de trabalho. Utilizar a certificação como razão para a manutenção da segurança, em um primeiro momento, pode ser um forte aliado para conquistar a colaboração de funcionários e justificar ajustes um pouco mais profundos na estrutura da empresa (como por exemplo, cotas de e-mails, regras para acesso a internet entre outros).

XIII - Determinações governamentais de alguns paises

Quem tem acompanhado a evolução no número de certificações no mundo certamente reparou no avanço no número de empresas certificadas na Ásia. Liderados pelo Japão – conhecido pela implementação de sistemas de qualidade, - que avançou de 17 certificações no início de 2002 para mais de 260 no final do ano, fica fácil perceber a importância que a norma vem ganhando nos paises asiáticos. Espera-se que nos próximos 3 anos alguns paises exijam certificações de segurança para parceiros estrangeiros alegando questões de “segurança nacional”.

Motivações finais

Acredito que os pontos acima citados apresentem razões suficientes para que possamos sim considerar a possibilidade de buscar a certificação. Participei da primeira certificação da área financeira nas Américas e atualmente estou envolvido em diversos projetos que objetivam a certificação; nosso sentimento é que para aquelas empresas onde a tecnologia da informação representa mais do que uma área de “sustentação de processos”, significando agente no ganho de margem competitiva e diferencial estratégico, a BS 7799 será mais do que um simples modismo, será condição de sobrevivência no mercado.