Segurança da Informação - Edison Fontes


Comércio Eletrônico: mais credibilidade e mais segurança!

Quem não fica com receio quando vai fazer uma compra no Ambiente de Comércio Eletrônico? Todos! Esta não é uma resposta cientificamente comprovada. Mas “atire a primeira pedra” quem nunca ficou inseguro de passar os dados do seu cartão de crédito ou com medo da não seriedade da empresa vendedora e você não receber aquilo que comprou.

 

Recentemente a FECOMERCIO/SP realizou uma pesquisa com consumidores e indicou que um em cada dez usuários de cartão já sofreram clonagem de cartão. A SERASA Experian constatou que a cada 15 segundos um consumidor brasileiro é vítima da tentativa de fraude conhecida como roubo de identidade onde criminosos utilizam dados pessoais com a intenção de realizar transações fraudulentas.

 

Atualmente como orientação básica indicamos para o consumidor comprar em lojas virtuais que possuam lojas físicas e que tenham boa reputação no mercado. Deve-se monitorar sempre o cartão de crédito e se possível contratar o serviço de envio de mensagem para cada transação realizada com os dados do cartão. Mas, convenhamos: isto limita muito o universo de compras no ambiente de comercio eletrônico. Pessoalmente, em compras (sempre de pequeno valor) em lojas virtuais desconhecidas mas aparentemente sérias, eu tenho utilizado o boleto eletrônico. Não disponibilizo os dados do meu cartão de crédito. Entendo que a pequena loja deva ser séria, porém questiono a capacidade dela de proteger adequadamente os dados do meu cartão de crédito. O risco é muito alto.

 

Como o Comércio Eletrônico lida com milhões de dólares e o potencial de crescimento é muito grande, é necessário a existência de medidas que aumente a credibilidade deste ambiente. Recentemente uma solução que maximiza a segurança nas transações de comercio eletrônico tem surgido: empresas que administram Carteiras Eletrônicas e fazem a intermediação das compras no Ambiente de Comercio Eletrônico. Por que esta solução aumenta a segurança destas transações?

 

1. O Vendedor (Loja) não tem acesso aos dados de cartão de crédito, débito ou conta corrente do Comprador (Você).

=> Estas informações ficam armazenadas neste Provedor de Serviço de Carteira Eletrônica (PSCE) de maneira muito mais segura do que se estivesse no ambiente digital da maioria das Lojas. Por ser uma organização especializada em ambiente digital, o PSCE possui profundo conhecimento para a utilização das melhores soluções de criptografia e de sigilo de informação.

 

2. O Comprador é validado pelo Provedor de Serviço de Carteira Eletrônica.

=> Para utilizar este serviço, Você (Comprador) precisa previamente se cadastrar no Provedor de Serviço de Carteira Eletrônica (PSCE). Este provedor fará as devidas verificações para garantir a autenticidade e veracidade da sua identidade (Comprador). Desta maneira em uma transação eletrônica, o Vendedor não terá risco o risco da ameaça de um falso Comprador. Este risco será assumido pelo PSCE.

 

3. O Vendedor é validado pelo Provedor de Serviço de Carteira Eletrônica n(PSCE)

=> Somente Vendedores previamente cadastrados serão aceitos pelo PSCE. Para este cadastramento serão analisadas questões de capacidade financeira, capacidade de logística e profissionalismo do Vendedor. O risco de um Vendedor de má fé é do PSCE. Você (Comprador) estará protegido.

 

4. O PSCE garante a entrega do produto ou você terá seu dinheiro de volta.

=> Em função da análise rigorosa de Empresas Vendedoras, o PSCE garantirá para você (Comprador) que caso o produto não seja entregue, você terá o seu dinheiro de volta. Isto é, o Comprador repassou o risco da não entrega para o PSCE. Também o Provedor atuará em questões de conflito, tipo: o produto foi entregue, mas fora do prazo. O Comprador terá um defensor perante situações de não conformidade do Vendedor.

 

5. O Comprador (você) pagará por este serviço?

A princípio as soluções existentes no mercado e as que estão por vir não cobram do Comprador. O Provedor de Serviços de Comércio Eletrônico será remunerado pelo Vendedor utilizando um pequeno percentual em cada compra.

 

5. Mas, o Provedor de Serviço de Carteira Eletrônica (PSCE) terá os dados do Comprador (Você). Ele poderá usar estes dados indevidamente. Existe este risco?

=> Primeiramente vamos nos lembrar que risco (probabilidade de uma ameaça se concretizar) somente será zero caso a situação não seja utilizada. Entendo que este risco é muito baixo. No Brasil os Provedores de Serviço de Carteira Eletrônica estão (ou estarão) submetidos a regulamentos do Banco Central. E no exterior, um PSCE está submetido a controles mais rigorosos que os regulamentos brasileiros. Desta maneira entendo que o risco mesmo baixo existe, porém, será semelhante ao risco atual de um Banco utilizar indevidamente as informações de seus clientes.

 

6. Esta solução poderá ser utilizada em uma loja física?

=> Esta opção vai depender das facilidades e opções de cada PSCE. Alguns já permitem. Ao fazer uma compra em uma loja física, em vez de você passar seu cartão de crédito físico, você indica esta forma de pagamento, a loja faz uma transação que entra em contato com o PSCE que por sua vez manda uma mensagem para o seu celular. Você aceita (tudo com senha ou biometria) e a transação é finalizada. Só não deixe seu celular sem bateria.

 

Entendo que (principalmente) as Organizações Vendedoras, os Provedores de Serviços de Carteira Eletrônica e as Empresas de Cartão de Crédito cada vez mais vão disponibilizar soluções que ofereçam mais segurança, mais credibilidade e mais facilidade para todos os atores do Comercio Eletrônico. Além do mais, algumas soluções já contam com o respaldo direto de instituições financeiras o que reforça mais a proteção da informação.

 

 

Isto é tão verdade que recentemente um destes bilionários americanos foi perguntado se acreditava no crescimento do Comércio Eletrônico. Ele disse que sim. A pergunta seguinte foi: vai comprar ou investir em empresas de Comercio Eletrônico. A resposta foi não. Diante do espanto do reporte ele complementou: vou investir em empresas de logística. Alguém precisa entregar o que esta grande nova onda de Comércio Eletrônico vai vender. Ele que sabe das coisas!

 

Um Eletrônico (sem Comércio) Abraço.

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

Autor de cinco livros sobre o tema segurança da informação.

edison@pobox.com

www.nucleoconsult.com.br

@edisonfontes

 



Escrito por Edison Fontes às 13h01
[ ] [ envie esta mensagem ] [ ]


O Big Data, a Segurança da Informação e a sua Organização!

O Big Data é o tema da vez, a partir do momento que a tecnologia começou a possibilitar o tratamento destas informações. Mas, como a segurança da informação interfere nesta questão? A sua organização está preparada?

 

Não resta dúvida que Big Data está (pelo menos) sendo considerado pelas organizações e desta maneira a segurança da informação precisa ser considerada. Mas, antes de tudo: o que é Big Data? Segue a minha definição: Big Data é a nomenclatura para o fenômeno, que acontece mais fortemente no ambiente digital, possibilitando que a organização tenha acesso a uma grande quantidade de informações, normalmente não estruturadas, que até pouco tempo esta organização não tinha condições práticas de acessar estas informações.

 

Entendo que as informações do fenômeno Big Data existem desde sempre. O que acontece é que recentemente elas existem mais no ambiente digital e a tecnologia possibilitou a sua compilação. Abaixo algumas considerações sobre a segurança e o tratamento das informações Big Data:

 

1. Antes do Big Data, a organização tem que saber tratar do Small Data.

Muitas organizações não tratam as informações que estão diretamente no seu mundo. Sejam estruturadas, por exemplo os seus arquivos do ambiente digital. Sejam não estruturadas como uma reclamação que um cliente faz no caixa de uma loja de varejo. Neste segundo caso, muitas organizações desejam fazer um projeto de milhões de Big Data para saber o que falam da sua dela no Facebook, mas desprezam a informação (excelente, confiável) do seu cliente no caixa de atendimento. Neste último caso a coleta pode ser feita (inicialmente) com papel e caneta.

 

2. Antes do Big Data a organização precisa proteger a sua informação

O Processo Corporativo de Segurança da Informação deve existir deste o primeiro tratamento da informação pela organização. A segurança da informação do Big Data começa na proteção da informação do Small Data.

 

3. Segurança da Informação do Big Data?

Não. A segurança da Informação é para a organização. Se a mesma está utilizando o Fenômeno Big Data, ele também será considerado. Pode surgir o questionamento: mas o Big Data tem peculiaridades e características próprias. Sim, é verdade. Mas, esta situação é semelhante de quando surgiram os primeiros sistemas em tempo real. As características da tecnologia são deferentes e ás vezes novas e desconhecidas até o momento. Porém o conceito de segurança e os controles estruturais e segurança são os mesmos para todos. O Processo Corporativo da Segurança da Informação tem como objetivo proteger a informação para que a organização atinja seus objetivos de negócio no que depende dos recursos de informação.

 

4. Estou fazendo um projeto de Big Data que trata de informações públicas, preciso de segurança?

Sim, precisa. Por um motivo simples. Estas informações estão disponíveis para todos, mas você, além de coletar, você vai agregar inteligência a este conjunto de informações. Tenho certeza que após o seu tratamento para estas informações, um concorrente gostaria de ter acesso às suas conclusões. Outra questão é que mesmo que você possa refazer o seu tratamento para estas informações, em uma situação de perda de informações você tem um recurso chamado tempo. Ter copias de segurança é um controle que precisa ser considerado.

 

5. Quais os controles prioritários de segurança da informação para um projeto de Big Data?

Todos os controles de segurança da informação devem ser considerados, porém podemos considerar alguns como prioritários:

 

a. Responsabilização.

=> É necessário a existência de Gestor da Informação, Custodiante, Gestor do Usuário.

 

b. Controle de acesso.

=> O acesso às informações originais ou após tratamento deve ser controlado e autorizado pelo Gestor da Informação.

 

c. Disponibilidade.

=> É necessário que o Gestor da Informação defina o rigor da disponibilidade das informações do ambiente Big Data.

 

d. Autenticidade de informação.

=> Deve ser garantida que a informação coletada para o Projeto Big Data da organização tenha origem garantida.

 

e. Conformidade com Leis e Similares.

=> Cada vez mais existem leis sobre privacidade e tratamento de informações que são consideradas para coleta em um Projeto de Big Data. Desta maneira é fundamental que a organização esteja em total conformidade com estes regulamentos.

 

f. Existência de Políticas e Normas de Segurança da Informação

=> Sempre temos esta dúvida: preciso ter uma Política de Segurança da Big Data ou a existência das demais Políticas e Normas de Segurança da Informação são suficientes? Entendo que a princípio não será necessário a existência de uma Política ou de uma Norma específica para o Big Data da organização. Porém, podemos ter um regulamento específico que faça uma compilação dos demais controles de segurança da informação com foco em Big Data.

 

Este assunto de Big Data é extenso e envolve vários aspectos. Um deles é a segurança da informação. A organização que possui um Processo Corporativo de Segurança da Informação estará mais preparada para tratar o Grande Dado, o Pequeno Dado. Estará mais preparada para proteger a sua informação de maneira adequada  e compatível com seu tipo de negócio.

 

Um Big Abraço.

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

Autor de cinco livros sobre o tema segurança da informação.

edison@pobox.com

www.nucleoconsult.com.br

@edisonfontes

 



Escrito por Edison Fontes às 13h00
[ ] [ envie esta mensagem ] [ ]


Marco Civil da Internet e o usuário da informação!Marco Civil da Internet e o usuário da informação!

O Marco Civil da Internet foi aprovado pelo Senado Federal e sancionado pela Presidente Dilma. Para o Cidadão afeta pouco no seu dia a dia. O novo regulamento requenta princípios existentes na legislação porém avança em alguns pontos de defesa no uso da Internet.

Podemos destacar alguns aspectos:

1. Explicita que o acesso à Internet é essencial ao exercício da cidadania.

=> O que vai ser mais precioso é como isto será regulamentado. Lembremos que todo Cidadão tem direito a educação, moradia e saúde. Porém na prática não vale nada.

 

2. Neutralidade da rede.

=> Com certeza este é o item de maior impacto em termos de liberdade. Nenhuma empresa prestadora de serviços de comunicação poderá identificar tipo de conteúdo (vídeo, texto, voz) e dar um tratamento diferenciado. Com a desculpa de possibilitar serviços diferenciados, estas empresas estariam autorizadas a identificar os tipos de conteúdo que o usuário da informação utiliza. Evidentemente o risco destas empresas identificarem este conteúdo continua, pois tecnicamente é possível fazer esta intervenção.

 

3. Armazenamento de dados pelos provedores

=> Provedores de Internet poderão prestar serviços no Brasil e terem seus dados armazenados no exterior. Como é hoje. É explicitado que estas empresas deverão se submeter á legislação brasileira. Com este ponto elimina-se a discussão sobre algumas obrigações de empresas prestadoras de serviço que se baseavam que o pais onde os dados estavam armazenados não permitiam determinadas ações.

 

4. Responsabilidade dos provedores pelo conteúdo de terceiros

=> Os provedores não serão responsabilizados pelo conteúdo colocados por terceiros e somente serão responsabilizados para retirar algum conteúdo com ordem judicial. Ao colocar esta responsabilidade para o Juiz elimina-se abusos, porém sobrecarrega mais ainda o Judiciário.

 

5. Dados pessoais

=> Os dados pessoais e registros de conexão dos internautas terão que ser guardados durante até um ano. Um possível brecha é que cita que autoridades administrativas que tenham competência legal poderão requisitar estes dados. Fica a possibilidade de integrantes do governo terem acesso a dados de internautas sem decisão judicial. Outra questão para a guarda de dados de conexão de acesso é o fato de se armazenar previamente dados de pessoas para quando estas pessoas cometerem atos ilícitos serem investigadas. É discutível. Pessoalmente acho aceitável, desde que estes dados sejam protegidos.

 

O lamentável é que o Legislativo se dobrou ao Executivo. O Senado, casa que tem a missão de validar e verificar as decisões da Câmara dos Deputados aprovou a toque de caixa, sem exame das devidas comissões. Segundo os jornais, mediante a troca política de apoio para as próximas eleições. Isto não é bom para a democracia. Mas, as leis como as salsichas, é melhor não sabermos como são construídas. Porém, como cidadãos precisamos saber das leis.

 

É importante deixar claro que o grande mote político que acelerou recentemente no Brasil este regulamento, foi a espionagem da NSA em dados de Cidadãos do mundo mais especificamente em mensagens de correio eletrônico da Presidente do Brasil e da Presidente da Alemanha. Este é um assunto que extrapola o Marco Cível e que cada país terá que se proteger adequadamente. Pois, espionagem acontece, aconteceu e acontecerá entre países e organizações inimigas e amigas.

 

Ter o Marco Civil da Internet é bom! Mas, Segurança da Informação para o Cidadão e para as Organizações é mais do que isto.

 

 

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

Autor de cinco livros sobre o tema segurança da informação.

edison@pobox.com

www.nucleoconsult.com.br

@edisonfontes

 



Escrito por Edison Fontes às 12h59
[ ] [ envie esta mensagem ] [ ]


Lições do incêndio do Memorial da América Latina

Mas uma vez um bem público sofre com o descaso daqueles que deveriam cuidar com profissionalismo e eficácia que o mesmo merece. Desta vez foi o Memorial da América Latina, mais precisamente o Auditório Simón Bolivar. Quem teve a oportunidade de conhecer este espaço, com certeza ficou impactado com o ambiente criado pelo Gênio Oscar Niemeyer e com obras da Jovem de 100 anos, Tomie Ohtake.

A cobertura jornalística nos trouxe notícias que podem nos lembrar e ensinar. São fatos que podem acontecer (e acontecem) com diversas organizações. Que podem acontecer com a sua Organização. E se fosse o ambiente das informações de sua organização? Sua Organização está preparada para enfrentar uma situação parecida 

Vejamos o que aconteceu, e tomara que aprendamos a lição.

a. Alvará estava vencido há 20 anos

O Alvará do Corpo de Bombeiros estava vencido há 20 anos e estavam providenciando. Pura balela. É inacreditável. Um elemento legal, mínimo necessário, não existia. O mais incrível é que o ambiente estava funcionando normalmente. Mas, independentemente da fragilidade da fiscalização, a organização tem que se auto fiscalizar. Claro que a prefeitura tem uma culpa enorme por não fiscalizar. Afinal é um dos monumentos da Cidade de São Paulo e não vale a desculpa de poucos fiscais. Mas, a organização tem que, antes de tudo, cuidar de si mesma 

b. Todos os prédios e obras têm seguro, afirmou o presidente do Memorial.

Sim, e os ingleses tomas chá as cinco da tarde. Esta é uma afirmação ingênua? Ignorante? Ou de má fé? Tomara que seja ingênua. O fato de ter seguro não elimina a necessidade de ser ter uma avaliação atualizada das condições físicas pelo Corpo de Bombeiros ou por especialistas. A ameaça que um seguro cobre não tem nada a ver com a ameaça da destruição pelo fogo. O seguro cobre a parte financeira. Não cobre vidas e as perdas imateriais.

c. Hidrantes não estariam funcionando

Simples. Não se faziam testes regulares. Um simples teste mostraria falhas como esta dos hidrantes.

d. O acesso ao auditório foi difícil

Da mesma maneira do item anterior, testes não eram realizados. Não foi feita nenhuma simulação para avaliar como e durante quanto tempo a brigada de combate imediato conseguiria chegar aos diversos pontos do auditório. 

e. Brigadistas teriam usado extintor de água em lâmpada elétrica

Os bombeiros relataram que brigadistas teriam usado extintores a base de água para combater fogo provocado por eletricidade. Falta total de treinamento da brigada. Isto é, a Brigada existia, mas totalmente sem preparo adequado. 

f. Uma lâmpada estourou e saiu fagulhas

Material de fácil combustão não deveria ser utilizado ou neste caso, lâmpadas deveriam ter uma segunda proteção para o caso de falhas. Mais uma vez, demonstra a não existência de simulações e estudo dos riscos do ambiente.

g. Fumaça invade estúdios e corredores da Rede Record

A Rede Record é vizinha do Memorial e mesmo o fogo não sendo nas suas instalações, sofreu com o fogo do vizinho. Estúdios tiveram que ser abandonados e ocorreu impacto no operacional, isto é, na programação da Rede Record. Isto nos lembra e ensina que nossa Organização pode estar bem preparada, mas se nossos vizinhos não estiverem poderemos sofrer com a fragilidade dos mesmos.

h. Tomie Ohtake pretende refazer a obra

Assim que seu filho lhe deu a notícia de que sua obra, uma linda tapeçaria de 70 metros de cumprimento tinha sido destruída pelo fogo, a Jovem artista Tomie Ohtake de 100 anos decidiu que iria refazer a obra. Uma lição de vida.

 

Não é bom que situações como esta do incêndio do Auditório do memorial da América Latina em São Paulo aconteça. Mas já que aconteceu que todos nós aprendamos e nos lembremos de algumas lições e que nossas organizações ganhem com isto. 

Como está a sua organização? 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 15h23
[ ] [ envie esta mensagem ] [ ]


Segurança da Informação como elemento de combate a fraudes!

As recentes notícias sobre fraudes na Prefeitura da Cidade de São Paulo, reforça o elemento segurança da informação como um forte componente para o combate de crimes deste tipo. Não se foge muito aos controles burlados: acesso indevido, acesso por identificação de outros usuários, poder demasiado para certas transações, falta de revisão periódica dos controles de segurança e falta de registros de auditoria (log). 

Evidentemente para ocorrer fraudes nos volumes encontrados no caso acima citado, muitos fatores permitiram tal fato. Porém, a existência de rígidos controles de segurança da informação evitaria muitas situações, ou dificultaria a realização de determinadas transações ou possibilitaria uma identificação mais rápida de situações de fraudes.

Cito abaixo alguns controles básicos de segurança da informação que devem estar implantados e funcionando em qualquer organização que deseje combater a fraude que ocorre utilizando os sistemas de informação.

a) Identificação e autenticação

Cada usuário deve ter apenas uma identificação e deve ser rigorosamente autenticado. Sistemas que tratam diretamente com valores financeiros devem ter uma autenticação forte tipo biometria mais uma senha com rigorosa configuração de caracteres.

O uso de dispositivos tipo tokens usados pelas instituições financeiras no acesso à Internet é uma opção alternativa, mas o uso da biometria deve ser implementada.

Um controle complementar é a exigência de apenas o uso de um único acesso. Isto é, não é permitido o usuário estar realizando tarefas em paralelo.

b) Autorização de acesso

O uso de transações deve ser autorizado e revisado periodicamente. O fato de um usuário ter permissão de acesso hoje, não quer dizer que ele deverá ter este acesso para sempre.

c) Registro de auditoria

Tudo o que for realizado no ambiente computacional deve ser obrigatoriamente registrado para facilitar uma futura auditoria.

d) O Sistema aplicativo tem que ser seguro e inteligente

O sistema aplicativo em questão deve ter controles internos que bloqueiem ou exijam uma autorização para determinadas situações, tipo redução de valores de impostos. E mesmo que uma redução sejam legitima esta ocorrência tem que estar amarrada a uma solicitação formal e legal. Não se pode deixar realizar ações de alteração de dados apenas por que o usuário autorizado assim quer fazer.

Estas ações de alteração de dados críticos devem ser registradas em um relatório especial e enviado para um funcionário de nível hierárquico mais alto. Ah! Isto acarreta mais trabalho? Sim, mas quem disse que a segurança da informação é grátis?

e) Gestão de riscos em segurança da informação

É obrigatório a existência de uma gestão de riscos em segurança da informação que nada mais é do que uma revisão periódica das ameaças, dos controles existentes e da probabilidade destas ameaças se concretizarem.

f) Gestor de Segurança da Informação

É fundamental que exista um profissional experiente em segurança da informação dedicado à Gestão da Segurança da Informação. Este Gestor precisa ter independência e autonomia para fazer acontecer o Processo Organizacional de Segurança da Informação. Sem esta independência e autonomia, este processo tenderá a um “faz de conta”. 

Conclusão

Qual a segurança da informação que sua organização quer possuir? Qual a segurança da informação sua organização precisa ter para atender aos objetivos da organização?

 

A resposta é da sua organização. A resposta é dos executivos da organização.

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 15h22
[ ] [ envie esta mensagem ] [ ]


Internet deve garantir disponibilidade e integridade. Sigilo é para aplicação!

A Internet, o conjunto de sua estrutura e de seus componentes, deve garantir obrigatoriamente para os usuários a integridade da informação e a disponibilidade do serviço. O sigilo da informação deve ser providenciada pelas aplicações e pelos responsáveis de conteúdo. Se você envia um email sem criptografia não pode exigir que a rede garanta a confidencialidade. 

Com a divulgação das informações do Analista da NSA dos Estados Unidos, Edward Snowden, colocando para os leigos que existe espionagem do Grande Irmão americano, muitos governantes querem exigir regras de confidencialidade para a Internet. Estes comentários têm mais objetivo de impressionar o público interno de cada país do que uma vontade verdadeira de luta pela verdade, justiça, transparência e privacidade. Mas, não deixa de ser uma preocupação válida e com respingos na política externa. Evidentemente o fato de informações de pessoas circularem sem proteção adequada, não dá o direito de um país estrangeiro espionar estas informações.

Porém, é preciso colocar as responsabilidades de maneira bem definida. A Internet foi desenvolvida com o objetivo de troca de informações e isto ela cumpre muito bem até hoje, mesmo após o seu (necessário) uso comercial. A Internet precisa garantir a Integridade da informação, isto é, aquilo que foi colocado na rede deve chegar no seu destinatário de maneira correta, sem estar corrompida. Outra obrigação da Internet é estar disponível para a sua utilização.

A confidencialidade, o sigilo da informação precisa ser fornecida pelo serviço, tipo correio eletrônico. Não deve nunca ser a rede que garanta o sigilo da informação enviada por um email. Quer ter sigilo: use a criptografia de dados. É uma aplicação comercial? As boas soluções existentes no mercado darão um padrão de sigilo para informação adequado. Trata-se de um país, de um Estado (nação politicamente organizado), entendo que não é adequado utilizar soluções de criptografia comerciais. Principalmente de países onde a legislação praticamente permite que órgão de segurança, abram para o governo suas “portas de fundo” para a quebra de sigilo. Para um Estado, deve-se desenvolver uma tecnologia própria de criptografia e compatível com a informação que se deseja proteger.

 

Além do mais, não basta se preocupar com a espionagem de outros países quando a mensagem passa por eles. E internamente no Brasil, como fica o sigilo nos provedores de acesso? Por isso, a rede e os elementos que possibilitam o seu funcionamento devem garantir a integridade da informação e a disponibilidade do serviço. O sigilo é por “conta do freguês”.

Mas, o freguês, que pode ser Estado ou Organização, precisa dizer como quer a sua segurança, descrevendo as suas políticas e normas de segurança da informação. E muita organização não as têm, ou se tem, é apenas para cumprir alguma regulamentação ou auditoria.

Cada organização, cada Estado tem a segurança que merece. Ou melhor, a segurança que decide ter. 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 15h20
[ ] [ envie esta mensagem ] [ ]


Quebrar códigos é possível. Cooptar é mais fácil!

Dentre as contínuas notícias sobre espionagem entre países amigos, neste fim de semana veio a notícia de que um agente brasileiro da ABIN foi recomendado se aposentar porque colaborou, isto é, repassou informações para um agente espião do governo dos Estados Unidos. Este fato confirma uma característica do mundo da espionagem e contra espionagem: para que gastar tempo quebrando mensagens criptografadas, se é possível, mais rápido e mais barato cooptar uma pessoa da organização (ou nação) alvo e ter acesso às informações que procura?

Nas organizações isto também acontece, Infelizmente são poucas, muito poucos, as estatísticas sobre roubo ou vazamento de informações nas organizações. As que existem disponibilizam dados muito superficiais. Mas, quem trabalha com segurança da informação sabe que isto acontece e com uma frequência maior do que as organizações percebem.

A primeira razão de não termos informações sobre roubo de informações é porque as organizações não querem informar estes fatos. É até compreensível. Mas, entendo que o agravante é que as organizações nem querem comentar este tipo de assunto em fóruns profissionais.

O segundo maior motivo que as organizações não querem comentar o assunto roubo ou vazamento de informações é porque elas não sabem que estão sendo roubadas ou suas informações estão sendo vazadas. Não sabem e parecem que não querem saber. Buscam passar para a alta direção que está tudo bem. Como roubo de informação não “arranca pedaço”, isto é, a informação é roubada mas continua existindo na organização, a percepção do roubo não existe.

Outra questão é que, na maioria das vezes quando há cooptação de usuário interno da organização, com recompensa em dinheiro, normalmente esta quantia é satisfatória para este usuário, mas não irá mudar totalmente o seu padrão de vida. Então este funcionário corruto não chegará no outro dia com um carro importado de valor impossível dele adquirir com o seu salário. Como também, muitas vezes a informação roubada é de grande valia para um concorrente, mas trará ganhos médios a este concorrente, pensa-se que em alguns momentos o concorrente foi mais inteligente e conquistou uma determinada fatia do mercado da organização. Este roubo de informação somente será identificado se for o caso de um novo produto com muitas inovações, que “milagrosamente” o concorrente lança dias antes. Ou a perda de uma concorrência onde a organização tinha certeza que estava apresentando o melhor preço e condições.

Espionagem entre organizações existem. Bem como doação de informação por negligência, também existe, quando relatórios desatualizados são colocados no lixo sem a devida destruição. Ou equipamentos de tecnologia são descartados e vendidos sem que os dados sejam apagados.

Para proteger a sua informação a organização precisa ter um Processo Organizacional de Segurança da Informação. Evidentemente um processo sério e profissional. Não tipo “me engana que eu gosto”.

Segurança, democracia e virgindade: ou se tem ou não se tem!

Como está a segurança da informação da sua organização?

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 15h19
[ ] [ envie esta mensagem ] [ ]


Planejamento estratégico em Segurança da Informação


 

O planejamento estratégico da segurança da informação é fator crítico de sucesso para uma proteção efetiva da informação. Pode-se proteger a informação sem um planejamento estratégico? Sim, é possível. Porém, esta proteção será momentânea e não haverá uma garantia de que ao longo do tempo esta proteção continue.

 

Muitas organizações fazem segurança da informação por espasmo, em resposta a uma situação específica ou “vai tocando para ver no que vai dar”. Cada organização precisa saber o que vai fazer em segurança da informação nos próximos 3 anos. Qual é a prioridade da implantação dos controles. Todas as organizações têm muitas vulnerabilidades e se somarmos o tempo para resolução de cada uma delas, chegaremos na eternidade. Só resta uma solução: priorizar as ações. Para priorizar as ações precisamos planejar e definir o que será feito e qual a prioridade. Evidentemente tudo isto alinhado com os objetivos da organização. Por não conhecimento ou má fé, muitas organizações começam suas ações fazendo teste de invasão, que aparece bem para a direção, mas não possuem nem um conjunto de políticas e demais regulamentos. Estão brincando de proteger a informação.

 

Outra questão fundamental é que estamos tratando da segurança da informação da organização. Não se trata da segurança da informação da Área de Tecnologia da Informação. Evidentemente o ambiente computacional é muito importante, porém ele é um dos ambientes onde a informação é utilizada.

 

Esta abordagem da segurança da informação da organização somente acontece de verdade, se a Área de Segurança da Informação possuir a independência adequada. Se estamos tratando de segurança da informação da organização, esta área tem que estar subordinada a uma estrutura que defenda os objetivos de negócio, independentemente onde a informação esteja: no ambiente físico (convencional), no ambiente digital (computadores) ou no ambiente humano (mente).

 

Para elaborar o planejamento estratégico da segurança da informação, a organização precisa conhecer como estar a sua maturidade em relação a cada uma das Dimensões de Segurança, baseadas nas Normas da Família 27000.

 

Sua organização sabe como está a gestão de cada Dimensão da Segurança? Sua organização sabe o que vai desenvolver, implantar e manter nos próximos três anos os controles de segurança da informação?

 

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 15h16
[ ] [ envie esta mensagem ] [ ]


Brasil: Para uma Governança para a Segurança da Informação!


Precisamos urgentemente de uma Governança para a Segurança da informação para o Estado da República Federativa do Brasil. Entendo que não temos. Porém se ela existe, a mesma está escondida a sete chaves. E neste caso vai contra um dos princípios da Governança (e da boa democracia): transparência.

Primeiramente precisamos nos lembrar (ou aprender) que Governança é o direcionamento que se quer para um determinado assunto. No caso que estamos tratando: segurança da informação. Os acontecimentos recentes nos levam a entender que estamos longe de ter uma Governança para a Segurança da Informação. Em certos momentos, parece que estamos rodando em círculos, e culpando os outros.

Para se ter uma Governança de Segurança da Informação é necessário:

1. Definir como será a estrutura para cuidar da proteção da informação

Como Estado, precisamos cuidar das ameaças internas e das ameaças externas. É uma monitoração continua.

Em relação a ameaças internas muitas vezes não são grandes problemas de espionagem. Constantemente dados sigilosos são encontrados em papel desprezados no lixo. Outras vezes, órgãos como o TSE, iriam disponibilizar dados de 142 milhões de brasileiros para uma empresa não pertencente ao governo. Ou, pessoas autorizadas que acessam informações privilegiadas, aceitam serem corrompidas e disponibilizam mediante o recebimento de valor financeiro, informações para organizações que não estão autorizadas a acessarem estas informações.

Em relação ao ambiente externo a exigência de um monitoramento estruturado e constante é fundamental 

2. Definir a dependência dos fornecedores

O Estado é cliente de fornecedores de soluções em tecnologia da informação. A maioria destes fornecedores que tratam informações sigilosas não são nacionais. Isto dificulta a influência que se pode ter sobre estes fornecedores. Precisamos definir o grau de dependência ou de independência. Teremos tecnologia própria? Ou temos condições de exigir de um fornecedor estrangeiro que abra o seu código fonte para provar que não tem nenhuma “porta dos fundos” para entrar quando quiser?

 

Falamos de produtos, mas isto também é válido para os serviços. Por exemplo, em relação à Internet, dos 13 grandes computadores que gerenciam o tráfego de mensagens, 10 estão nos Estados Unidos, e consequentemente sob as leis americanas. O Brasil vai deixar de usar a Internet? Claro que não. Mas, o Estado Brasileiro precisa ter algumas definições sobre as informações sigilosas do Governo que passarão pela Internet.

Quando falamos de dados sigilosos de Estados é diferente de dados sigilosos de uma organização comercial de atuação nacional, por exemplo. Sendo bastante realista, esta organização comercial deste exemplo estará muito bem segura utilizando equipamentos e algoritmos de criptografia vendidos por fornecedores estrangeiros. É aceitável. Mas, um Estado, uma Nação politicamente organizada, pode “descansar” seus dados secretos em algoritmos de potências concorrentes, mesmo que não sejam inimigas?

Devemos e queremos pagar por desenvolver uma tecnologia própria?

3. Definir como será realizada a contraespionagem.

O Brasil, de uma maneira simplificada, não tem inimigos. Porém, temos muitos, e muitos concorrentes. Com o fim (aparentemente) da guerra fria, a guerra econômica que sempre existiu, ficou mais acirrada e consequentemente a espionagem econômica ficou mais forte. Recursos como o Petróleo, confundem o que é Estado e o que é Empresa. Principalmente no nosso caso quando o Governo é o maior acionista da Petrobras, e os caminhos a serem trilhados estão fortemente amarradas à decisões deste Governo.

Saber que estamos sendo espionados pela notícia do Programa Fantástico da Rede Globo de Televisão, ter uma declaração da Presidente indicando que vai exigir que nosso concorrente diga tudo o que fez de espionagem contra o Brasil, leva a crer que estamos sabendo pouco do que os outros estão fazendo conosco.

4. Definir o conjunto de leis para o tratamento da informação

Não podemos esquecer (podemos discordar), mas a maioria (ou todas) as ações que os Estados Unidos estão realizando contra parceiros econômicos, ao pescar os dados que passam pelo seu território e fazer análises, estão cobertos por uma legislação. Evidentemente que a grande motivação desta legislação é o combate ao terrorismo, porém, este fato deixa brechas para algumas outras ações (legais de acordo com a legislação americana).

No Brasil não temos leis efetivas sobre o uso da informação. Falamos que a espionagem americana foi uma invasão de privacidade, e pode ser considerada sob este aspecto, porém, permitimos no Brasil que empresas negociem (vide o caso TSE) dados de pessoas sem que estas pessoas tomem conhecimento ou autorizem esta transação.

5. Tratar o assunto proteção da informação como responsabilidade estratégica.

A implementação de controles é a Gestão da Segurança da Informação. Mas, para uma efetiva proteção, precisamos implantar controles coerentes e direcionados pela Governança da Segurança da Informação. E esta governança é de responsabilidade de quem está à frente do Estado. Esta governança deve ser Política de Estado, continuando válida para todos os governos que assumirem o país.

A gestão deve obedecer a governança. Na Estação Antártida Comandante Ferraz, onde o governo brasileiro realizava pesquisa e que foi destruída por um incêndio, não existia cópias de segurança das pesquisas. Perdeu-se tudo. As informações das pesquisas foram todas perdidas. Neste caso, aparentemente a NSA não teve nada com a história.

Conclusão

Evidentemente é importante refletir o passado, para entender e aprender com falhas ou limitações. Mas, mais importante é o que se vai fazer daqui para frente. Temo que os resultados imediatos serão difíceis de acontecer. Mesmo querendo mudar, passaremos um bom tempo dependente de tecnologias que não dominamos. Mas, queremos esta mesma situação para daqui a dez anos? A decisão está nas mãos. Ou decidimos corretamente, ou não esqueçamos de assistir o Programa Fantástico ou os programas das outras emissoras de televisão e vamos correr para culpar os outros, em um mundo onde cada país precisa cuidar primeiramente de si.

 

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 14h27
[ ] [ envie esta mensagem ] [ ]


Dilma e Obama: as lições para as organizações!

Desde julho deste anos um assunto continua na mídia: a possível espionagem do Governo dos Estados Unidos, utilizando a sua poderosa Agencia NSA, em relação às informações do Governo do Brasil, inclusive mensagens de correio eletrônico da Presidente Dilma.

 

Muita coisa precisa ser esclarecida e também precisamos estar ciente que muitos fatos são ações do teatro político que todos os governos executam. O debate sobre o fato em si e suas implicações devem ser examinados e discutidos. Porém, neste comentário gostaria de extrair desta situação o que as organizações podem aprender em relação à segurança da informação.

 

1. A segurança precisa ser proativa.

Considerando as notícias publicadas na mídia, o governo brasileiro e mais especificamente a Presidência da República somente ficou sabendo da espionagem após uma reportagem do Programa Fantástico da Rede Globo de Televisão.

 

Se sua organização somente for saber da espionagem que sofre por um programa da TV, tenha certeza: sua organização está muito frágil em segurança da informação. Provavelmente nem exista na sua organização um Processo Corporativo de Segurança da Informação.

 

Seja proativo e implante (ou melhore) o Processo Corporativo de Segurança da Informação.

 

 

2. Os parceiros também são nossos concorrentes

Aparentemente a espionagem do Governo Americano em relação aos dados brasileiros, não se trata de uma espionagem de guerra. Trata-se de uma espionagem econômica. Os Estados Unidos é um grande parceiro comercial do Brasil. Mas, também é nosso concorrente. Nas organizações acontece a mesma situação. Precisamos ter parceiros, mas precisamos tratar o assunto segurança da informação com estes parceiros com seriedade e rigidez. Precisamos tratar da segurança da informação de maneira séria e com competência.

 

3. Devemos cuidar do ambiente externo sem esquecer o ambiente interno

Evidentemente uma situação dessas do Governo Americano e do Governo Brasileiro aparece nos jornais, é notícia, cria discussão e gera muito barulho. Porém se quisermos proteger efetivamente a informação precisamos cuidar desta informação internamente. Por exemplo: a maioria das organizações brasileiras circulam mensagens de correio eletrônico pela Internet sem que estas mensagens estejam criptografadas. Isto significa que espionar as mensagens de organizações brasileiras no ambiente interno do Brasil é relativamente fácil. Não é necessário quebrar códigos criptográficos.

 

4. É necessário a existência de regulamentos

Outra questão é a falta de regras/regulamentos (políticas e normas) que a maioria das organizações brasileiras não possuem. Como se pode proteger ou estruturar um processo de segurança da informação em uma organização se não existem regras?

 

Voltando ao caso do governo brasileiro, o Estado brasileiro ainda precisa de algumas leis. Recentemente o TSE iria liberar informações de cidadãos brasileiros para uma empresa comercial americana que atua no Brasil e não se poderia garantir que aqueles dados não seriam enviados para fora do Brasil. Graças à reportagem do Jornal Estado de São Paulo o assunto veio à tona e o próprio TSE voltou atrás e não liberou as informações, segundo a mídia.

 

5. Precisamos proteger as nossa informações

Evidentemente uma espionagem é um ato de ofensa a um país ou a uma organização. Mas, não temos poder sobre outros países e sobre outras organizações. Podemos e devemos ter acordos e ações similares. Mas, o que realmente precisa ser feito é cada organização tratar de proteger as suas informações. Cada organização precisa implantar e manter os controles de segurança da informação compatíveis com o seu negócio e com o seu porte. Esta é uma

 

Não espere sua organização sair na mídia (Fantástico, por exemplo) para serem tomadas as medidas profissionais para uma efetiva proteção da informação.

 

 

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 14h23
[ ] [ envie esta mensagem ] [ ]


Sorria! O TSE vendeu (baratinho, baratinho) suas informações de Eleitor!

repórter Daniel Bramatti do Jornal Estado de São Paulo, na edição desta 4ª. Feira, 07 de agosto de 2013, informa que o TSE decidiu repassar as informações cadastrais de 141 milhões de brasileiros para um empresa privada que comercializa informação. O preço foi baratinho, baratinho: 1.000 Certificados Digitais, Modelo A3, com validade de 2 anos. É bom lembrar que as informações fornecidas pelo TSE continuarão existindo após estes dois anos, enquanto os certificados perderão a validade e será necessário a geração de novos certificados sob o risco da Justiça Eleitoral parar vários de seus serviços.

As informações disponibilizadas foram: nome do eleitor, número e situação da inscrição eleitoral, situação de óbito, data de nascimento e nome da mãe.

Muitas vezes nos deparamos com a questão de quando vale uma determinada informação. Neste caso, fazendo uma “conta de padaria” (com todo respeito às padarias que em São Paulo são maravilhosas), considerando o custo de um certificado digital com cartão no valor de R$ 200,00, preço que no atacado deve cair bastante, chegamos à conclusão que a informação de um eleitor vale para o TSE: menos de R$ 0,02 (dois centavos de reais).

Eu entendo que mereço mais pela minha informação. O que você acha meu caro leitor? Quanto vale a sua informação?

Agora, com esta atitude do TSE, os Operadores do Direito estão começando uma discussão importante: o TSE poderia fazer isto? É legal? Invadiu a privacidade do cidadão? Com certeza será uma discussão muito interessante. Meu desejo é que este fato (independente se poderia ser feito ou não) traga a discussão das responsabilidades das organizações públicas e privadas em relação aos dados das pessoas.

Mesmo algumas informações sendo “aparentemente” públicas, uma organização que possua estas informações, pode disponibilizar ou vender para outra organização esta informação? E neste caso específico, o fato de um cidadão não votar na eleição passada e ainda estar em pendência eleitoral, pode ser disponibilizada para outras organizações? Qual o limite da privacidade e do direito sobre a informação relacionada a uma pessoa?

Entendo que com este fato muitas organizações vão bater na porta do TSE querendo também comprar, ou fazer um acordo com o TSE para também, em igualdade de condições, ter acesso às informações dos eleitores.

Oxalá este fato e as discussões que o mesmo está gerando, agregue mais segurança para as nossas informações. Precisamos nos preocupar com a espionagem do Governo Americano, mas não podemos deixar de debater e chegar a um ordenamento jurídico efetivo sobre fatos como este.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 14h16
[ ] [ envie esta mensagem ] [ ]


O que o Executivo deve saber de Segurança da Informação?

O Executivo de uma Organização não precisa saber tudo sobre segurança da informação. Mas, ele tem a responsabilidade, legal, de agir para a segurança da informação. O Executivo precisa estar ciente dos seguintes aspectos-características da segurança da informação:

 

1. O Executivo é o responsável pela existência do Programa Organizacional de Segurança da Informação

O Programa Organizacional de Segurança da Informação é um processo, como seu próprio nome diz, da Companhia que tem como objetivo proteger a informação da organização. Este executivo precisa apoiar explicitamente este processo porque as regras e controles que serão implantados trarão impactos no poder das pessoas e exigirão novas responsabilidades.

 

2. A segurança é para a organização. Não é para a TI

A Área de Tecnologia da Informação é importantíssima para uma efetiva segurança da informação. Mas, ela é um meio. Não é o fim. Não se faz a segurança para TI, mas se faz a segurança com a TI.

 

3. Existe espionagem pelos concorrentes

Em vários e diferentes graus de sofisticação e de procedimentos politicamente não corretos, os

concorrentes da organização buscam informação da sua empresa. E os espiões não chegam com uma vestimenta de espião. Pode ser um funcionário de vários anos na companhia, um chefe que tem toda a confiança da direção, um simples estagiário que realiza as cópias tipo Xerox de documento e tira uma cópia à mais, um prestador de serviço de uma grande empresa tipo o espião Edward Snowden que abriu os segredos da NSA ou um simples faxineiro que acessa todos os relatórios .... jogados fora.

 

4. A segurança da informação exige um Gestor dedicado

Para que o processo de segurança da informação exista e se mantenha é necessário um profissional dedicado ao assunto. Este profissional será o responsável pelo Programa Organizacional da Segurança da Informação, fará com que este programa seja adequado aos objetivos da organização e consequentemente atenda à Governança Corporativa, planeje as ações e monitore estas ações. Este Gestor da Segurança é a pessoa de confiança do executivo e por isso ele precisa ter um nível hierárquico adequado. Ele não deve ficar em baixo da Área de Tecnologia da Informação. Caso isto aconteça as prioridades de segurança estarão subordinadas às prioridades de TI e às limitações do Gestor de TI. De repente o Gestor de TI bloqueia uma ação de segurança porque vai comprometer o orçamento de TI ou porque vai apresentar uma vulnerabilidade em TI que o Gestor de TI deveria há muito ter solucionado

 

5. O Executivo é quem aprova (ou não) o planejamento das ações em Segurança da informação.

O Gestor da Segurança da Informação tem a obrigação de manter um planejamento e priorização de ações para os próximos três anos. Este plano de ação deve ser levado ao Executivo da organização para que ele verifique se as prioridades propostas pelo Gestor da Segurança da Informação estão alinhadas com as prioridades e objetivos da organização. Esta validação ou alteração ou rejeição do plano de ação é uma responsabilidade obrigatória do Executivo.

 

6. Buscar o bom e depois o Ótimo

Falo isto com bastante tranquilidade, pois sou defensor do Ótimo em segurança da informação. Porém, na maioria das vezes precisamos primeiro atingir o Bom para depois partirmos para o Ótimo. Isto é ter os pés no chão. Porém se um executivo coloca exige que o Gestor de Segurança implante (de cara) o Ótimo, poderá fazer com que este Gestor de Segurança, se não tiver maturidade suficiente para questionar o Executivo, comece a desenvolver projetos faraônicos, lindos, com belos nomes, desenvolvidos em parcerias com grandes empresas, porem que levarão anos a serem implantados. E neste período (normalmente longo) a organização fica desprotegida.

 

7. O Executivo não pode “lavar as mãos” como Pilatos

O Executivo precisa decidir sobre o Programa Organizacional de Segurança da Informação e informar isso para os acionistas, evidentemente se ele não for o acionista principal. É preciso porque em caso de problemas graves o Executivo arruma sua pasta e parte para outra, enquanto os acionistas ficam com o prejuízo.

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 14h14
[ ] [ envie esta mensagem ] [ ]


Brasil: o país mais espionado da América Latina!

Com a publicação neste domingo, 07-Jul-2013, do Jornal O Globo, informando do monitoramento pelos USA, de telefonemas e e-mails de brasileiros e de empresas instaladas no Brasil, a Presidente Dilma Rousseff convocou uma reunião pela manhã no Palácio da Alvorada. Informam que já sabiam, mas agora “a história mudou de patamar” disse o ministro das Comunicações, Paulo Bernardo. O Brasil é o país mais espionado na América Latina. Considerando as Américas, só perde para o próprio USA. 

É bom lembrar que tudo isto só veio apareceu com evidências, graças a denúncia interna para o mundo externo do técnico Edward Snowden que disponibilizou documentos secretos aos quais tinha acesso.

Algumas medidas que o governo brasileiro vai acelerar:

1. A Anatel vai questionar as empresas de telecomunicações no País para saber se elas têm algum contrato que preveja troca de informações com empresas americanas. 

2. Paulo Bernardo acredita que a interceptação tenha ocorrido no trânsito das informações nos cabos submarinos, pois “se você faz uma ligação do Brasil para o Japão, ela passa pelos USA”.

3. O ministro também acredita que a coleta de dados deve ter se concentrado mais em empresas e políticos.

4. Dilma aprovou a sugestão de avançar em propostas legislativas destinadas a melhorar a segurança de dados no país.

5. Será pedida prioridade para a votação do marco civil da internet.

6. O governo defende a criação de um organismo internacional para regular a rede mundial de computadores. “Toda a governança da internet está nas mãos dos USA”, comentou o ministro.

 

Neste momento, deixo com os leitores o julgamento sobre as ações do governo brasileiro.

Quero aproveitar para explorar lições para as organizações:

1. Concorrentes usam meios ilegais para obter informações. Esta é uma ameaça que existe e o risco dela se concretizar é alto. Proteja sua informação. Ninguém fara isto por você e por sua organização.

2. Considere seus parceiros e exija deles o mesmo patamar de segurança e a mesma rigidez nos controles de proteção da informação.

3. Não se preocupe tanto por onde sua informação vai circular. Se ela sai do âmbito da sua organização ela deve estar criptografada de maneira coerente com o valor dela para os objetivos da organização.

4. Tenha políticas e normas para a segurança da informação.

5. Faça treinamento em segurança da informação para todos os usuários (funcionários, estagiários, menor aprendiz, prestador de serviço, conselheiro, acionista e outros).

6. Corte imediatamente os acessos de usuário que não deve ter mais acesso às informações. 

7. Revise periodicamente (mensal, diariamente, semestral) os acessos existentes para cada usuário da informação.

8. A rede deve oferecer a segurança da disponibilidade. A confidencialidade deve ser provida por quem envia a informação.

9. O vazamento de informação sempre acontece com a participação de usuários da informação. O acesso indevido de criminosos acontece, mas é muito mais raro e caro. É mais fácil convencer um usuário válido a liberar informação.

10. Para você, a sua organização é a mais importante do mundo. Deixe as notícias de espionagem dos USA para os nossos governantes e proteja a informação da sua organização.

 

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

@edisonfontes




Escrito por Edison Fontes às 10h04
[ ] [ envie esta mensagem ] [ ]


Faça o Simples em Segurança da Informação!

Em segurança da informação como no mundo real temos uma grande opção: podemos começar pelo simples! As demais opções não são erradas, porém, podem ser colocadas em uma prioridade seguinte.

Até na vida do nosso pais parece difícil começar pelo simples. As pessoas foras as ruas solicitando ações simples: prioridade para saúde e educação; nenhum gasto público com estádios, cadeia para os condenados por corrupção, mais combate a corrupção, bem estar em primeiro lugar. Transporte bom e honesto, saúde (com médicos brasileiros) com hospitais funcionando. Simples. Direto. Mas neste caso, os políticos decidiram desviar o assunto: constituinte, plebiscito, mudança para voto distrital e outras sugestões mirabolantes. Que tal fazer o simples? Evidentemente neste caso, existem interesses escusos por trás de tudo.

Mas, voltando ao nosso assunto segurança da informação, muitas organizações começam pelo mais complicado e complexo.

A Norma NBR ISO/IEC 27002 -Tecnologia da informação – Técnicas de segurança - Código de prática para a gestão da segurança da informação apresenta 133 controles para o Processo Organizacional da Segurança da Informação. É fato que esta norma, nem nenhuma outra, descreve o como fazer o desenvolvimento e implantação destes controles, mas este é um caminho das pedras.

Como sugestão para o Simples da Segurança da Informação (SSI), defina um escopo de atuação para o Processo Organizacional da Segurança da Informação e desenvolva e implante estes 133 controles.

Ao identificar estes controles, verifique que cerca de 50 controles fazem referência a uma participação da direção da organização ou das áreas de negócio da organização.

É Simples. Pergunte a sua organização: deve-se estar em conformidade com a Norma Internacional, publicada no Brasil, em português, adotada pelo Governo Federal e usada na prática pelo TCU – Tribunal de Contas da União para as suas auditorias? Se a resposta for sim, defina um Gestor da Segurança da Informação com nome, sobrenome e CPF. Isto mesmo. Tem que ser uma pessoa, um profissional com experiência. Isto feito, este profissional vai começar a fazer acontecer o Processo Organizacional da Segurança da Informação, com a avaliação dos 133 controles da Norma, e consequentemente terá condições de planejar as ações. Evidentemente depois disto é executar as ações planejadas.

Outra opção (certa) porém não simples e mais complexa e com tempo indeterminado para conclusão. NÃO RECOMENDO que prioritariamente seja feita assim. mas, muitas organizações seguem este caminho:

1. Identifique todos os ativos de informação. Aqui vale também definir a granularidade de ativo de informação.

2. Identifique todas as ameaças, todos os riscos e todas as vulnerabilidades para cada ativo de informação.

3. Identifique uma proteção para cada um dos casos identificados no item 2.

4. Inicie neste momento uma avaliação de riscos para o que foi identificado nos itens 1, 2, e 3.

5. Envolva todos os usuários para validar os resultados dos itens 1, 2, 3 e 4.

 

Todos os caminhos chegam no fim. Alguns mais rápidos, Outros, de maneira mais complexa. A escolha é sua. O final também.

 

No Anexo 2 da minha dissertação de mestrado, estão listados os 133 controles da norma. Para um primeiro contato.

http://www.centropaulasouza.sp.gov.br/Posgraduacao/Trabalhos/Dissertacoes/formacao-tecnologica/2011/edison-luiz-goncalves-fontes.html

Para realizar o trabalho de um Processo Organizacional da Segurança da Informação, você precisará ter acesso e estudar toda a norma.

 

Comece pelo simples! É simples!

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

 

@edisonfontes



Escrito por Edison Fontes às 20h45
[ ] [ envie esta mensagem ] [ ]


E se fosse Cyber Vandalismo ou Cyber Ataque?

Prof. Ms. Edison Fontes, 2013

As manifestações que ocorreram e ocorrem no Brasil nas recentes semanas parece que pegou os gestores pela segurança de surpresa. Principalmente porque pegando carona vieram o vandalismo. A manifestação de indignação por tudo que está acontecendo é justa e precisa de espaço. A área cinzenta aparece quando acontece o vandalismo e o ataque de quebra-quebra.

Acompanhando a mídia, uma pergunta comum, desde o Estado FIFA (que se estabeleceu no Brasil, inclusive com leis próprias) e autoridades: o que está acontecendo? Deixo a resposta para os sociólogos e historiadores.

Da mesma maneira que o ambiente físico, o ambiente digital precisa ser protegido. Está? Espero que sim. Mas, não é apenas a proteção contra ataques cibernéticos. É preciso considerar todas as dimensões da segurança da informação para o Estado Brasileiro e para a sua organização, meu caro leitor.

Evidentemente um ataque cibernético chama a atenção e faz notícia na mídia. Mas, tenha certeza que a maior parte dos problemas com a proteção da informação são causados por erros e por ação de má fé de quem já tem acesso à informação. Um Processo Organizacional de Segurança da Informação minimiza em muito possibilidade de problemas que podem comprometer o uso correto da informação. Imagine um sistema com erro emitindo entradas em duplicata para os jogos? Ou os dados das seleções (e seus astros milionários) ficando disponíveis sem proteção de dados pessoais? Ou um usuário não treinado clicando a opção errada no estádio de jogo (final) da copa?

 

Se a sua organização, ou o Estado Brasileiro, ou o Estado FIFA, ou as organizações envolvidas na realização da Copa e de outros grandes eventos querem proteger a informação, precisa considerar um processo completo de segurança da informação, envolvendo ambiente técnico, ambiente físico, as pessoas, os regulamentos para que as pessoas saibam o que pode ou não pode fazer, a existência de planos de contingência, a existência de cópias de segurança, uma constante gestão de riscos, um monitoramento de incidentes de segurança e as demais dimensões de segurança.

Neste momento o Brasil e sua organização precisam tratar o assunto segurança da informação de maneira profissional. Mais cedo ou mais tarde o vandalismo chegará no ambiente digital. Como sua organização estará? Ou você vai dizer: o que está acontecendo?

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

www.nucleoconsult.com.br

@edisonfontes

 

 

 

 



Escrito por Edison Fontes às 20h42
[ ] [ envie esta mensagem ] [ ]


[ página principal ] [ ver mensagens anteriores ]
 
Histórico


    Votação
    Dê uma nota para
    meu blog



    Outros sites
     Livro Segurança da Informação: o usuário faz a diferença!
     Livro Vivendo a Segurança da Informação
     Livro Praticando a Segurança da Informação
     Artigos no site ITWEB
     ABSEG - Associação dos Profissionais de Segurança
     ISACA - Capítulo São Paulo
     ISSA (Brasil)
     Movimento Internet Segura