Que tal (re)começar evitando o fim?
Inicio de ano, novos planos, novas metas e novos projetos. Em segurança da informação, que tal (re) começar pelo Plano de Continuidade de Negócio? Porque uma indisponibilidade da informação pode levar o negócio ao fim! Sim, a sua organização pode sofrer um impacto financeiro, de mercado, de credibilidade ou de imagem em função de uma indisponibilidade da informação. Sem informação sua organização fica parada! Isto é certo! Se este impacto vai tirar sua organização do mercado, se vai causar um prejuízo tão grande que não terá condições de se recuperar, vai depender do tipo de negócio e do porte do grupo que esta organização pertence. Organizações que dependem do mercado e que precisam a cada dia “matar um leão” para se manter sustentável têm mais claro esta necessidade da informação e de um Plano de Continuidade. Organizações que possuem um mercado fechado (tipo uma empresa governamental que faz um serviço único) ficam mais reticente. Por exemplo, se você vai tirar o passaporte e o sistema da Polícia Federal fica inoperante, você vai ter que aguardar, reagendar ou similar. Não existe um concorrente. Porém, internamente ao Governo, um fato deste tipo pode exigir que cabeças rolem ladeira abaixo. As empresas de saúde estão abolindo o papel. Imaginem um sistema de saúde parado! Mas, independente do tipo de organização todas precisam ter seu Plano de Continuidade, com ênfase à disponibilidade da informação. Para ter um bom Plano de Continuidade de Negócio, com ênfase na disponibilidade da informação, alguns cuidados devem ser tomados na execução das etapas de um projeto deste tipo. 1. Entender o que é um Plano de Continuidade => Todos na organização devem saber o que é um Plano de Continuidade de Negócio. Se a primeira etapa vai contemplar o escopo da disponibilidade da informação, não quer dizer que somente o pessoal de informática vai ser envolvido. A Área de Informática deverá operacionalizar o que a Organização necessita. 2. O que a Organização necessita? => Para responder esta pergunta é necessário identificar qual o tempo máximo de indisponibilidade que a Organização pode suportar. Na minha experiência como Consultor e como Security Officer, esta resposta pode vir de três maneiras: a) Pelos gestores das áreas de negócio, com a realização da Analise de Impacto no Negócio. (BIA-Business Impact Analysis). O sucesso deste processo de análise é quais serão os gestores que deverão responder a este questionário. Existem escolas que defendem a realização de um BIA por processo da organização. Outra escola, que eu defendo e coloquei na prática, é um BIA por cada área ou sub área da organização. Acredito que vinte BIAs para uma Organização será um bom número. b) Por uma obrigação legal ou contratual. => Se a organização tem por contrato ou por lei, de disponibilizar a informação (serviço) em um tempo curo e rigoroso, esqueça o BIA. Não é necessário fazer. Considerando que as organizações não estão com recursos sobrando, realmente não é necessário fazer o BIA. c) Por uma determinação do acionista. => Se o dono da organização quer que a recuperação aconteça em um determinado espaço curo de tempo, e esse quere dele é uma ordem, não é necessário fazer o BIA. Precisamos apenas responder qual o tempo de indisponibilidade que a organização suporta. 3. Verificar as opções possíveis => Sabendo o que a organização precisa de disponibilidade da informação, podemos partir para analisar as opções possíveis e viáveis para a organização. Somente sabendo o tempo máximo de indisponibilidade que a organização suporta é que podemos analisar as opções de solução. 4. O Plano precisa ser documentado => Depois de decidida a solução, devemos escrever o plano. O documento do plano. Cada pessoa precisa saber o que deverá fazer caso aconteça uma indisponibilidade dos recursos de informação. Mesmo que seja “não fazer nada e ir para casa esperar ser contatado.” O documento do plano deve descrever as atividades que serão executadas e as suas prioridades. 5. O Plano precisa ser testado => Um Plano de Continuidade somente ganhará o sopro da vida se for testado. Este teste precisa ser documentado e registrado, permitindo que testes seguintes possam ser melhores. É importante em um teste a presença de um profissional que vai atuar como observador e vai, baseado nos documentos produzidos pelo teste, emitir um parecer sobre o teste, indicando como o teste aconteceu, o que funcionou bem, o que falhou e o que deve ser trabalhado para evitar que problemas semelhantes se repitam em novos testes. 6. O Plano precisa ser mantido => O sopro da vida no teste somente continuará se o Plano de Continuidade for mantido atualizado. Esta manutenção dará a sustentabilidade do Plano de Continuidade. 7. O Plano é da Organização => Todos precisam entender que o Plano de Continuidade é da Organização. Não se faz um plano para a Área de TI, para a Auditoria ou para qualquer área ou pessoa. Se faz um Plano de Continuidade porque a Organização deseja continuar operando e para tal precisa da informação. Isto é Governança! O Plano de Continuidade da Informação de uma Organização deve existir enquanto a organização existe. Ele pode (e deve) começar com um escopo limitado, mas a cada seis meses deve ter seu escopo e cenário aumentados e mais complexos. Desta maneira o executivo principal estará tratando profissionalmente a continuidade da organização. Que este novo ano seja um (re) começo do Plano de Continuidade da sua Organização. Edison Fontes, CISM, CISA, CRISC, MSc Núcleo Consultoria em Segurança edison@pobox.com
Escrito por Edison Fontes às 21h47
[ ]
[ envie esta mensagem ]
[ link ]
|
Promessas para um ano novo!
Uma sugestão de promessas para o ano novo. Diga para você mesmo, prometo: 1. Realizar cópias de segurança mensalmente das minhas informações particulares. 2. Verificar os controles de segurança (e alterar para a proteção adequada) do Orkut, FaceBook, LinkedIn, Plaxo ou qualquer outro comunicador de informações pessoais no eu participe. 3. Seguir as regras da organização na qual exerço minhas funções profissionais. 4. Não acreditar em emails sensacionalistas e que me escolhem para me comunicar com prioridade. 5. Não acreditar em emails que me prometem ganho fácil de dinheiro nem em soluções milagrosas para nosso corpo. 6. Não acreditar que praga de email pega ("Se você não repassar esta mensagem para sete pessoas em sete dias, sete anos de desgraça vão ocorrer na sua vida"). 7. Orientar meus filhos (ou netos, ou sobrinhos, ou vovô e vovó) para não falarem com estranhos no mundo virtual. 8. Não repassar correntes ou mensagens com textos que eu acho lindos, mas que não necessariamente meus amigos também acharão. 9. Manter atualizado os softwares que utilizo, bem como banir dos meus computadores de casa softwares não legalizados. 10. Passar mais tempo com meus filhos, trazer mais flores para minha(o) namorada(o), ouvir mais meus pais, ligar mais para os meus amigos (quando os filhos estiverem dormindo), achar lindo o dia de sol e o dia de chuva, olhar as pequenas coisas e agradecer mais a Deus. Bom Natal para todos! Edison Fontes, CISM, CISA Núcleo Consultoria em Segurança edison@pobox.com
Escrito por Edison Fontes às 16h32
[ ]
[ envie esta mensagem ]
[ link ]
|
Cuidado: sua organização pode ir para o WikiLeaks!
O título completo deste comentário é: Cuidado: a informação da sua organização pode ser enviada para o WikiLeaks! Sim, você leu correto. Diferentemente do que a maioria das pessoas pensam, não é o WikiLeaks que vai buscar a informação da sua organização. O WikiLeaks não tenta retirar e nem retira informação confidencial da sua organização. As informações confidenciais é que vão para o WikiLeaks! Mas como isto acontece? Mágica? Calma, não existe nenhuma mágica! As informações das organizações vão para o grande repositório público de dados, chamado WikiLeaks, enviadas por usuários dessas organizações e autorizados a acessar as informações das mesmas. O WikiLeaks garante o anonimato desses usuários. É uma espécie de “disque denúncia”. Seria um “disque informação e gue no ventilador da Internet”. O WikiLeaks se propõe a ser um divulgador de informações de empresas e governos no que tange a corrupção, a abusos organizacionais, ações que prejudiquem a humanidade ou grupos que controlam a humanidade e outras informações que mereceriam (segundo seus editores) ser de conhecimento de todos. O WikiLeaks ganhou dois prêmios importantes, da revista Economist e da Anistia Internacional, e começou a incomodar os EUA quando neste ano de 2010 revelou abusos do exército americano no Iraque e no Afeganistão. Evidentemente existe uma linha muito tênue no julgamento do que deveria ser de conhecimento da população do mundo e do que não deveria ser divulgado para não colocar vida de pessoas em perigo. Mas, o formato do WikiLeaks está divulgado e outros serviços equivalentes poderão ser criados em todo o mundo, e alguns podem ser voltados exclusivamente para organizações como a sua ou na qual você trabalha. Enfim, sua organização pode ter informações disponibilizadas no WikiLeaks (ou similar) desde que usuários autorizados entendam que sua empresa não está agindo corretamente e podem divulgar para todos os internautas. Baseando-se nas informações disponibilizadas, fica bem claro que um dos problemas principais é a falta de avaliação constante nos controles existentes. No caso das informações do governo americano, o vazamento foi feito por dois soldados que tinham acesso às correspondências (telegramas) dos diplomatas americanos. Aparentemente esses soldados não precisariam ter acesso sempre a todas as correspondências/comentários de diplomatas americanos em todos os países do mundo. É muita abertura! Neste sistema, existem (ou existiam na época dos vazamentos) dois milhões e quinhentos mil usuários autorizados a acessarem estes “telegramas” diplomáticos. Isso parece ser uma quantidade exagerada de usuários que vêem tudo desse sistema, mesmo para os padrões norte americanos. Mas, voltando para a sua organização, o que fazer? Em um dos meus livros já publicados, eu tenho um capítulo que dedico ao tema: “Alguém autorizado vai acessar!”. Onde indico que em um processo de segurança da informação, pessoas terão acesso às informações confidenciais e secretas. A questão é que não precisa ser todos os usuários! O controle de acesso à informação deve garantir que apenas aqueles usuários que realmente necessitam da informação para o desempenho profissional na organização, é quem deve ter este acesso. Sem choro nem vela! E sem levar para o lado pessoal! Não precisa ter acesso: não tem acesso! Pode ser o presidente da empresa. Se o presidente de um banco não tem como responsabilidade funcional fazer transferências de dinheiro entre bancos, ele não terá acesso à transação de transferência de dinheiro entre bancos. Não é uma questão de hierarquia. É uma questão de tratamento profissional para a proteção da informação. Quando se discute acessos à informação nos deparamos com o mito: é somente leitura. Pois leitura por pessoas que não devem ter acesso pode fazer tanto mal quanto uma alteração indevida. Sendo pragmático, verifique se na sua organização existem acessos autorizados de usuários que já saíram da organização ou que mudaram de função profissional. Estes acessos devem ser cortados imediatamente. Faça uma revisão periódica dos acessos à informação. Uma revisão a cada seis meses é uma boa recomendação. Registre todos os acessos realizados, mesmo os acessos de somente leitura. Conscientize seus usuários sobre a responsabilidade deles em relação ao sigilo da informação. Crie um canal onde o usuário possa (com garantia de anonimato, se ele quiser) denunciar abusos, ações incorretas e outras situações que o incomodam. Que tal criar um WikiLeaks interno? Se criar, me mande um email pois gostaria de saber. Principalmente: tenha um processo de segurança contínuo, permanente e com profissionais habilitados. Isto custa dinheiro? Claro que sim! Custa dinheiro!. E custa mais do que dinheiro, custa recurso como o tempo e a atenção da direção da organização. Mas, é infinitamente menor do que o impacto financeiro ou de imagem, em não ter este processo de segurança da informação. E finalmente, tenha as melhores pessoas trabalhando para você. Sempre haverá alguém que terá (e precisa ter) acesso às informações confidenciais e secretas. Por isso invista nas pessoas e mantenha os controles. Não sei detalhes, mas entendo que as pessoas que sabem a fórmula da Coca-Cola são consideradas totalmente confiáveis por esta companhia. Mas, reza a lenda de que nenhuma delas sabe a fórmula sozinha. Não se brinca com os segredos da organização. Não se esqueça do ditado popular: “Um olho na missa e outro no padre!” Abraços, Edison Fontes, CISM, CISA Núcleo Consultoria em Segurança edison@pobox.com
Escrito por Edison Fontes às 13h07
[ ]
[ envie esta mensagem ]
[ link ]
|
Planeje, Planeje e Planeje a Segurança. Depois execute!
Planejar a segurança da informação de uma organização demonstra o grau de profissionalismo com que o assunto é tratado. Evidentemente a execução após o planejamento faz parte do posicionamento de tratar a segurança da informação de maneira profissional. No nosso dia a dia temos todas as desculpas e motivos para não planejar a segurança da informação: incidentes ocorrendo constantemente, mudanças de prioridades, novos projetos e produtos da organização que nos chega em cima da hora, o controle operacional da segurança e os pedidos específicos da diretoria. Entendo que estes motivos citados acima e outros similares, são motivados em 99% pela falta de planejamento e execução do que foi planejado. Não quero fugir da realidade de que o inesperado e situações de exceção acontecem e precisam ser tratadas com a máxima urgência. Mas, vejam vocês, eu disse “situações de exceção”. Um dos grandes erros que se comete na gestão do processo de segurança é considerar a exceção como a normalidade. Exceção é exceção. E tenha cuidado, pois todas as pessoas, isso mesmo, todas as pessoas impactadas pelo processo de segurança da informação vão querer incluir situações específicas e excepcionais como normais no processo de segurança da informação. Não caia nesta armadilha. E lembre-se que esta dica não existe em nenhum manual. É fruto da experiência. Mas, não somos educados a planejar! Verdade! Às vezes nem a própria organização se planeja (verdadeiramente) e segue o planejado e vai ajustando. Estamos chegando ao final do ano e quantas vezes eu ouço de algum profissional (inclusive de grandes empresas): “estou sobrecarregado porque tem o planejamento e orçamento do próximo ano”. Este profissional em cargo de gestor vai começar o planejamento do próximo ano no dia 15 de dezembro e precisa entregar até o dia 27 de dezembro tudo ok. Me desculpem, mas isso não é planejamento: é preenchimento de planilha de números. O planejamento tem que ser feito, pelo menos mensalmente, porque estaremos ajustando o que foi planejado com o que foi realizado, e planejamos os ajustes e/ou novas ações. Se você não tem planejado em segurança da informação faça primeiro uma avaliação de como está a sua maturidade nos requisitos descritos na norma NBR ISO/IEC 27002:2005. Considere o impacto da situação na qual esses requisitos estão com maturidade fraca. Considere a probabilidade de ameaças se aproveitarem dessas fraquezas e também considere o custo (financeiro e de tempo) para a implantação desses requisitos. Monte um caminho de execução (road map). Valide sempre com os objetivos de negócio e os objetivos da organização. A segurança só deve existir para atender esses objetivos. Este é um dos princípios da Governança em Segurança. “Mas, Edison, isto gasta muito tempo! Não tenho tempo!”, você pode imaginar! Se lhe veio este pensamento, tenha certeza que é isto mesmo. Segurança gasta tempo, exige esforço e exige tratamento profissional. Entendo que este é o caminho de um processo de segurança da informação que pratica uma boa Gestão e caminha para a Governança da Segurança. Edison Fontes, CISM, CISA Consultoria em Segurança da Informação edison@pobox.com
Escrito por Edison Fontes às 12h34
[ ]
[ envie esta mensagem ]
[ link ]
|
Sem Política a Gestão de Riscos fica frágil!
Sem Política a Gestão de Riscos fica frágil! | O colega e bloqueiro da ITWEB Adriano Neves nos brindou esta semana com o comentário: Gestão de Risco, por qual motivam não praticam? Ele aborda a questão da gestão de risco em relação à gestão de projetos e apresenta razões com as quais eu concordo.
Porém gostaria de acrescentar um motivo que eu acho que antecede a todos eles e pode ser considerado para todas as abordagens de gestão de risco: a falta de política ou norma que discipline, organize e defina responsabilidades para a gestão de riscos.
Em resumo: eu entendo que as organizações não possuem uma boa Gestão de Risco porque não possuem um regulamento definindo a existência dessa Gestão de Risco. Ter um processo de Gestão de Riscos seja em projetos ou em Segurança da Informação exige recursos: pessoas, tempo e dinheiro. Se não existir uma política definindo que deve ser feita uma Gestão de Risco, ela não existirá.
A organização precisa explicitar e formalizar o que deseja para as suas informações e como deseja proteger. A existência de uma norma internacional e já publicada no Brasil, NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação, demonstra que o tema faz parte da arquitetura da proteção da informação das organizações.
Mas, o que interessa é: como a sua organização se posiciona sobre a Gestão de Riscos?
Se não existir uma política específica, a Gestão de Risco pode até existir, mas não resistirá a um grito de algum gerente que tenha certo poder e que por algum motivo a avaliação de risco irá lhe impactar. Mas, a empresa não pertence a um gerente ou executivo.
Gestão de risco faz parte do processo de segurança da informação, mas ela existe para possibilitar a realização do negócio e o atendimento aos objetivos da organização. Dessa forma é bom que esta organização explicite e formalize como quer identificar, avaliar e tratar as ameaças e riscos.
Edison Fontes, CISM, CISA Consultoria em Políticas e Normas de Segurança da Informação edison@pobox.com |
Escrito por Edison Fontes às 07h28
[ ]
[ envie esta mensagem ]
[ link ]
|
Eleições e o Cyber Eleitor
Estamos em ano eleitoral e parece que este ano de 2010 será marcado pelo forte uso da Internet. Sem sobra de dúvidas o uso da Internet na corrida presidencial dos USA onde Obama foi eleito, confirmou que a Internet tem papel, se não decisivo, muito importante. Evidentemente os próprios candidatos vão ter que aprender a conversar com seus eleitores. Os candidatos iniciantes ou de pequeno poder aquisitivo vão poder ter contato (mesmo que virtual) com eleitores que talvez nunca tivessem possibilidade de conversar ou de apresentar diretamente suas idéias. Evidentemente o show inicial é dos marqueteiros. Com uma ferramenta de comunicação como a Internet, as páginas dos candidatos vão contar maravilhas dos mesmos. É muito fácil colocar pequenas mentiras, meias verdades ou induzir o eleitor ao erro, mas sempre em benefício do candidato. Em função dessa possibilidade o CyberEleitor deverá ler tudo, mas sempre com um pé atrás. A questão é que se o eleitor está lendo sobre o candidato que lhe é simpático, ele está emocionalmente envolvido, e tudo que se escreve falando bem do candidato, este eleitor acredita que é verdade. Tudo que for escrito questionando o candidato, este eleitor não acredita e assume de cara que são mentiras e intrigas sobre o seu candidato. Precisamos ser frios e analisar cada situação. Da mesma forma que devemos questionar as mensagens (falsas) que nos chegam se passando por bancos, justiça eleitoral, programas de televisão e outros remetentes, também devemos questionar as mensagens que nos chegarão sobre candidatos e sites que nos serão indicados. Em relação aos sites, já acessei sites onde um partido fala das possíveis mentiras do candidato contrário. Se este site é registrado no Brasil, tem dono e é identificado, é um bom sinal, pois, qualquer passo em falso pode ser acusado de calúnia, difamação ou injúria (Crimes contra a Honra). CyberCrime ou CyberOpinião? Depende dos fatos e de como foi colocado. Com certeza os advogados terão muito trabalho pela frente. Para nós simples mortais eleitores, precisamos ter alguns cuidados básicos: a) Avalie a veracidade de mensagens de correio eletrônico que você recebe. Quando forem citadas reportagens de órgãos da imprensa procure a fonte original: link ou data de publicação. Muitas notícias que nos chegam via mensagens de correio eletrônico não existem, porém impressionam porque citam órgãos da imprensa estrangeira. b) Cuidado ao repassar mensagens. Como dito no item anterior, você pode receber uma mensagem de conteúdo falso e na medida em que você repassar para seus amigos, você é co-autor da mentira e do possível crime contra a honra. Ou no mínimoo você vai ficar com a fama de CyberIdiota. c) Ao expor sua opinião, fale da sua opinião. Ataque a opinião dos outros, mas não ataque a honra dos outros. Cuidado para não escrever palavras que podem ser tomadas como crime contra a honra de um candidato. d) Se você vai se cadastrar em um site político, eu recomendo que você crie um email específico. Com certeza você irá receber uma grande quantidade de propaganda no endereço que você cadastrar e não fica bem sua caixa de correio eletrônico do seu trabalho ficar cheia e você deixar de receber mensagens profissionais. e) Ao armazenar imagens (charges, fotos, símbolos) ou qualquer elemento disponível da Internet e depois repassar ou utilizar em apresentações, tenha a garantia de que este material permite que você o utilize sem restrições. Evite ser indicado por crime contra direito autoral e direito de uso de imagem ou de texto. f) Ao responder um email comentado/criticando algo, não envie de imediato. Espere um tempo, releia, revise e verifique se os termos que você está utilizando não vai exigir que você tenha que mandar posteriormente outro email (para todos os copiados do primeiro email) dizendo: “Peço desculpas. Eu não quis dizer isto!” Isto também vale para suas páginas em redes sociais e no seu Twitter. Vamos aproveitar o bom uso da Internet e suas ferramentas. Inclusive, não se esqueça de mandar um email para você mesmo indicando os candidatos em quem você votou. Por que? Ora, você se lembra em quem votou na eleição passada? E na retrasada? Edison Fontes, CISM, CISA edison@pobox.com Sugestão de Filme: As melhores coisas do mundo. Brasileiro, Direção: Laís Bodanzky, Roteiro: Luiz Bolognesi, 2010.
Escrito por Edison Fontes às 21h40
[ ]
[ envie esta mensagem ]
[ link ]
|
Cronica de uma demissão anunciada!
Pronto! Aconteceu! Não é estória da carouchinha! Não é piada! Não é “ouvi dizer”! Não é briguinha de namorados! Aconteceu! O mundo corporativo brasileiro tem um caso verdadeiro de grande repercussão! O diretor (ou melhor, agora ex-diretor) comercial da Locaweb, Alex Glikas, segundo nota da empresa “decidiu em comum acordo com a Locaweb desligar-se das sua funções.” Tudo isso porque o referido executivo, no auge das emoções futebolísticas, fez comentários ofensivos aos torcedores e ao próprio São Paulo Futebol Clube. Além de usar termos não compatíveis com um executivo de uma grande empresa, o São Paulo Futebol Clube é cliente da Locaweb. Tinha assinado um contrato por dois jogos para ter a marca Locaweb na manga da camisa do time. Coincidentemente falamos das redes sociais no comentário passado deste blog: Considere as redes Sociais. Dos seis pontos que chamamos atenção, dois se enquadram perfeitamente: - Os funcionários podem ou não podem usar as redes sociais? - Se sim, defina as regras! Aparentemente a Locaweb não tinha esta definição. Mas, ela não está sozinha. A maioria das organizações não define como os funcionários devem se comportar em relação às redes sociais. Não é cerceamento de liberdade. Estamos falando de mundo corporativo. Estamos falando de negócio. Estamos falando de carreira profissional. Se pudéssemos voltar o tempo, ninguém faria o que fez. O executivo teria se contido, pois estava falando em um assunto que envolvia clientes, as regras estariam explicitas e todo não teria acontecido. Mas, lidamos com pessoas. E pessoas falham. Entendo este incidente como uma falha. Não foi uma ação de roubo de informação ou uma ação pensada para prejudicar a empresa. Foi uma ação emocional. E as pessoas precisam ser treinadas para serem profissionais mesmo sob pressão. E o que a organização deseja do profissional precisa estar internalizado na pessoa. Precisa ser formalmente dito e precisa ser repetido várias vezes para que haja conscientização da pessoa. Diante do fato a organização fez o que tinha que fazer: desligar o executivo. Ou melhor, fazer um acordo com ele para que ele pedisse a demissão. Imagino a carta que a Locaweb fará para o São Paulo Futebol Clube, até porque se quiser continuar com o patrocínio, vai encontrar resistências. Desculpem, mas se fosse o meu time do coração e eu fosse o presidente.... iria pensar muito para renovar. Organizações: pensem em redes sociais. Pensem no que seus funcionários e prestadores de serviço podem e devem fazer em relação à sua organização. Nada melhor como a verdade e a transparência. Tenham um regulamento objetivo, simples e explícito sobre o assunto e divulguem o mesmo. Mas, lembro que não é somente ter um regulamento sobre redes sociais. A organização deve ter uma arquitetura de regulamentos, formando assim a sua política de segurança e proteção da informação. Aconteceu com a Locaweb, mas poderia ter sido a sua organização. Concorda? Por enquanto um conselho para seus funcionários e colaboradores: Sob emoção, não escreva! Edison Fontes, CISM, CISA Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Consultoria. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com
Escrito por Edison Fontes às 12h57
[ ]
[ envie esta mensagem ]
[ link ]
|
Segurança: considere as Redes Sociais!
As Redes Sociais chegaram para ficar. Algumas são mais famosas, outras mais voltadas para o público profissional, outras abertas a todo tipo de ligação (virtual) social. Inicialmente as organizações torceram o nariz e fizeram de conta da sua não existência. Algumas proibiram o acesso, outras fazem vista grossa e outras fazem de conta que não se preocupam. Chegou a hora das organizações se posicionarem sobre o assunto. 1. Os funcionários podem ou não podem acessar as Redes Sociais? Não direi se podem ou se não podem. Direi: organização, e isto quer dizer executivos, decidam, considerando o tipo de organização, o tipo de negócio, o clima organizacional e outras características se os usuários da sua organização podem acessar as Redes Sociais. 2. Mas, se acessarem as Redes Sociais, todas as informações da organização vão vazar! Se a sua organização está neste nível de fragilidade, o problema não são as Redes Sociais. O problema é a fragilidade do seu Processo de Segurança da Informação. Este pavor com a possibilidade de vazamento de informação sempre que uma nova tecnologia aparece, é típico de organizações em que o processo de segurança não está maduro. O risco de vazamento está na origem do acesso à informação. Evidentemente que não vamos facilitar, como permitindo que numa estação de Call Center o operador possa gravar DVD, PenDriver e leve consigo celular com câmera fotográfica. O vazamento da informação tem origem na fraqueza dos controles de acesso. A comunicação com Redes Sociais é apenas um meio. 3. Defina um regulamento Elabore um regulamento de segurança da informação simples e objetivo dizendo para todos os usuários como deseja que o usuário se comporte em termos de Redes Sociais. Considere a orientação de que mesmo acessando de casa, o funcionário de uma organização não tem o direito de divulgar informações sobre a empresa. 4. Redes Sociais – o que estão falando da sua organização? Do ponto de vista de segurança pensamos muito fortemente em vazamento de informação, mas, é importantíssimo saber o que se tem comentado sobre a organização. Em situações de crise é fator crítico e obrigatório buscar saber o que se comenta no mundo virtual. Será uma negligência organizacional a empresa ser prejudicada ou sair do mercado sem saber porque? Se soubesse que sua imagem estava tão ruim, poderia fazer algumas ações. 5. Rede Social pode ser positiva Para alguns produtos ou tipos de negócio a formação de grupos em Redes Sociais pode fazer uma ação de fixação de marca e de pesquisa com pessoas que conhecem o produto. Melhor que isso: a um custo baixo. Obrigatório nestes casos: a transparência. Se a organização criou ou um grupo, que fique explícito que é a organização que está neste grupo. Nada de mandar um funcionário se passar por um “cliente satisfeito” que decidiu criar um grupo. Algumas Redes Sociais são utilizadas por presidentes de organizações que criam uma comunidade, ou tem um local de comentários, ou possui um serviço de mensagem. 6. Ajude a família dos usuários A organização tem condições de explicar melhor para todos os colaboradores as novas tecnologias e seus riscos. A família de um funcionário precisa saber das vantagens e riscos. Filhos pequenos com perfil em redes Sociais? É adequado? De cara esses serviços são para pessoas de maior idade. Adolescentes devem saber os riscos e devem aproveitar ao maximo a conversa com seus amigos. Opa! Esta é uma das questões: será que aquela mensagem convite do amigo do seu filho(a), é realmente do amigo? Encarar profissionalmente as Redes Sociais é uma característica da organização madura. Se não terá acesso, que não tenha e seja comunicado a todos os usuários. Se possível com a justificativa. Se for o tipo de negócio que vai interagir com Redes Sociais que explicite para todos os usuários as suas responsabilidades e o que pode e não se pode fazer. Edison Fontes, CISM, CISA Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Consultoria. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com “Para Garrincha uma folha de papel é um latifúndio de espaço no campo de futebol!”, Armando Nogueira, faleceu com 83 anos em 29/3/2010. Uma lágrima: pela morte do cronista esportivo e jornalista, Armando Nogueira. Peço desculpas se a frase não for exatamente esta. Mas, o sentido está certo.
Escrito por Edison Fontes às 16h35
[ ]
[ envie esta mensagem ]
[ link ]
|
Gestao de riscos de segurança da informação - Norma 27005
A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação define as diretrizes para o processo de gestão de riscos de segurança da informação. Considero a Gestão de Riscos em SI (GRSI) uma das dimensões de um processo de segurança da informação em uma organização. A GRSI compõe o conjunto das dimensões que possibilita que o processo de segurança da informação aconteça de maneira eficiente, eficaz e continuo ao longo do tempo. O mais importante para a proteção da informação é que essas dimensões formem um conjunto coeso, como uma excelente orquestra. É pouco importante para uma organização ter um estado de excelência em uma dimensão e ter uma situação deplorável em outra dimensão. E esta é um dos primeiros cuidados que devemos ter ao desenvolver e implantar dimensões de controle. Com as melhores das intenções queremos que em um primeiro momento a organização saia do estágio zero para o estágio de controle total e que seja referência de mercado. Muita boa intenção, mas pouca realidade! Uma dúvida que surge nos profissionais é sobre a Norma 27005 e a Norma NBR ISO/IEC 27002:2005 – Tecnologia da informação – Código de prática para a gestão da segurança da informação. A Norma 27002 define os requisitos de segurança da informação. O processo de GRSI é um dos requisitos, descrito no Capítulo 4 – Análise/avaliação e tratamento de riscos. Sendo assim a Norma 27005 é o desdobramento de um requisito/elemento de segurança. A Norma 27002 continua soberana em relação ao processo de segurança da informação. A Norma 27005 apresenta vários conceitos importantes. Destaco o conceito de risco e medida de risco. Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização. Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequencia. A norma recomenda um roteiro para a GRSI: 1. Contextualização
É necessário que seja definido o seguinte conjunto de elementos:
- o escopo, o objetivo, os métodos a serem considerados, os critérios básicos (avaliação, impacto e tratamento de risco) referentes à gestão a ser realizada e a área organizacional responsável pelo processo de GRSI. 2. Análise de risco
Nesta etapa são identificados os eventos que possam causar perdas. Isto é, são identificadas as ameaças. Logo após devemos identificar os controles existentes e a eficácia destes controles em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles podemos identificar o nível de risco. A organização conhecendo o nível de risco tem a oportunidade de decidir o que vai fazer em relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer. Isto fica em um ciclo até que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização. 3. Avaliação do risco
A norma fala da avaliação do risco (análise das conseqüências) em pontos distintos. Entendo que o que faz mais sentido prático é quando (item 8.3) define que a avaliação de riscos tem como entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos ordenados por prioridades. Isto é, precisamos priorizar os riscos, pois um risco de nível alto, com baixo impacto financeiro, não necessariamente deva ser tratado antes de um risco de nível médio, porém com grande impacto financeiro. Dessa forma a avaliação de risco considera impactos do tipo sócio-ambiental, operacional, financeiro, oportunidade de negócio, cumprimento de prazo ou requisitos legais. Entendo que em uma primeira versão do processo de GRSI pode-se tomar o item impacto englobando todos estes aspectos. Na medida em que a organização amadureça em gestão de risco, pode-se ter uma maior granularidade dos tipos de impactos. Teoricamente os riscos de mais prioridade considerando o aspecto do impacto (consequencia) deverão ser minimizados. Falo teoricamente porque as organizações possuem limitações (financeira, de tempo, de cultura, de conhecimento técnico e outros) que impedem de minimizar o risco. Lembre-se: vivemos em um mundo real. O papel aceita tudo (o que eu escrevo ou o que a norma define), mas temos a organização com suas características e seu mercado de atuação. A norma define em seus anexos algumas abordagens para o processo de tratamento de risco. Particularmente acho muito bom a seguinte estratégia: 1. Avaliação considerando a probabilidade da ameaça e facilidade de exploração (fragilidade dos controles) e chegando ao nível (medida) de risco. Podemos ter uma visão dos riscos existentes. 2. Priorização de ações sobre o risco, considerando os impactos (consequencias). Esta maneira ficará coerente quando tratarmos de riscos operacionais onde primeiro será analisado o que impede a organização (ou área da organização) de atingir os seus objetivos e depois consideraremos o custo dessas ações. A norma indica um caminho estruturado que deve ser tomado por base. Cada profissional e organização devem implantar da maneira que lhe seja mais conveniente e amigável. A sofisticação deve ser uma consequencia da maturidade do processo de GRSI. Lembre-se que a norma é uma trilha; não é um trilho! Edison Fontes, CISM, CISA
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com “A maior solidão é a do ser que não ama”, Vinícius de Moraes (1913-1980)
Escrito por Edison Fontes às 12h41
[ ]
[ envie esta mensagem ]
[ link ]
|
Se não melhorar, piora!
Confesso que já fui adepto da tese que “em time que está ganhando não se mexe.” Mas confesso que já passei por esta fase. Foi por não mexer que (sob as pressões de patrocinadores e outras forças ocultas), que perdemos a Copa do Mundo na França. Em segurança da informação não se pode continuar sempre no estagio em que se está: se não melhorar piora! Temos que buscar uma melhoria continua. Não podemos, nem em segurança nem nas nossas vidas, permitir a estagnação. Parou, morreu! Quem não conhece pessoas que (muitas vezes com muitos recursos materiais) que parecem mais zumbis que não vivem mais, que não sabem sorrir, que não contam mais piada, que não vai para uma praia mais distante porque o carro pode se sujar? Mas, voltando a segurança da informação: é preciso que os controles e processos estejam vivos e melhorem cada dia. É importante que o nível de proteção deste mês seja melhor do que o mês passado e que o próximo mês seja melhor que o atual. Mas, primeiramente para a segurança estar viva e estar melhorando sempre, é necessário planejar. Responda rápido: sua organização sabe o que implantará em segurança da informação nos próximos doze meses? E nos próximos três anos? Se não existir este planejamento fica muito difícil a melhoria acontecer. Opa! Se você não conseguiu responder a pergunta me relação à sua organização, o sinal amarelo acendeu! Mas, para planejar é necessário saber como está o nível de segurança da informação da sua organização. Você sabe? A direção executiva sabe? Os acionistas, aqueles investidores que apostam na organização, sabem os pontos fracos e fortes em relação à proteção da informação? Eles sabem o risco que um eventual vazamento de informação pode impactar o investimento que eles fizeram? Quer melhorar: avalie como está o nível de proteção da informação, defina os controles necessários, planeje para os próximos trinta e seis meses, valide com a direção executiva, garanta que o planejamento da segurança está de acordo com as prioridades do negócio e então finalmente implante, monitore a implantação e melhore sempre.
Na prática não conseguimos desenvolver um plano de segurança para todas as ameaças. Mas com avaliação periódica e planejamento sempre ajustado, a organização pode ter um nível de segurança adequado e provavelmente superior às organizações similares.
Edison Fontes, CISM, CISA
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com
“Pensar e planejar é ótimo, mas o importante é fazer e resolver!”, Zilda Arns (1935-2010).
Escrito por Edison Fontes às 11h21
[ ]
[ envie esta mensagem ]
[ link ]
|
Jacará voa?
Ao retornar profissionalmente para o lado da consultoria me deparo com várias organizações e seus vários estilos e características. Isto é muito enriquecedor e confirma que não existe solução padrão que sirva para todas as organizações. Mesmo se tratando do tema segurança. Ou melhor, principalmente se tratando do tema segurança da informação que se relaciona fortemente com pessoas e interage com quase todas (ou todas) as áreas da organização. Tenho realizado serviços de elaboração de políticas, normas e demais regulamentos em segurança da informação. Sou de opinião que quando uma organização deseja definir seus regulamentos de segurança deve realizar um processo de ouvir seu corpo gerencial para que as regras definidas protejam a organização, sejam possíveis de serem cumpridas e gerenciadas. Nas reuniões para a construção de políticas e regulamentos normalmente surgem assuntos que não são diretamente relacionados à segurança da informação, mas sim a outras competências, como por exemplo, a gestão de pessoas e gestão de atividades. Quando se chega na discussão sobre o acesso à Internet, essa situação sempre aparece. Sendo assim, tenho que esclarecer que se um funcionário passa o dia na Internet fazendo coisas não relacionadas ao trabalho é uma questão de gestão de pessoas e não (diretamente) uma questão de segurança. Evidentemente existem certos requisitos de segurança que são básicos e não podem ser retirados. Mas, podem e devem ser explicados. Tudo isso facilita na medida em que a organização tem um clima organizacional que permita o diálogo razoavelmente aberto. Que não se tenha medo de exprimir sua opinião. Não dar para ter diálogo e aprendizagem organizacional quando o clima é do tipo descrito abaixo. O chefe pergunta para o seu subordinado:
- Meu caro João: jacaré voa?
- Não meu querido chefe!
- Eu acho que ele voa – comenta o chefe.
- O senhor tem razão, chefe. Jacaré voa! Baixinho, mas voa! Edison Fontes, CISM, CISA
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com
Escrito por Edison Fontes às 11h19
[ ]
[ envie esta mensagem ]
[ link ]
|
Previsões para os dez próximos meses!
Bem, inicialmente pode ser para os doze próximos meses. É que achei muito interessante os 10-10-10 (Dez minutos, dez meses, dez anos) da Suzy Welch. Somos decimais, mas em termos de ano novo, pensamos em doze. Entendo que em termos de segurança da informação teremos em 2010: 1. Um crescimento pela preocupação com a privacidade. Sempre que realizo palestras falo desta questão e é impressionante como as pessoas se tocam que dão pouca importância a essa questão. Em 2009 o golfista Tiger Woods teve agravado sua situação particular com a divulgação de mensagens das sua amantes e similares. Acabou o profissional. Em termos nacionais uma rede de televisão anuncia uma novela que abordará o tema de espionagem de pessoas em um condomínio. 2. O uso mais pé no chão da nuvem computacional. Com isso os aspectos de segurança serão mais considerados e serão diferenciais. Um ambiente de computação em nuvem com segurança adequada será mais aceita (vendida) do que um que apenas fique falando teoricamente do uso desta opção. As organizações querem a nuvem computacional mas com os pés no chão. 3. Tele presença Com as dificuldades de transito, necessidades de economia de tempo e diminuição de custo o uso da tele presença para reuniões e comunicação nas empresas será maior. Isso exigirá maior segurança, pois, não serão apenas conversas de trabalho do dia a dia. Serão reuniões e comunicações estratégicas que necessitarão ter um alto nível de sigilo. 4. O usuário continuará sendo o alvo. Cada vez mais a proteção técnica será mais eficiente. Com isso a pessoa humana será cada vez mais o alvo das ações dos criminosos. 5. A pessoa humana será o elo forte da segurança. Dizem que a pessoa humana é o elo frágil da segurança. Verdade! Mas, também é verdade que ela é o elo mais forte da segurança da informação. 6. O segmento de saúde e a segurança da informação. O segmento de saúde consolidará as exigências de segurança da informação. A norma ISO 27799 deverá ser finalizada e em conjunto com outros regulamentos de segurança relacionados à informação de saúde exigirá uma mudança de patamar em termos de proteção e sigilo da informação enste segmento. 7. Legislação mais rígida Principalmente em termos de Brasil teremos uma legislação mais rígida em termos de crimes com o uso de informações no mundo virtual. Se a briga no mundo real pela paternidade de leis diminuir o Brasil terá uma legislação que permitirá a proteção da privacidade, mas que possibilitará que criminosos não se escondam por traz dessa privacidade. 8. Segurança da informação em médias empresas As médias empresas vão se proteger mais em termos de segurança. Seja porque prestam serviço para as grandes empresas ou porque aprenderam a importância da segurança em função de perdas reais. 9. Segmento de serviços Com o andamento dos preparativos para as Olimpíadas e Copa do Mundo no Brasil, o segmento de serviço será exigido de tratar as informações de maneira mais segura e em padrão mundial. 10. Planejar sempre Ainda será pouco, mas, as organizações planejarão melhor a segurança da informação. Esse é um processo lento e talvez esteja mais para os próximos dez anos. Mas com certeza cerescerá nos próximos dez meses, Edison Fontes, CISM, CISA Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com
Escrito por Edison Fontes às 12h38
[ ]
[ envie esta mensagem ]
[ link ]
|
Sorria! Você pode estar no Google Street View!
O Google traz para o Brasil o serviço Street View que apresenta fotografias seqüenciadas (como um filme mudo) de ruas mostrando tudo o que estiver visível naquele momento: os prédios, as pessoas e as demais situações que podem ser vistas sob a perspectiva de uma pessoa dentro de um carro. Dentro de seis meses as cidades de São Paulo, Rio de Janeiro e Belo Horizonte terão suas principais ruas registradas neste poderoso banco de imagem. Da minha parte fiquei um pouco mais tranqüilo, pois a Ilha de Itamaracá ainda não será contemplada nesta primeira fase. Mas, já estou imaginando o Prefeito de muitas pequenas cidades brasileiras, em frente à Prefeitura esperando o Google Street Car registrar sua imagem. Como todo serviço do Google, o Street View disponibiliza informação. Podemos gostar ou não, mas o Google tem facilitado o acesso à informação com suas limitações e características. Porém, como nos demais produtos já existentes nós temos que pensar em algumas questões relativas às facilidades e aos riscos desse serviço, o Google Street View. a) A informação pública se torna mais pública para todos os públicos.
As imagens disponibilizadas foram capturadas em vias públicas. Tudo que uma pessoa passeando de carro poderia ver na rua, o Google Street View mostra. O que é informação pública fica mais pública. Além do que um outro público, pessoas distantes daquele local, que não veriam facilmente essa imagem, poderão vê-la. b) Facilitará as viagens (turismo/negócio) e a visão prévia de locais de nosso interesse.
Caso a área tenha sido coberta pelo carro fotógrafo, as pessoas poderão conhecer com mais detalhes locais onde para onde desejam viajar. Podemos “caminhar” da Casa Branca em Washignton até a sede do FBI e verificar tranquilamente se vale á pena fazer este percurso andando ou é melhor pegarmos um transporte e ganharmos uns minutos. Poderemos “visitar” aquele hotel que na Internet informa que fica em excelente local. c) Temporalidade da informação
Nós precisamos estar atentos para saber que as imagens foram registradas em um determinado tempo e que existe um ciclo de atualizações. De repente aquele hotel aparece com a imagem antes de uma reforma e pode ter perda de hóspedes. Aquela pessoa que aparece com alguns quilos à mais pode já ter perdido essa gordurinha, porém na Internet estará com a imagem anterior. d) Privacidade
Esta é uma das questões debatidas em relação a este serviço. A princípio não existem maiores problemas, pois as pessoas estão na rua. A Constituição brasileira não proíbe nominalmente que qualquer indivíduo, seja por motivação pessoal ou em nome de uma empresa, fotografe ambientes públicos, como são as ruas. Porém a própria Constituição no seu décimo inciso do artigo quinto garante que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. Em sites que comentam o serviço Street View, é mostrada a imagem de um homem entrando em uma loja de artigos para adultos. Essa imagem dele ficará um bom tempo disponível para todas as pessoas no mundo que acessam a Internet, bem diferente daqueles poucos minutos que configuraram a sua entrada e saída. Se essa pessoa achar que pode ter sua imagem prejudicada por este registro, poderá processar alguém? Sei que é um caso para os operadores do direito, mas é bom lembrar a esta pessoa que não se esqueça de contemplar as diversas câmeras existentes nas ruas, a câmera da própria loja, o registro do cartão de crédito com que ele pagou a compra e a imagem na mente das pessoas que viram ou interagiram com ela naquela ocasião. Há alguns meses, durante uma sessão pública de um dos nossos tribunais superiores em Brasília, um repórter fotografou a tela de computadores de um juiz e de uma juíza, que em plena sessão de julgamento estavam trocando mensagens sobre outros assuntos. Não foi considerado invasão de privacidade, pois a sessão era pública e a lente poderosa da máquina fotográfica apenas captou algo que nossos olhos caso estivéssemos perto poderiam ver. e) Essas imagens poderão ser usadas pelo pessoal do crime?
Sim, poderão. E se juntamos com imagens (que eu acho muito mais poderosas) de satélite, hoje disponibilizadas gratuitamente pelo serviço Google Earth, os meliantes do crime terão informações que demorariam mais tempo para conseguir: como é a área vizinha de um condomínio de luxo que fica em uma cidade a mais de mil quilômetros? Porém, existe um atenuante: nenhum criminoso e principalmente organização criminosa fará alguma ação somente com as informações do Google Street View e do Google Earth, Eles precisam de informações mais detalhadas sobre proteção do local (alarmes, quantidade de agentes) e sobre características do local (horário de mais movimento, tipo de pessoas que ficam no local, objetos de valores existentes). Essas informações serão fornecidas por comparsas infiltrados, empregados cooptados ou informações que são jogadas no lixo! f) E o futuro?
Tenho certeza que a existência de informação sobre os ambientes público será cada vez maior. Teremos esse tipo de informação praticamente em tempo real. Este sistema poderá estar conectado com câmeras de monitoramento de transito, com câmeras dos prédios, com câmeras de voluntários que através do seu DMC (Dispositivo Móvel de Comunicação – nosso atual telefone celular) repassarão imagens em tempo real das ruas e locais das cidades. Essa situação trará muitas vantagens, mas também trará o risco dessas informações serem utilizadas pelo crime e por governos não democráticos. Como cidadãos nós precisamos estar atentos para conseguir separar o que é bom e o que não pode acontecer. Viva, esteja atento e exerça seu direito de cidadão caso entenda que está sendo prejudicado. Se nas últimas férias você esteve em cidade que o Google Street View já estava ativo, verifique se você aparece para o mundo. Mesmo que seu rosto esteja embaçado (o serviço Street View faz isso), você vai se reconhecer. Portanto, não esqueça: Sorria! Você está no mundo! Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com Ética: um princípio sem fim!
Escrito por Edison Fontes às 18h46
[ ]
[ envie esta mensagem ]
[ link ]
|
O que fazer para minimizar a falha humana?
No comentário anterior citei uma situação onde não parecia ser um problema de falha humana. Mas, também citei que as pesquisas apontam que o impacto (financeiro e de imagem) que as organizações sofrem em segurança da informação é causado na grande maioria por erros de pessoas. Sendo assim, o que pode e deve ser feito para minimizar essa situação. Seguem algumas recomendações: 1. Identificar e reconhecer a existência dos erros
Este é o primeiro passo. Se a organização não consegue nem identificar e reconhecer o impacto que o erro de pessoas afeta a segurança da informação, teremos mais um problema: a organização está em situação pior, pois não consegue se conhecer. 2. Conscientizar e treinar as pessoas
A conscientização em segurança da informação é fundamental. Mas, algumas vezes as pessoas estão conscientizadas e precisam ser treinadas. Por exemplo, elas sabem o perigo dos vírus e fazem os procedimentos corretos. Porém um belo dia o programa de anti vírus apresenta uma mensagem (em inglês para complicar) e o usuário não sabe o que fazer. Se traduzir a mensagem vai continuar sem saber o que fazer: manda remover o vírus com o perigo de remover algo indevido? Manda o vírus para o inferno ou um lugar temporário? O usuário tem que ser treinado para saber como agir em uma situação desse tipo. 3. Devem existir regulamentos (políticas e normas)
As políticas e as normas explicitam o que a organização deseja como procedimento adequado das pessoas. Elas são extremamente importantes, pois fica explícito para todos o que pode e o que não pode ser feito. O usuário precisa receber os regulamentos da organização. 4. Devem existir processos formais e que devem ser seguidos
Os processos para as ações que protegem a informação devem ser formalizados e de conhecimento dos usuários. Nesses processos devem existir controles para garantir que eles serão fiscalizados e que a proteção da informação acontecerá sempre. Isto é, acontecerá ao longo do tempo e continuará mesmo que mudem as pessoas. 5. Os erros devem ser combatidos, mas as pessoas compreendidas e incentivadas.
Pessoas erram e devem ser ensinadas a não errar. Os usuários da informação devem sentir que se errarem nãos serão crucificados e expostos ao ridículo. A empresa deve ser uma organização que aprende. Deve existir um canal de comunicação para que as pessoas possam tirar dúvidas ou indicar a existência de problemas. 6. Todos são responsáveis
Devemos lembrar que gerentes, diretores e presidentes também erram e acarretam impactos financeiros e de imagem. O tratamento deve ser o mesmo para qualquer nível. Não quero indicar com esses itens que a Organização deve ser boazinha. Não! A organização deve ser profissional, deve ser capaz de aprender e deve entender que a segurança acontece pelas pessoas. Quando tratamos de maneira profissional os erros e a aprendizagem, fica simples identificar ações de má fé e com objetivos de prejudicar a empresa. Essas ações e seus causadores devem ser combatidos e retirados do ambiente organizacional. Seguindo essas orientações e mais alguma outra que faça sentido para a sua organização, com certeza o percentual de impacto causado por falhas humanas será menor. Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com Ética: um princípio sem fim!
Escrito por Edison Fontes às 12h31
[ ]
[ envie esta mensagem ]
[ link ]
|
Desta vez não é falha humana!
| "A ausência de publicação pode ser originada pela simples falha humana, erros operacionais, deficiência na tramitação e publicação dos atos. Todavia, o uso indiscriminado de boletins suplementares, entre os quais 312 não publicados, contendo 663 atos (...) constituem indícios de que tem havido deliberada falta de publicidade de atos", afirma o relatório inicial da comissão que analisa os atos secretos do Senado Federal. Quando tratamos de risco operacional analisamos as ameaças que podem impedir um determinado processo organizacional ou uma específica área de negócio alcançar de maneira eficiente e eficaz os seus objetivos. Evidentemente uma dessas ameaças é a falha humana que inclusive tem se mostrado causadora da maioria dos prejuízos e impactos que as organizações sofrem. Nas organizações privadas existe a ocorrência de fraude, mas, normalmente, em termos percentuais, acarreta menores impactos. Mas, neste caso da não publicação de atos do Senado não parece ser o caso de falha humana. Principalmente de uma simples falha humana. Há alguns anos foi debatida a garantia de que o texto que é aprovado no plenário das casas legislativas, seria rigorosamente e com integridade o mesmo texto publicado e divulgado para a sociedade. Sabemos muito bem que a supressão de uma palavra, a inserção de uma vírgula ou uma pequena modificação pode alterar totalmente o sentido do texto/regulamento. Não precisa ser um especialista para identificar claramente que não publicar 663 atos e não existir a reclamação da não publicação desses atos, não é uma questão de falha humana ou erros operacionais. Vamos ver de que os nossos ilustres senadores vão chamar essa situação. Terão que ser criativos, pois, Meninos Aloprados e Marolinha já têm Copyright. Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com Ética: um princípio sem fim! |
Escrito por Edison Fontes às 12h30
[ ]
[ envie esta mensagem ]
[ link ]
|
|
|
|
|
Leia este blog no seu celular