"A ausência de publicação pode ser originada pela simples falha humana, erros operacionais, deficiência na tramitação e publicação dos atos. Todavia, o uso indiscriminado de boletins suplementares, entre os quais 312 não publicados, contendo 663 atos (...) constituem indícios de que tem havido deliberada falta de publicidade de atos", afirma o relatório inicial da comissão que analisa os atos secretos do Senado Federal.

Quando tratamos de risco operacional analisamos as ameaças que podem impedir um determinado processo organizacional ou uma específica área de negócio alcançar de maneira eficiente e eficaz os seus objetivos. Evidentemente uma dessas ameaças é a falha humana que inclusive tem se mostrado causadora da maioria dos prejuízos e impactos que as organizações sofrem. Nas organizações privadas existe a ocorrência de fraude, mas, normalmente, em termos percentuais, acarreta menores impactos.

Mas, neste caso da não publicação de atos do Senado não parece ser o caso de falha humana. Principalmente de uma simples falha humana.

Há alguns anos foi debatida a garantia de que o texto que é aprovado no plenário das casas legislativas, seria rigorosamente e com integridade o mesmo texto publicado e divulgado para a sociedade. Sabemos muito bem que a supressão de uma palavra, a inserção de uma vírgula ou uma pequena modificação pode alterar totalmente o sentido do texto/regulamento.

Não precisa ser um especialista para identificar claramente que não publicar 663 atos e não existir a reclamação da não publicação desses atos, não é uma questão de falha humana ou erros operacionais. Vamos ver de que os nossos ilustres senadores vão chamar essa situação. Terão que ser criativos, pois, Meninos Aloprados e Marolinha já têm Copyright.

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética: um princípio sem fim!

Sempre que acontece um desastre de grandes proporções ou uma situação específica que atinge um grande número de usuários e empresas que nunca pensaram seriamente em contingência, o assunto da existência de plano para essas situações vêm à tona com mais intensidade.

Como desastre de grandes proporções tivemos a queda da aeronave AirBus da AirFrance que fazia o Vôo 477, Rio de janeiro/Paris, que caiu no Oceano Atlântico matando todas as 228 pessoas que estavam á bordo. Como situação que afeta um grupo de usuários e empresas, temos a repetição da pane de telefones e de serviços de Internet da Telefônica em São Paulo.

Evidentemente este assunto de desastres e contingências deveria ser parte normal de uma gestão de riscos continua que toda organização independente do seu porte deveria ter. Mas, normalmente precisamos ser lembrados por situações desagradáveis para pensarmos na nossa organização ou mesmo no nosso trabalho individual.

Queremos nos concentrar no que sua empresa deve desenvolver para minimizar os efeitos de uma situação de contingência que afete a mesma.

Seguem algumas orientações práticas.

1. Todas as empresas podem ter planos de continuidade de negócio
Independente do porte e tipo de negócio, todas as organizações possuem capacidade e recursos para terem planos de continuidade do seu negócio. Evidentemente o plano de uma grande empresa vai diferenciar do plano de uma pequena empresa na questão de complexidade e tamanho. Afirmo categoricamente: quem não tem procedimentos de continuidade, não tem porque não quer ou porque não está devidamente lembrado/conscientizado. Por exemplo: você como pessoa física, tem feito cópias de segurança dos seus arquivos pessoais?

2. Etapas de um plano de continuidade

2.1 – Análise de risco do ambiente considerado
Deve-se fazer uma análise de risco para se saber a situação atual dos recursos de informação em relação às situações de contingência. Além do que, quando fazemos uma análise de risco encontramos situações fáceis de serem resolvidas e que melhoram significativamente o nível de certeza de uma continuidade. Exemplo: a organização faz cópias de segurança mas guarda no mesmo ambiente dos computadores. Solução rápida: guardar em outro local.

2.2 – Escopo e Cenário
Um plano de continuidade deve ter seu escopo e cenário definidos. Claro que queremos que a empresa tenha um plano que considere todos os recursos e todas as situações. Porém, para chegarmos neste nível é necessário cumprir muitas etapas. Sendo assim defina claramente o escopo (recursos que serão considerados) e cenário (situação em que a contingência vai acontecer).

2.3 – Análise de Impacto no Negócio
A solução do plano deve ser uma conseqüência da necessidade de negócio. O que acontece muito nas organizações é que a área de tecnologia define um plano e implanta. Acredito que a área de tecnologia da informação tenha um bom entendimento das necessidades de negócio, mas com certeza não é ela quem mais entende do negócio e suas responsabilidades legais, contratuais e de imagem com os clientes.

Esta etapa tem por finalidade identificar a necessidade de tempo para a recuperação dos recursos de informação. A partir deste tempo de recuperação é que será pensado na solução mais adequada que atenda esta necessidade de negócio.

As áreas de negócio para estimarem o tempo que exigem para a recuperação devem considerar os impactos: financeiro, de imagem, legal e operacional.

Os recursos de informação são: ambiente de tecnologia, pessoas, documentação e qualquer outro elemento que armazene, processe ou transmita informação.

2.4 – Seleção de estratégia
Conhecendo-se a necessidade de tempo de recuperação dos recursos de informação devemos identificar nesta fase quais são as estratégias possíveis que poderão atender aos requisitos de negócio explicitados na fase anterior.

Tendo selecionado algumas estratégias possíveis, devemos escolher qual a mais adequada para a organização, considerando: custo, autonomia, exigências da própria organização, questões legais e outros aspectos que são relevantes para a organização.

Esta etapa identifica a solução que melhor atende a organização.

2.5 – Desenvolvimento do plano
Nesta etapa o manual do plano de continuidade será escrito, contendo as funções, os grupos de trabalho, as responsabilidades, a seqüência de ações a serem executadas quando de uma contingência. Em resumo: explicita o que cada pessoa na organização deve fazer quando de uma situação de contingência.

2.6 – Testes e Manutenção do Plano
Devemos definir como acontecerão os testes e como eles serão planejados. Testar é uma atividade muito séria e precisa ter o conhecimento e a aprovação da direção da organização. O teste precisa ser acompanhado, registrado e avaliado. Um bom teste não é aquele em que tudo acontece de forma correta e sem erros. Um bom teste é aquele que possibilita que o teste seguinte seja melhor: mais eficaz e mais eficiente.

Em relação à manutenção do plano é necessário especificar como ela será feita, quem é o responsável pelo processo de manutenção e como será registrada cada alteração realizada.

3. Patrocínio
Um plano de continuidade de negócio somente será efetivo e atingirá seus objetivos se for patrocinado pela direção da organização. Mesmo que haja uma legislação exigindo para a organização um plano para situações de contingência, o que deve primeiramente motivar a existência desse plano é a decisão da diretoria executiva (representando os interesses dos acionistas) em proteger o negócio mesmo que uma situação de desastre aconteça.

4. O custo será possível para a organização
Não existe plano barato e plano caro. Existe plano adequado à organização. Se o assunto for tratado profissionalmente, de forma estruturada e continuamente ao longo do tempo, o custo será possível para a organização.

5. Execução de forma profissional
Algumas organizações vão poder desenvolver e implantar um plano de continuidade com seus próprios profissionais. Se esses profissionais tiverem o treinamento e experiência adequados, a organização alcançará sucesso. Outras organizações precisarão contar com consultores. Independente da situação da sua organização, trate este assunto de maneira profissional. Lembro uma dificuldade quando for desenvolver a solução internamente: a tendência das áreas de negócio a não atenderem adequadamente os profissionais internos quando do levantamento das suas necessidades na Etapa de Análise de Impacto no Negócio. Se isso acontecer na sua organização não se assuste, É uma tendência em todas as organizações. Por isso, a participação de profissionais externos na construção do plano e no acompanhamento futuro dos testes é uma boa opção pois agrega ao plano mais independência na sua construção e na sua manutenção de efetividade (eficiência e eficácia).

Conclusão
Não espere que mais desastres aconteçam para que sua organização trate com seriedade este assunto. Nem você na sua vida pessoal.

Eu mesmo tive que contratar uma opção de comunicação via modem 3G como opção para a banda larga da companhia telefônica. Se não fosse assim, não conseguiria mandar este artigo. Mas verdade seja dita, muitas vezes a comunicação 3G não funcionou e a ligação banda larga da companhia telefônica funcionou de forma excelente.

Esta deve ser a nossa vida pessoal ou da organização em que trabalhamos: o que fazemos com as situações e ameaças que nos cercam? Trate o assunto contingência de forma profissional!

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética: um princípio sem fim!

Estamos completando quase quinze dias do desastre do Vôo 447 da AirFrance, aeronave AirBus. Pelas notícias divulgadas, cada vez fica mais forte que a possibilidade da causa tenha sido um equipamento que repassa para os computadores do avião a velocidade, a altitude e outras informações. Repassando informações erradas, os computadores tomarão decisões erradas (entra lixo sai lixo) que podem ter causado a queda da aeronave.

Como a caixa preta ainda não foi localizada, as informações que se tem trabalhado são aquelas enviadas automaticamente pelo avião para os centros da AirFrance e da AirBus. Podemos imaginar a existência de muitas informações de outras aeronaves que felizmente não tiveram o final catastrófico como o Vôo 447.

Aos poucos a opinião pública fica sabendo que a AirBus fez uma recomendação de troca desses equipamentos para todas as empresas aéreas. Nada obrigatório, mas que deveria ser feito. O avião sinistrado ainda não tinha atualizado esses equipamentos.

Neste momento a Associação de pilotos da França exige a mudança imediata desses equipamentos em todas as aeronaves, sob a ameaça dos pilotos não voarem.

Rigorosamente não se pode afirmar que caso houvesse ocorrido a troca desses equipamentos a tragédia não aconteceria. Mas, com certeza seria um elemento de fraqueza a menos na cadeia de segurança.

Sempre os desastres mandam avisos. A questão é que na maioria das vezes não se quer tratar adequadamente esses avisos.

A informação existe. Mas o tratamento correto (e custoso) não é feito e os desastres acontecem.

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Fomos surpreendidos nesta segunda feira pela manhã com a notícia do desaparecimento no Oceano Atlântico do avião Airbus modelo A330, que fazia o vôo da Air France, Rio de Janeiro – Paris.

Com as primeiras notícias, um desejo que tivesse acontecido um seqüestro ou outra situação que garantisse a integridade da aeronave e de seus passageiros.

Mas, infelizmente, cada minuto que passa, se confirma mais a ocorrência de uma queda, talvez precedida de uma explosão. Ainda não sabemos exatamente todas as causas que provocaram a tragédia.

Neste caso, aparentemente o “dever de casa foi feito”: tripulação experiente, revisão em dia, carga adequada. Enfim, tudo em aparente normalidade e seguindo os padrões de segurança. Uma situação que se aproxima de uma fatalidade.

Uma outra situação de desastre: uma barragem se rompe no Piauí matando pessoas. Os políticos e os gestores responsáveis querem dizer que foi uma fatalidade. Não, meus amigos. Barragens foram feitas para reter água e caso o volume de água seja maior do que o previsto existe o sistema de sangria, através de abertura de comportas. Tudo controlado e com possibilidade de aviso à população. Barragens não podem romper. Este caso também é uma situação de desastre, só que se aproxima do crime. Algum profissional não fez como deveria fazer.

Para ambos os casos nossas lágrimas para os parentes e amigos dos que perderam seus entes queridos. Mas para o segundo caso, um desejo de punição por um crime anunciado.

Tomara que tenhamos informações, nos dois casos, suficientes para permitir um rastreamento do que aconteceu e para que consigamos aprender com falhas ou situações que possam ser evitadas no futuro.

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética: um princípio sem fim!

Nos últimos dois meses tivemos, pelo menos, dois casos de lojas de varejo que anunciaram suas mercadorias em promoção com preços errados. E por incrível que pareça, com preços menores.

Em uma delas o fato ocorreu em um anuncio convencional em folheto/jornal de propaganda. Foi em uma rede de supermercados. Pelas notícias divulgadas, uma loja vendeu seu estoque de computadores, R$ 890,00 em vez do valor correto de aproximadamente R$ 2.000,00. Outra loja da rede não vendeu e parece que o caso foi bater na delegacia da cidade.

No outro caso, foi o comercio eletrônico de uma rede de lojas especializada e livros e eletrônicos sofisticados. Muitas ofertas de eletrônicos, tipo TV de LCD 32 polegadas, ficaram por R$ 9,90. Só que neste caso a loja identificou o erro, pediu desculpas, devolveu o dinheiro e cancelou a compra. Legalmente ela podia fazer isto.

Estes fatos nos lembram que a maioria dos problemas (e prejuízo) de tempo, imagem e financeiro ocorre por erro de pessoas. Evidentemente as fraudes chamam a atenção. Mas o grande prejuízo acontece mesmo pelos erros. Mais ainda pelos erros que não são adequadamente solucionados. Na maioria das vezes são feitos apenas  pequenas correções para “apagar o fogo”.

Erro é uma ameaça que deve ser identificada quando fazemos uma análise de riscos. Se não considerarmos os erros estaremos deixando de combater a maior causa de impactos financeiros, de tempo e de imagem.

Combata corretamente a possibilidade de erro. É uma atitude acertada!

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética: um princípio sem fim!

Inicialmente registro que estou ciente que o mundo real tem mais perigos para as crianças. Se formos considerar todas as crianças, aspectos básicos de alimentação, saúde e educação ficam todos abaixo do nível adequado. Sei que o mundo virtual afeta parte das crianças, mas afetará a todas quando adultos.

Precisamos proteger e ensinar as crianças a se protegerem. A maior responsabilidade é dos pais e educadores. Muitos esquecem as ordens que nos foram dadas no passado, tipo: não fale com estranhos, feche a porta quando sair, não pegue o que não é seu, ao atender ao telefone pergunte quer falar com quem, espere dentro da escola, só vai dormir na casa do amiguinho se os pais dele falarem conosco e outros comandos.

A primeira questão do mundo virtual é com quantos anos a criança deve ter acesso à joguinhos e acesso à Internet? É uma resposta que papai e mamãe terão que resolver e definir. Porém, lembrem-se que muitas vezes esta questão é uma ânsia dos pais: o filho do vizinho têm um jogo SuperBox-99, meu filho tem que ter SuperBox-100. Um exemplo mais real: muitos pais ensinam seus filhos a dirigirem antes dos 18 anos e liberam seus carros para os sub-18. Esses pais não sabem cumprir regras e dizer não a certos caprichos. Limite machuca o coração (dos pais e dos filhos), mas não mata!

Mas voltando para o mundo virtual, algumas recomendações para serem ensinadas aos filhos:

a. O mundo real não começa tudo de novo com um comando “Re-Start”
Diferente do mundo virtual, onde após uma queda, uma batida de carro ou uma luta, a criança precisa saber que ao se machucar (ou machucar alguém) no mundo real, haverá sofrimento. Não existe comando “Re-start” no mundo real.

b. Sites sociais e de relacionamento são para maiores de 18 anos.
Hoje temos crianças e pré-adolescentes com perfis em sites tipo ORKUT, muitas vezes incentivadas pelos pais. Colocam fotos e disponibilizam informações que deveriam ficar restritas à família. Sou contra crianças e pré-adolescentes terem perfis nestes serviços.

c. No mundo virtual, como no mundo real, existem pessoas mentirosas que fazem mal.
Pessoas se passam por outras pessoas. Normalmente adultos se passam por crianças ou adolescentes, para facilitar um contato com crianças e adolescentes. Seu filho, caso tenha sua autorização para permanecer em um site de relacionamento social, deve ser alertado ao fato de que vão existir pessoas que se passarão por outras, para manter contato com eles. Esses contatos levam a situações embaraçosas e podem levar crianças e adolescentes a fornecerem mais informações e fotos pessoais. Seus filhos podem ser chantageados e se não tiverem abertura com você, sofrerão sozinhos. Infelizmente existem situações de violência, abuso e até de morte dos menores. Se você autoriza seu filho a participar deste tipo de interação, esteja junto dele quando ele contatar os amiguinhos.

d. Fotografar ficou mais fácil, mas existe a privacidade das pessoas.
Com o barateamento das câmeras digitas e a existência das câmeras nos telefones celulares ficou mais fácil fotografar. Com isso, traquinagem de pré-adolescentes e adolescentes, tipo os garotos espionam as meninas, não podem ser registrados em fotos constrangedoras e ter essas fotos distribuídas. Eles precisam entender a responsabilidade de respeitar a privacidade dos outros.

e. Cuidado com o que se diz no correio eletrônico ou serviços de mensagens curtas.
Escrever calunia ou difamar pessoas (professores, por exemplo) através de mensagens de correio é crime. Não pense que não se vai identificar quem mandou a mensagem, mesmos que seja um endereço falso de provedor de webmail. Pode demorar um pouco, mas a polícia investiga e identifica de onde sairam as mensagens.

f.  Alterar fotos e distribuir também é crime
Não se pode alterar fotos ou montar fotos com o objetivo de prejudicar a imagem de pessoas. Isto não é brincadeira, é crime. Lembre aos menores que para esta situação não existe comando de “re-start”.

g. Não compartilhe a senha de qualquer acesso que lhe for disponibilizado.
Como os adultos, os menores devem saber que não se compartilha senha. Como diz a Dra. Juliana Abrusio, “Senha é como escova de dente!”

Papai e mamãe devem monitorar seus filhos e ensinar estas e outras regras básicas. Lembro que é o responsável pelo menor que vai responder pelas ações desse menor. Desde a indenização para aquele professor que foi difamado/caluniado, até para situações mais constrangedoras.

O mundo virtual já faz parte do nosso mundo real. Cabe aos adultos apresentarem as regras desse mundo virtual para os filhos e menores sob sua responsabilidade. Sei que nossa geração têm dificuldades: não temos facilidade com o mundo virtual, passamos menos horas com nossos filhos, os amiguinhos deles não recebem limites dos pais e na escola ou no vizinho se burlam certas regras.

Porém, são nossas crianças. Quem disse que criar filhos é fácil? Assuma sua responsabilidade de por limites aos filhos: seja no mundo virtual ou no mundo real! Ah! Também boas maneiras valem à pena serem ensinadas: bom dia, boa tarde, com licença, desculpe e perdão.

Vamos proteger nossas crianças!

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética! Um princípio sem fim

A notícia dada pela policia de São Paulo: assaltantes de mansões em condomínios fechados admitem que usam o Google Earth para o estudo da vizinhança e rotas de fuga.

É possível? Sim é possível e é viável, já que é um serviço gratuito disponibilizado na Internet. Facilmente pode-se identificar se um condomínio tem como vizinho uma área de mata que facilita a abordagem do local. Também se toma conhecimento das ruas que permitem a saída/entrada para o condomínio e sua vizinhança. Fazer um reconhecimento deste tipo em uma região distante se gasta recursos e a presença de um estranho rondando a área pode-se levantar suspeitas.

A questão é que essas informações são importantes, fáceis de serem acessadas através do Google Earth, porém não são suficientes para a realização de um assalto. Serão necessárias mais informações do tipo que pessoas vivem no local, como é feita a segurança física, quão eficiente é o sistema de proteção eletrônico, como é a comunicação com a Polícia local e outras informações. Com certeza a informação do Google Earth será a de menor peso, embora ela possa ser inicial.

Muitas vezes, nós fornecemos nossas informações pessoais de graça para qualquer um. Muitos carros são um verdadeiro mural sobre a vida privada: faculdade em que se estuda, clube social que freqüenta, nome de filhos ainda bebês e alguns hobbies tipo rodeio. Respondemos perguntas a qualquer pesquisa que nos façam, seja presencial ou por telefone, aceitamos funcionários sem uma devida verificação mínima, falamos sobre tudo na frente de funcionários do escritório ou em casa. Depois nos perguntamos como se sabe tanto sobre a nossa vida? Ah! Não esqueçamos tudo aquilo que jogamos no lixo sem destruir, tipo o extrato do banco ou do cartão de crédito.

As informações do Google Earth levantam a questão de informações públicas que estão cada vez mais fáceis de serem acessadas. Em alguns países o Google já tem uma visão de mais qualidade das ruas e em um tempo de atualização menor. Apesar de ser uma informação pública, anteriormente somente quem estivesse passando naquele local poderia ver aquele ambiente. Com o Google Earth, estando a quilômetros de distância, podemos presenciar o que estar acontecendo em uma rua. É o verdadeiro Grande Irmão, o Big Brother de 1984 de George Orwell? Acho que o Grande Irmão não é um, são muitos! O que precisamos é saber o que pode ser aceitável como cidadão e o que deve ser rejeitado. Lembre-se que está em discussão o chip de localização para todo veículo. Segurança x privacidade? O que deve ser prioritário?

Retornando à questão de assaltos, acredito que temos muito o que fazer aqui em baixo, antes de ficar preocupados com os olhos dos satélites.

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com
Ética! Um princípio sem fim

O Culto do Amador – como blogs, MySpace, YouTube e a pirataria digital estão destruindo nossa economia, cultura e valores – é o livro de Andrew Keen, recém lançado no Brasil pela Editora Zahar.

Li e não concordo com o autor. Textos como “Os macacos assumem o comando. Diga adeus aos especialistas e guardiões da cultura de hoje – nossos repórteres, nossos âncoras, editores e estúdios de cinema de Hollywood. No atual culto do amador, os macacos é que dirigem o espetáculo.” Ou “Pois a conseqüência real da revolução da WEB 2.0 é menos cultura, menos notícias confiáveis e um caos de informação inútil”.

Keen tem a virtude de nos trazer no livro um assunto importante que é o novo conjunto de informações que existem no mundo virtual, muitas delas geradas por amadores. Mas, para ele toda informação gerada por amadores não é confiável, é enganosa e nos quer prejudicar. Sinto certa tendência do autor em querer um controle central.

A riqueza de informação e possibilidades de interação com a WEB 2.0 não pode nos acomodar em não sermos cada vez mais críticos com a veracidade e integridade das fontes. Mas isso não deve ser impeditivo da existência dessas informações. Há poucos dias, novamente veio à tona a questão da censura à Internet pela China. Ou situações de ditadura (de esquerda ou de direita) de países. Hoje existe a possibilidade de recebermos notícias internas desses locais feitas por amadores.

Também têm de interessante no livro alguns dados e estatísticas. Pena que o autor quando comenta, não o faz de uma maneira independente. Ele não mostra os dois lados da moeda.

No término do livro ele ameniza a apresenta a questão da privacidade e do crime no mundo virtual. Nesses temas o autor é mais  realista e menos tendencioso. Afinal, todos somos contra invasão de privacidade, pedofilia e outros crimes. A questão neste caso vai ser o como evitar ou minimizar essas situações.

Porém, mesmo discordando da interpretação do autor, sou de opinião que é um livro que deve ser lido. Como diz Larry Sanger, co-fundador da Wikipidia “Embora eu não concorde com tudo que é dito por Kenn, são páginas de insights e pesquisas muito interessantes.”

Feliz Páscoa para você que é cristão!

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Ética! Um princípio sem fim