Uma solução para os assaltos do futuro:
As habilidades técnicas permitem ao profissional de SI agir em diversas frentes, de acordo com suas respectivas especializações, no entanto, existe uma habilidade que pode ser empregada tanto na forma de especialização, quanto como um importante complemento para outras áreas de atuação: Gestão de processos.
Quando falo em gestão de processos, não me refiro a uma posição hierárquica, com responsabilidades por processos, mas sim a capacidade de transformar as atividades profissionais, em uma seqüência de atividades, que atinge um resultado esperado. Muitas vezes eu bejo profissionais de SI atuando de formas que tornam as demais áreas “dependentes” deles.
Um exemplo claro é a execução de um hardening do sistemas operacional. Tipicamente o profissional vem, executa uma série de scirpts, ou muda as configurações manualmente, vai embora e se der algum problema a área de sistemas operacionais deve correr atrás de sua ajuda para resolver o problema.
Não seria melhor trabalhar em conjunto com a área que está sendo afetada, buscar em parceria a confecção de um conjunto de controles que mitiguem os riscos identificados e que a área entenda as razões e seus impactos? Não poderiamos complementar este trabalho criando um sistema de gestão que possibilite o mapeamento dos controles implementados em cada ativo e as exceções que tiveram de ser aplicadas para sanar problemas que poderiam impactar o negócio?
Este tipo de ação é a base de processos que todo profissional de segurança deve ter. Uma das razões disso, é assegurar que os procedimentos executados sejam conhecidos e com eficácia comprovada. Isso também possibilita que as áreas envolvidas sejam capazes de elas próprias executar os processos, reduzindo a carga sobre a área de SI, que tipicamente está sobrecarregada, e mantendo um controle constante mesmo quando SI não está presente.
Processos do negócio
Outra capacidade importante para o profissional de SI, é a habilidade de entender os processos do negócio e criar controles que interajam com eles de forma simbiótica, semelhante ao que qualidade faz com métodos Poka Yoke (Mistaken Proof). No Poka Yoke, um máquinário pode ser desenhado de maneira que ele somente possa ser acionado se o operário utilizar as duas mãos, evitando que ele sofra algum acidente e perca um dedo, por exemplo.
Similamente, o profissional de SI, que atua ligado diretamente ao negócio, deve buscar formas de proteger os ativos de informação de um modo que seja intuitivo e que não seja impeditivo para os negócios. Na definição destes controles, o entendimento dos negócios é fundamental, pois sem isso não é possível priorizar e proteger o que é realmente importante. Por isso ele deve empregar seus conhecimentos para guiar os gestores das áreas envolvidas, ou outras pessoas com grandes conhecimentos no processo avaliado, para direcionar adequadamente as atividades sendo desenvolvidas. Sua experiência, em conjunto com as dos demais envolvidos, possibilitarão a implementação dos controles mais adequados para o processo sendo protegido.
Duas das principais características deste profissional é a habilidade de relacionamento interpessoal e a organização e método na execução de suas atividades.
Um base técnica também é importante, para que este profissional seja capaz de interagir com TI, e buscar formas de implementar nos sistemas parte dos controles identificados e também interagir com os demais controles existentes, evitando um emaranhado de proteções que ninguém entende ou sabe se tem alguma serventia.
A medição da eficácia dos controles é outra atividade importante que estes profissionais podem desempenhar. Nesta atividade, um dos objetivos é identificar quais proteções tem se mostrado mais ou menos eficientes e buscar uma variação da curva da vitalidade, do Jack Welch, nos controles de segurança. As proteção que tem pouca efitividade devem ser substituídas por novos controles, que busquem os mesmos objetivos, mas de formas mais eficazes. Os controles de grande valia, devem ser aprimorados e empregados em mais processos. Com isso além de evitar o desperdício de tempo com atividades de pouco valor agregado, existe uma evolução na cultura e no conhecimento corporativo, que pode tornar as atividades cada vez mais intuitivas e menos intrusivas, pois cada vez mais áreas da organização estarão capacitadas na execução de controles de alto desempenho.
Outro dia ouvi um argumento de que um produto era seguro por que era feito por uma empresa séria, com N anos no mercado. Depois da Segurança por Obscuridade, vem a Segurança por Reputação? Qual será a próxima, Segurança por Boa Vontade?
Assino em baixo na excelente análise do Aylton sobre certificações. Num tema polêmico como este, é raro ver uma argumentação tão bem elaborada. Nem defendendo, nem atacando cegamente, como muitos fazem, simplesmente mostrando os prós e contras e permitindo a cada que tire suas próprias conclusões com base nas informações recebidas.
Aylton, espero ver muitos outros posts e artigos teus.
Segundo o site do Senado Federal:
“11/01/2007 CCJ – Comissão de Constituição, Justiça e Cidadania
Encaminhado à Secretaria-Geral da Mesa, para atender ao disposto no art. 332, do Regimento Interno do Senado Federal (Final da 52ª Legislatura). (Tramita em conjunto com o o PLS nº 137, de 2000, e com o PLC nº 89, de 2003 ) À SSCLSF. “
O referido artigo 332 diz:
“Art. 332. Ao final da legislatura serão arquivadas todas as proposições em tramitação no Senado, exceto:(*)
I – as originárias da Câmara ou por ela revisadas;(*)
II – as de autoria de Senadores que permaneçam no exercício de mandato ou que tenham sido reeleitos;(*)
III – as apresentadas por Senadores no último ano de mandato;(*)
IV – as comparecer favorável das comissões; (*)
V – as que tratem de matéria de competência exclusivado Congresso Nacional (Const., art. 49);(*)
VI – as que tratem de matéria de competência privativa do Senado Federal (Const., art. 52);(*)
VII – pedido de sustação de processo contra Senador em andamento do Supremo Tribunal Federal (Const., art. 53, §§ 3o e 4o, EC no 35/2001).(*)
§ 1o Em qualquer das hipóteses dos incisos do caput, será automaticamente arquivada a proposição que se encontre em tramitação há duas legislaturas, salvo se requerida a continuida de de sua tramitação por 1/3 (um terço) dos Senadores, até 60 (sessenta) dias após o início da primeira sessão legislativa da legislatura seguinte ao arquivamento, e aprovado o seu desarquivamento pelo Plenário do Senado.(*)
§ 2o Na hipótese do § 1o, se a proposição desarquivada não tiver a sua tramitação concluída, nessa legislatura, será, ao final dela, arquivada definitivamente. (NR)(*)
(*) Resolução no 17/02″
Antes de continuar a falar sobre o assunto, gostaria de elucidar alguns pontos que o Paulo levantou em seu comentário para o meu post anterior. Quando falei sobre Generalista x Especialistas, eu estava complementando o que ele havia dito na entrevista ao falar sobre profissionais de “Network/Computer Security”. Eu só abro uma ressalva, que eu entendo que havendo recursos para tanto, pode haver segregação mesmo nesta função. A pessoa com grandes conhecimentos de redes, roteadores, etc, não é necessariamente um especialista na plataforma Microsoft, ou Unix, ou AS/400 ou Mainframe. O mesmo vale para qualquer caso similar (ex.: o especialista de Microsoft pode ter parcos conhecimentos de Unix ou redes).
Isso é principalmente válido quando começamos a falar sobre segurança em aplicações, e sobre linguagens e tecnologias específicas, existe um limite para a capacidade de prover segurança por um profissional genérico. Um profissional de segurança de redes pode ajudar a previnir casos de XSS, SQL Injection e outros mais óbvios quando vistos do lado de fora, mas pode deixar passar muitos outros casos, como um Covert Channel.
Quanto a análise do resultado das ferramentas de varredura, concordo em gênero, número e grau com o Paulo. Ele apontou um ponto que eu esqueci de mensionar: Ferramentas ajudam na produtividade, mas é preciso avaliar o que elas produzem antes de iniciar uma ação corretiva.
Uma coisa que sempre gostei de fazer é correlacionar o resultado das falhas encontradas e repriorizar as vulnerabilidades com base neste correlacionamento. Algumas vezes a ferramenta indica N falhas críticas, para as quais já existem contra-medidas aplicadas, como um firewall que não deixa aquele serviço específico disponível, mas sem esta análise seria dispendido tempo no tratamento urgente de falhas com baixa probabilidade de efetivação. Outras vezes, as ferramentas mostram brechas que são classificadas como de baixa ou média criticidade, mas que em conjunto podem significar um grande risco para o sistema. Certa vez uma ferramenta me mostrou que havia uma falha, classificada como média, que possibilitava a obtenção de um shell remoto desde que o atacante tivesse acesso a uma série de informações. No entanto, haviam outras no sistema, que tornavam quase todas aquelas informações disponíveis, exceto a listagem de usuários, para usar uma identificação no ataque. Mas havia um outro sistema que permitia listar seus usuários, como os userids eram identicos todas as informações disponíveis estavam acessíveis e assim, uma falha média e algumas baixas, como classificado pela ferramenta, na verdade representavam um alto risco para a organização.
Outra razão para isso, é que muitas ferramentas, talvez tentando mostrar trabalho, são extremamente prolixas, porém fornecendo informações de pouco qualidade ou relevância, como avisos de presença de banners, que as vezes sequer verifica se é um banner padrão ou algo personalizado.
PS.: Paulo, meu post não foi resposta a sua entrevista ou as sua opniões, apenas entrei no embalo e apresentei as minhas visão do assunto, coisa que a muito tempo eu queria fazer.
Ainda falando sobre a entrevista do Paulo Tetinha, ele fez alguns comentários sobre o perfil dos profissionais de SI e sua postura coincide com a de muitos outros profissionais da área, julgam a partir de um ponto de vista único criticando aqueles que atuam de forma distinta. Isso me motivou a escrever sobre algo que a muito tempo quero falar: Qual é verdadeiramente o perfil do profissional de SI?
Como diria uma pessoa que trabalha comigo, a existência de um perfil do profissional de SI é uma lenda urbana.
Nossa área é muito ampla, com diferentes disciplinas e desafios, querer encontrar um único perfil e enquadrar todos os profissionais neste molde é na melhor das hipóteses insanidade.
Generalistas x Especialistas
O perfil do profissional deve ser adequado ao seu campo de atuação. Da mesma forma que existe uma separação entre administradores de sistemas, programadores, analistas de sistemas e DBAs, tem de haver a segregação na área de SI. Nenhum profissional é capaz de saber tudo, por isso a separação das funções, para que cada um possa contribuir com sua especialidade.
Eu por muito tempo tive esta mesma visão sobre o profissional generalista e ainda acho que uma visão generalista seja importante, mas que o profissional deva ser especializado em uma, duas ou no máximo três disciplinas, para que possa fazer um trabalho verdadeiramente eficaz.
A visão generalista é importante para que sejamos capaz de “intuir” problemas em áreas que não são nossa especialidade, quando nos deparamos com elas, de forma que possamos contatar especialistas no assunto, para que ele seja apropriadamente tratado.
A especialização é fundamental para que as questões de segurança sejam tratados de forma efetiva e que lacunas não sejam deixadas por termos apenas uma visão generalista do assunto.
Ao menos é assim que deve ser no “chão de fábrica”, conforme formos subindo na carreira e passarmos a ter cada vez mais responsabilidade, como a gestão de equipes maiores, passa a ser necessária a transição para uma variação da versão generalista, que nos permita comunicar com os membros da equipe e entender os problemas que eles estão apresentando. A correção destes problemas deixa de ser uma responsabilidade direta sua, ao menos no que diz respeito a por a mão na massa, e passar a ser das pessoas que você lidera. Coordenar estes esforços, entender a importância do que estão fazendo, priorizar estas atividades, alocar orçamentos e apresentar a importância para o resto da organização passa a ser cada vez mais a sua responsabilidade. Neste momento a visão generalista passa a ser uma vantagem, mas desde que empregada da maneira apropriada.
Métodos de atuação
Outra ponto que costuma ser bastante criticado é o uso de ferramentas, contra o trabalho na unha, mais meticuloso e especializado.
Novamente é uma situação em que ambas as abordagens são validas, dependendo do contexto. Quando atuamos diretamente nos sistemas, quando arregaçamos as mangas e pomos a mão na massa, conseguimos um resultado muito mais preciso, porém com um grande custo em termos de tempo ou dinheiro. Se você tem um parque com mais de mil servidores, com dezenas de plataformas operacionais e distribuídos em diversos centros de processamento, e tem de atuar na segurança deles, se você optar por atuar manualmente em cada um deles, você terá de escolher entre levar tanto tempo, que quando concluir o trabalho o que você fez na metade dele já está desatualizado, ou contratar tanta gente que o custo jamais será aprovado.
É nestas horas que as ferramentas e o um bom inventário de ativos, com a definição da importância para os negócios de cada ativo, te ajuda. As ferramentas te ajudarão a indentificar os principais problemas no grosso do seu parque tecnológico, possibilitando um ganho real em um intervalo de tempo relativamente curto. Também possibilitará a monitoração constante, através de processos automatizados, que permitirão a indentificação de novas vulnerabilidades, conforme elas surgirem.
O próximo passo é empregar o inventário para priorizar suas ações, nesta priorização é importante considerar, além da importância do ativo para os negócios, seu nível de exposição as ameaças. Agora você sabe onde tem de atuar e os resultados do seu traballho pode até ser utilizado para melhorar sua ferramenta.
(Continua)
Devido a muito trabalho e algumas mudanças na minha vida pessoa, não tenho tido tempo de acompanhar a CISSP-BR muito de perto como eu costumava fazer. Hoje li a entrevista do Fucs com o Paulo Tetinha, e os comentários do Augusto a respeito. Não irei falar muito sobre o que ocorreu na CISSP-Br, pois, como já disse, não acompanhei de perto, apenas gostaria de fazer dois comentários:
- Se o Paulo tivesse usado o próprio nome, como é regra na lista, eu creio que a reação não seria tão adversa. Apesar de muitos saberem de quem se trata, o que não é o meu caso, é desagradável debater com um “personagem” como o Augusto o caracterizou. Paulo, se você acredito no que diz, por que usar um pseudônimo?
- Por experiência própria, creio que alguns de seus comentários possam ter sido mal interpretados. Algumas vezes, a palavra escrita assume uma forma demasiadamente formal, e a mesma frase numa conversa frente-a-frente não teria o mesmo impacto devido a elementos como entonação ou postura corporal que denotam o contexto da frase.
Não o estou defendendo, apenas não acho que deva ser crucificado por uma opniões que sei que muitas outras pessoas tem, mas que evitam se manifestar por quaisquer que sejam as suas razões.
E, para os que se sentiram ofendidos pelos seus comentários, vale a pena pensar um pouco e refletir se não existe alguma razão nas suas opniões.
Como já disse, o debate de ontem foi excelente. Tive a oportunidade de excercer meus direitos democráticos de uma forma inédita para mim, e que me trouxe grande satisfação.
Mas vamos ao que interessa, os resultados:
- Houve consenso de que o termo vírus utilizado em diversas partes do PL poderia tornar a legislação pouco abrangente, devido a existência de outras pragas virtuais categorizadas de formas distintas, como Worms ou Trojans. A sugestão dos membros do ISSA foi substituir o termo vírus por “código malicíoso”. Porém o Portugal argumentou acertadamente que o termo vírus era mais popular e facilitava o entendimento da lei pela sociedade. O meio termo encontrado para atendermos as estas duas necessidades foi a modificação para o termo “vírus e códigos maliciosos”;
- A mudança da penalização do provedor de acesso, que não cumprir a lei, de processo criminal para cível foi outro ponto discutido e sobre o qual fomos informados que já estava sendo trabalhado. Hoje conversando com uma grande amiga sobre este assunto, ela me questinou se com esta mudança a lei não poderia se tornar inóqua, pois dependendo do peso da punição os provedores poderiam optar por sofrê-las, por serem menos onerosas do que a adequação aos requisitos legais. Acho este um contraponto importante e que deve ser avaliado;
- Também apresentamos a necessidade da legislação de proteger o profissional de SI, que realiza um Teste de Invasão, para verificar a segurança de uma organização, de forma que ao executar este processo ele não infrinja a lei;
- O texto do processo de cadastramento foi, claro, o ponto que tomou mais tempo das discussões. Houve concordância de que seria necessária a melhoria do texto e da remoção de alguns artigos cuja interpretação poderia distorcer o objetivo do projeto.
Outros pontos também foram discutidos, porém creio que os mais importantes estão listados aqui.
Eu havia dito que iria revisar meus comentários anteriores, porém depois de ponderar por algum tempo, vi que seria mais interessante reler todo o texto a luz das explicações oferecidas pelo Portugal, e então escrever uma análise com muito mais conteúdo.
Acabo de chegar do debate do ISSA-Brasil sobre a PLS 76/2000, com a participação do Sr. José Henrique Santos Portugal, assessor do Senador Eduardo Azeredo (PSDB – MG), e do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados.
Apesar do baixo quorum, em virtude da chuva creio eu, foi um evento excelente, onde pudemos debater abertamente alguns dos pontos mais importantes deste projeto, inclusive com alguns momentos de debates mais acalorados, mas sempre mantendo a educação e o respeito que se espera dos profissionais envolvidos.
Meus parabéns ao Fernando Fonseca e ao Augusto Paes de Barros, pela organização deste excelente evento. Com ações como esta a associação começa a mostrar para seus membros e o restante da comunidade de SI o importante papel que pode desempenhar para o desenvolvimento da profissão e da sociedade.
O debate mudou algumas das minhas opiniões sobre o projeto, mas para preciso de algum tempo para revê-las todas. Amanhã vou tentar postar uma revisão das minhas opiniões e comentários sobre o projeto.
