You are currently browsing the category archive for the 'Information Security and Risk Management' category.
Outro dia ouvi um argumento de que um produto era seguro por que era feito por uma empresa séria, com N anos no mercado. Depois da Segurança por Obscuridade, vem a Segurança por Reputação? Qual será a próxima, Segurança por Boa Vontade?
Segundo o site do Senado Federal:
“11/01/2007 CCJ – Comissão de Constituição, Justiça e Cidadania
Encaminhado à Secretaria-Geral da Mesa, para atender ao disposto no art. 332, do Regimento Interno do Senado Federal (Final da 52ª Legislatura). (Tramita em conjunto com o o PLS nº 137, de 2000, e com o PLC nº 89, de 2003 ) À SSCLSF. “
O referido artigo 332 diz:
“Art. 332. Ao final da legislatura serão arquivadas todas as proposições em tramitação no Senado, exceto:(*)
I – as originárias da Câmara ou por ela revisadas;(*)
II – as de autoria de Senadores que permaneçam no exercício de mandato ou que tenham sido reeleitos;(*)
III – as apresentadas por Senadores no último ano de mandato;(*)
IV – as comparecer favorável das comissões; (*)
V – as que tratem de matéria de competência exclusivado Congresso Nacional (Const., art. 49);(*)
VI – as que tratem de matéria de competência privativa do Senado Federal (Const., art. 52);(*)
VII – pedido de sustação de processo contra Senador em andamento do Supremo Tribunal Federal (Const., art. 53, §§ 3o e 4o, EC no 35/2001).(*)
§ 1o Em qualquer das hipóteses dos incisos do caput, será automaticamente arquivada a proposição que se encontre em tramitação há duas legislaturas, salvo se requerida a continuida de de sua tramitação por 1/3 (um terço) dos Senadores, até 60 (sessenta) dias após o início da primeira sessão legislativa da legislatura seguinte ao arquivamento, e aprovado o seu desarquivamento pelo Plenário do Senado.(*)
§ 2o Na hipótese do § 1o, se a proposição desarquivada não tiver a sua tramitação concluída, nessa legislatura, será, ao final dela, arquivada definitivamente. (NR)(*)
(*) Resolução no 17/02″
Um ponto que acho que não deixei muito claro ontem, é que apesar de todos os pontos contras que eu listei, eu acredito que os programas de concientização sejam bastante importantes em uma estratégia sólida de segurança. Mas eles devem fazer parte de um conjunto de medidas que juntas agregam muito mais a segurança, do que qualquer uma delas poderia fazer individualmente. É meu velho mantra: Segurança em Profundidade.
Mas voltando ao assunto, creio que este tipo de iniciativa seja importante, mas devemos buscar formas de fazer isso de uma forma interessante ao usuário e que, como eu já havia dito, leve ao desenvolvimento do senso crítico.
Também precisamos de forma de reavivar as idéias na cabeça das pessoas, mas sem que nos tornemos chatos insistentes.
Também creio que venhamos ter um ganho mais significativo a médio e longo prazo, por dois motivos: Virar senso comum e o aumento de pessoas habituadas a tecnologia.
O primeiro caso ocorrerá, em parte, devido ao nosso continuo trabalho de conscientização e o habito que as pessoas passarão a ter com relação aos procedimentos adequados. O que hoje é algo abstrato, orientado por “especialistas” passará a fazer parte da cultura da nossa sociedade. Isso pode parecer um pouco utópico, mas aí também temos o próximo motivo: pessoas habituadas a tecnologia. O que viria a ser isso? Simples, aqueles que nasceram e estão crescendo no mundo de hoje, estão muito mais habituadas a tecnologia que nossos pais, ou até que nós mesmos. Para eles, a tecnologia com suas armadilhas fazem parte do mundo que sempre conheceram e as muitas prevenções passarão a ser intuitivas.
Claro que novas formas de ataque surgirão, mas aí cabe a nós continuarmos educando as pessoas, ajudando-as a desenvolver seu senso crítico, sua capacidade de julgar os riscos.
Muitos profissionais de segurança tem defendido os programas de conscientização, como se estes fossem o Santo Graal que irá resolver todos os problemas de fraudes na Internet. Minha posição sempre foi de que é um componente importante, porém que sozinho não é suficientemente para resolver os problemas existentes.
A principal razão para esta opinião sempre foi a dificuldade de educar os usuários em um ambiente com constante evolução tecnológica. Como orientá-los se a cada minuto surge uma nova tecnologia, criando vetores de ataque que até então não haviamos imaginado.
O contraponto a este pensamento, que me fazia crer na importância destes programas era a possibilidade de ensinar orientações básicas, que poderiam ser empregadas nas mais diversas situações, tornando os conselhos mais maleáveis e abrangentes. Estes conselhos poderiam incluir dicas como:
- Não abra e-mails outras comunicações com pessoas desconhecidas;
- Aplique sempre as últimas correções dos softwares que você tem instalado em seu micro;
- Atualize diariamente seu anti-virús;
- Não abra arquivos executáveis, principalmente de origens desconhecidas;
Porém, após uma análise mais cuidadosa veremos que, mesmos estes conhelhos básicos, são insuficientes. Softwares podem usar a lista de contatos de um conhecido seu, para enviar uma mensagem como se fosse ele. Esperar que um usuário não técnico mantenha seus softwares atualizados também é devanêio. Se com as atualizações automáticas feitas pelo Windows já é difícil, imagine como a miríade de softwares aplicativos instalados na máquina do usuário, como programas de mensagens instântaneas, compartilhamento de arquivos, reprodutores de MP3, codecs de vídeo, etc. Arquivos executáveis então, é outro caso que o usuário pode ser facilmente ludibriado, basta enviar um arquivo cuja extenção não seja EXE. Mais difícil? Talvez não, existem arquivos MSI, CAB, JAR, etc. E, é claro, que o usuário não vai decorar a infinidade de extensões possíveis, antes de abrir as últimas fotos da revista masculina, que ele recebeu por e-mail.
Se tudo isso já era ruim, estes dados sobre a aprendizagem das pessoas mostra mais um obstáculo a ser superado. Claro que o fato do usuário não gravar direito as dicas de segurança não é novidade, mas o mais preocupante é que, segundo estes dados, ele não guarda informações que lhe foram apenas ditas, o que se dirá de informações “especializadas” sobre um assunto que ele não domina?
Aquele texto que ele foi obrigado a ler (se leu) no processo de integração na empresa, ele já esqueceu. A campanha publicitária na TV? Sobre o que era mesmo? Falava para não por a chave embaixo do tapete, mas o que deve ser feito na Internet?
Pode parecer que eu estou achando que todos os usuários são burros ou ignorantes, mas acho que é justamente o contrário. Creio que todo ser humano é capaz de apreender muitas coisas, porém parte deste processo depende de afinidade e hábito. Para minha prima farmacêutica, muitas coisas de quimica que para mim são exotéricas, para ela são elementares. Da mesma forma, muitas coisas que para nós profissionais de SI (ou mesmo de TI) são simples, para muitos podem parecer complexas ou até mesmo irracionais.
Dada esta crença, creio que o caminho para que os programas de conscientização se tornem verdadeiramente relevantes, seja se apoiar na capacidade humana de raciocinar. Não vamos dar “dicas” como se dissessemos para crianças façam isso, ou não façam aquilo, pois mesmo para elas parece que não funciona. Vamos buscar formas de apresentar os conceitos de segurança de uma forma que leve a formação da idéia pelo próprio usuário, vamos buscar formas de educar, não adestrar, vamos buscar desenvolver o senso crítico, de forma a possibilitar que o usuário seja capaz de se auto-defender.
Estou lendo “Coaching para Performance” (John Whitmore – ISBN 85-7303-617-6), e o autor apresentou os resultados de um estudo feito pela IBM e posteriormente pelos Correios do Reino Unido, que chegou aos seguintes resultados sobre a relação entre forma de apresentação de novos conceitos/informações e o tempo que as pessoas se recordam do que aprenderam:
| Recordavam o conceito/informação depois de: | Forma de apresentação: | ||
| Dito | Dito e mostrado | Dito, mostrado e vivenciado | |
| 3 semanas | 70% | 72% | 85% |
| 3 meses | 10% | 32% | 65% |
Estes dados demonstram dois pontos fundamentais, que devem ser considerados nos planos de conscientização:
- Apenas informar o usuário sobre os cuidados que ele deve ter não é o suficiente, o processo de aprendizagem deve ser interativo, buscando levá-lo a vivênciar os riscos;
- O processo deve incluir formas de reavivar os conceitos periodicamente, pois até os conceitos aprendidos pelos métodos com maiores tempos de retenção acabam sendo esquecidos por uma parcela das pessoas.
Tava folheando a INFO Exame de setembro, quando me deparo com a reportagem de capa listando 50 dicas para tornar o computador mais rápido. Eis que uma das últimas dicas fala sobre como desabilitar o UAC (User Account Control) do Windows Vista, pois o reporter ficou incomodado com as solicitações de senha de administrador para instalar software. 
Achei esta atitude deplorável. Quando finalmente vemos uma ação que pode ajudar a reduzir a exposição do usuário final às ameaças da internet, a maior revista de informática do Brasil dá uma orientação estapafúrdia como esta.
Quando a INFO fizer a próxima reportagem de os piores do ano, ela mesma vai ter de entrar na lista pelo conteúdo desta matéria.
Uma vez mais a imprensa demonstrou que não está preparada para lidar com responsabilidade sobre temas relacionados a segurança. Quando teremos verdadeiros profissionais colaborando para a divulgação de informações relevantes e integras sobre segurança da informação?
O Celso conseguiu definir muito bem, em uma palavra, o que eu estava buscando no meu post anterior: Sinergia. É isso que falta para o sucesso de muitas iniciativas de controles internos. Não basta implementar, não basta haver cooperação, deve se buscar sinergia dentro e fora da organização, somente assim poderemos ter controles eficientes e eficazes. Sem sinergia teremos uma infinidades de áreas batendo cabeças e apontando o dedo um para o outro.
Outro problema que ocorre muitas vezes é o desespero em se adequar a um conjunto de regras escritas, as ditas melhores práticas. O Augusto citou o exemplo das exigências das auditorias pela adequação a estas “melhores práticas”, mas acredito que eles não são os únicos a seguir este caminho. Já testemunhei alguns profissionais sentirem um impulso incontrolável para incluirem um controle adicional, só por que ele faz parte de um padrão. É como se o profissional sentisse que não tinha feito seu trabalho e buscasse uma forma de encaixar aquele controle quadrado na organização. Mas, surpresa, o buraco é redondo, para entrar vai ter de forçar muito a barra e o resultado vai ser uma área de segurança desacreditada e um controle ineficiente.
Outro elemento que muita vezes falta, é o registro adequado das circunstâncias que levaram a decisão pela adotação do controle X ou Y. E este registro deve fazer parte do processo de gestão dos seus controles. Não fica muito mais simples discutir com o auditor se você tiver registrado os dados que foram análisados para a tomada de uma decisão e a interpretação que foi feita deles? Isso também não pode apoiar a evolução do processo, uma vez que daqui a um (ou cinco) anos, quando o responsável pela revisão do controle, que pode ou não ser você, for reavaliá-lo, ele terá todos os dados necessários para fazê-lo de forma efetiva e consistente com os processos anteriores.
Isso se torna especialmente importante quando falamos sobre excessões. No caso de excessões aos padrões definidos, quatro elementos fundamentais precisam fazer parte do registro: Descrição, Justificativa, Remediação e Tratamento. Primeiramente precisamos descrever em que o controle adotado difere dos padrões estabelecidos, ou qual o controle não implementado se este for o caso. A seguir, precisamos justificar as razões para esta ocorrência, incluindo evidências destas razões sempre que possível. Devemos descrever os procedimentos que foram aplicados para remediar a ausência ou adoção parcial do controle, se aplicável. Por fim, devemos descrever o plano de ações para tratar a excessão identificada, sempre definindo prazos e responsabilidades.
Tendo um sistema assim como base, nem o mais cri-cri dos auditores poderá fazer ressalvas infudadas ao trabalho realizado, desde que ele tenho sido fundamentado em dados fidedignos e análises criteiosas. Ou seja, desde que tenhamos feito adequadamente o nosso trabalho.
Por sugestão do meu grande amigo Luiz Zanardo (aka Picachu, aka Voide, aka Fuzzy Project) meu primeiro post é sobre Compliance versus Segurança.
Hoje em dia, muitos profissionais, de diversas áreas, estão questionando o quão efetivo está sendo a adequação das organizações as mais diversas normas, leis e regulamentações. Um exemplo claro é a Sarbox, que muitos dizem estar trazendo grande complexidade aos ambientes corporativos, sem agregar muito no que diz respeito a prevenção da manipulação dos dados financeiros a qual ela se propõe.
De quem seria a culpa? Dos governos? Da direção das empresas? Ou dos profissionais que implementam estas regulamentações em suas organizações?
Acho que um pouco de cada .
Em suma eu creio que falta a todos uma postura mais pró-ativa no desempenho de seus respectivos papéis.
Os governos devem, não apenas responder a catastrofes como o caso da Enron, mas atuar de forma mais preventiva. Como isso pode ser feito? Primeiramente fazendo o dever de casa e dando o exemplo, construindo modelos de governança que se tornem a modelo a ser seguido. Exigindo de seus fornecedores a adoção de medidas similares, e buscando educar a sociedade sobre os benefícios destas ações e a importância de cobrar esta postura das organizações com quem negocia no dia-a-dia. Também deve ser evitado a exigência de mudança de forma drástica e em intervalos de tempo irreais, apenas para agradar a opinião pública, pois o resultado será a adoção de verdadeiras gambiarras, apenas para agradar o auditor, mas que não representam a realidade das empresas auditadas.
A direção das empresas, por sua vez, deve deixar de pensar em termos de “o mínimo para passar na auditoria”, e passar a entender que os itens avaliados devem ser não apenas considerados na construção da estratégia da organização, como ser uma parte fundamental dela. Quando adotamos a estratégia do mínimo necessário, o que criamos são processos ineficientes, complexos e desconexos, que além de não atenderem aos objetivos para os quais foram criados, atravancam o funcionamento das organizações. Compliance por compliance é dinheiro jogado no lixo. Se compliance é uma demanda que não pode ser evitada, ao menos devemos tirar o máximo proveito destas iniciativas. Falando nos termos do BSC, por exemplo, as iniciativas de compliance são excelentes oportunidades de aprimorar as perspectivas de Processos Internos, e Aprendizagem e Crescimento.
Ao profissional de segurança falta a iniciativa de amarrar os processos de compliance, de uma forma estruturada que possibilite o aprimoramento dos processos existentes e desenvolvimento de novos processos altamente integrados aos sistemas de gestão internos. É preciso deixar de tratar cada demanda de forma separada e considerá-las como partes de um todo, que leva a melhoria de toda a organização. Também é preciso iniciar um processo de conscientização dos níveis hierarquicos superiores sobre a importância do trabalho preventivo e pró-ativo e de como isso pode polpar tempo e dinheiro a organização, quando uma nova demanda regulatória surgir e a visão positiva que o mercado terá da consciência e iniciativa da instituição. Além disso, é importante salientar os benefícios que a organização poderá obter do novo controle e como ele se integra e complementa os controles existentes.
Também deve ser deixado de lado o terrorismo do compliance. Devemos conquistar a cooperação das outras partes da organização pela conscientização delas da importância das ações sendo tomadas, não pelo terrorismo do Finding da auditoria.
Claro que, mesmo com todas estas ações, ainda haverão percalços, porém, sem elas o resultado será muito pior: será a instituicionalização do caos em nome do compliance.
Compliance sim, mas não em nome do compliance, mas sim da segurança e do bem da organização.
