domingo, 2 de maio de 2010

REDES SOCIAIS E SEUS RISCOS

Será que as pessoas não se preocupam com seus posts nas redes sociais? Já vi de tudo! Desde foto intima no orkut, endereços, números de cartão de crédito divulgados publicamente e até diretor de empresa demitido por ter falado besteira no twitter. É realmente de assustar!

Se você parar um pouco e procurar, você consegue encontrar simplesmente tudo sobre qualquer um. Não precisa ser nenhum especialista em segurança ou hacker, basta navegar pelas redes e saber usar o google. Por isso, não é raro vermos notícias de sequestros, extorsões, pedofilia, bullying e outras ameaças relacionadas ao uso (ou mau uso) de redes sociais.

Não estou aqui querendo desmotivar o uso dessas redes. Não é isso! Minha intenção é motivar o uso consciente e seguro. Até porque não podemos ignorar os inúmeros benefícios dessas ferramentas: aproximação das pessoas, publicidade, oportunidades de negócio, divertimento, etc. Semana passada, em conversa com colegas de trabalho alguém nos contou um caso de uma pessoa que havia ficado presa no elevador e foi rapidamente resgatada graças ao seu post no twitter que foi visto por seus seguidores. Outro exemplo positivo são as inúmeras campanhas bem sucedides no twitter para doação de sangue.

Apesar dessas grandes vantagens, o fato é que a maioria das pessoas não tem a noção do perigo gerado pelo mau uso dessas ferramentas. Há quem poste exatamente todos os seus passos no twitter ou nas páginas de recado do orkut. E o pior: a maioria das pessoas não tem o mínimo de cuidado com suas senhas. Recentemente, li uma notícia sobre a venda de 1.5 milhões de contas roubadas por crackers do Facebook (uma das redes sociais mais populares do mundo).

Além disso, as pessoas sentem uma falsa sensação de seguraça na internet e não se deram conta de que os mesmos perigos que temos no mundo real, temos no "virtual". Não gosto muito desses dois termos (real e virtual) já que o dito "mundo virtual", de virtual não tem nada. O computador, as redes e a internet são simplesmente ferramentas do mundo real, tornando a vida mais prática.

Sou da opinião de que o uso consciente e seguro da internet deve ser levado a sério em nossas casas e principalmente com os nossos filhos, tornando-se disciplina obrigatória nas escolas. Prevenir com educação e conscientização! Eu apostaria nisso.

E quanto ao uso de redes sociais nas empresas? Bom, vamos deixar esse assunto para outro post.

segunda-feira, 29 de março de 2010

Nenhuma das Respostas Anteriores

Acompanhei em um forum uma discussão que questionava o seguinte:

Quais itens de segurança você considera os mais esquecidos em uma organização?

–Messaging

–Ports and Protocols

–Malware Worms

–Web Traffic

–Logs, Auditing and Preventative maintenance tracking

–Intrusion Detection

–Roles

–Operational Security

–Physical Security

–Continuity & Disaster Recovery

Nenhuma das alternativas condiz com a minha opinião. O item mais esquecido e talvez o mais difícil de tratar nem foi citado: PESSOAS! Foi interessante constatar que a maioria também pensava assim baseado na suas experiências individuais.

É aquela velha história: enquanto não existirem patches para seres humanos, o jeito é não negligenciar esse ativo tão importante e educar, treinar, conscientizar, conscientizar, conscientizar, ...

Política de SI - Fatos relevantes

A política de segurança da informação corporativa representa os fundamentos pelos quais se baseia a implementação de controles e mecanismos de proteção. No processo de criação e manutenção de uma política de segurança da informação, existem alguns erros crassos, porém bastante comuns, que podem prejudicar severamente os objetivos para os quais ela se propõe. Para não cair nessas armadilhas, vejamos algumas dicas:


1) Integração com o negócio

Parece clichê, mas essa precisava ser a primeira dica. Desconsiderar os objetivos de negócio na construção ou revisão de uma política de segurança é um problema tão grave quanto não possuir uma política. É preciso que todas as diretrizes e normas de segurança tenham aderência aos objetivos estratégicos da organização. Isso significa, por exemplo, considerar as normas e padrões regulatórios aos quais a empresa está submetida. Uma empresa que deseja comercializar suas ações na bolsa de Nova York precisa levar em conta na sua política de segurança a criticidade de seus sistemas contábeis e dos processos relacionadas às suas demonstrações financeiras. Se uma empresa deseja alavancar negócios incentivando a utilização livre de recursos da Internet por seus colaboradores, é necessário que sua política contemple medidas de proteção e mecanismos de rastreabilidade extremamente efetivos e eficazes. Por isso, a integração com o negócio, que possui estratégias dinâmicas, é um dos motivos pelos quais se faz uma revisão freqüente na política de segurança da informação.


2) Estrutura documental
É relevante entender as diferenças entre políticas, normas, procedimentos, instruções de trabalho e assim por diante. Pode parecer básico, mas é muito comum encontrar empresas que confundem esses diferentes tipos de documentos e acabam se perdendo no estabelecimento de suas regras. Esse entendimento é necessário para separar as definições estratégicas, as táticas e as operacionais. Em outras palavras, não misture diretrizes gerais, com normas específicas e com procedimentos da operação. Uma dica interessante é estabelecer primeiro os "o quês" de mais alto nível até os mais específicos, para depois entrar nos "comos" e em seus detalhes.

3) Cenário em conformidade com a política VS Política em conformidade com o cenário
Uma política estabelece normas que podem apoiar na elevação do nível de segurança de uma empresa. Para tanto, é importante que o cenário corporativo esteja em conformidade com a política. Entretanto, em muitos casos se vê uma inversão disso, ou seja, a política é forçada a entrar num estado de conformidade com o que está implementado. Adaptar a política de segurança ao cenário corporativo existente é o mesmo que baixar a barra para o atleta de salto em alturas, quando na verdade ele precisa saltar a altura determinada.

4) Política Proibitiva VS Política Permissiva
Toda política possui um modelo que pode ser proibitivo, onde tudo que não é expressamente permitido é proibido, ou permissivo, onde tudo que não é expressamente proibido é permitido. O segundo modelo é um tanto quanto traiçoeiro. Isso porque quase sempre o universo de coisas a se proibir é muito maior do que o grupo de itens a se permitir. Por isso, para a segurança da informação, na grande maioria dos casos vale a pena ser proibitivo, ou seja, descreva o que se quer permitir e o resto está vedado! É como num firewall: "deny all" por padrão e as "permit rules" devidamente documentadas.

5) Envolvimento da alta direção: Indispensável!
Na criação ou manutenção de qualquer política sem a plena participação e aprovação do alto nível executivo da empresa, nada feito! O comprometimento da alta direção durante todo o processo é essencial para não só garantir que a política seja elaborada de maneira a contemplar as estratégias de negócio, mas também para garantir o seu efetivo cumprimento em toda a cadeia operacional. Para isso, é importante instituir um comitê multi-disciplinar formado por membros estratégicos (de áreas de negócio, RH, Jurídico, entre outras) para participar das discussões de criação, revisão e aprovação das diretrizes e normas estabelecidas.

6) Publique, Divulgue e Conscientize

Elaborar a política de segurança e não fazer com que todos tenham o conhecimento com o devido aceite formal é quase o mesmo que não ter política. O aceite formal aliado a uma campanha de divulgação e conscientização sobre a política dá respaldo, por exemplo, para que a organização possa monitorar os acessos dos empregados sem gerar expectativa de privacidade. Portanto, faz-se necessário publicar, divulgar e conscientizar a organização por meio de programas contínuos de sensibilização, educação e treinamento. A integração da política ao contrato de trabalho também é indispensável, assim como garantir que a cada mudança, a política seja aceita formalmente e cumprida por todos.


Para terminar, dois lembretes importantes:

i) É preciso muita cautela na política de segurança da informação para que não sejam criadas regras impossíveis de serem cumpridas.
ii) Acreditar que se tem segurança apenas por estar em conformidade a política definitivamente não é uma boa idéia.