blog.dennyroger.com.br

Evento pode causar excesso de tráfego e degradar a infraestrutura de rede das empresas. Confira meios de contornar a situação.

Por RODRIGO AFONSO, DA COMPUTERWORLD

A mobilização causada pela Copa do Mundo têm despertado preocupações nas equipes de TI que trabalham em empresas localizadas no Brasil. Existe uma expectativa de aumento significativo no tráfego das redes corporativas, gerado pelo streamings de vídeos - seja para exibição de gols ou partidas ao vivo. Somado a isso, deve haver uma ampliação no volume de dados, por conta do acesso a notícias e placares online. O que deve ter um impacto menor, mas não pode ser descartado pelos profissionais preocupados em garantir que a rede corporativa funcione normalmente durante o mundial de futebol.

As áreas de TI precisam estabelecer políticas de acesso à internet voltadas a evitar gargalos e a garantir a continuidade dos negócios, mas sem causar insatisfação nos funcionários. E as ferramentas de gestão de redes disponíveis hoje já permitem que esse controle seja feito de forma mais dinâmica e inteligente do que no passado. “O administrador de redes não precisa mais bloquear sites. As empresas podem restringir determinados tipos de tráfego contidos nas páginas, como o streaming de vídeo”, explica o vice-presidente para a América Latina da companhia de segurança SonicWall, Francisco Pinto.

Na visão do executivo, três passos devem ser tomados em um evento pontual como a Copa: primeiro, ter definido de antemão quem pode ou não acessar determinados conteúdos; segundo, ter uma solução que dê visibilidade completa do tipo de tráfego na rede; e terceiro, ter a capacidade de gerenciar a situação dinamicamente e em tempo real, para não degradar a rede e não causar desconforto ao usuário.

Uma possível solução caso o streaming de vídeo esteja prejudicando a rede é baixar o volume de banda voltado a esse tipo de tráfego e, assim, restaurar a normalidade. “O usuário não terá bloqueado seu acesso, mas poderá ter um streaming sem qualidade”, relata Pinto, que complementa: “A rede continuará funcional, sem causar problemas de relacionamento com o funcionário”.

O gerente de engenharia de sistemas para a América Latina da Websense, Fernando Fontão, concorda que realizar bloqueios arbitrários não representa a melhor solução. “A empresa precisa saber quanto que os funcionários podem consumir de banda para atividades paralelas, sem comprometer os negócios”, explica. Segundo ele, só com essa informação a empresa poder partir para uma definição de políticas voltadas a eventos extraordinários, como o mundial de futebol.

Uma das soluções, apontadas por Fontão, é a definição de cotas para os funcionários: quanto tempo cada um pode usar para acessar determinados tipos de conteúdo da Copa. “O ideal é discutir a solução com os próprios usuários e fazê-los aceitar o que é melhor para os negócios”, pontua o executivo. Ele acrescenta que as políticas de acesso à internet nas empresas precisam ser flexíveis para se adaptar a acontecimentos específicos.

As empresas também contam com a opção de adotar alguma solução de caching, que armazena em um storage da empresa os conteúdos mais visualizados da internet e permite que os mesmos sejam compartilhados por diversos usuários, o que reduz o consumo de banda. Esses equipamentos já têm tecnologia para fazer, inclusive, streaming ao vivo.

Para Francisco Pinto, a aquisição de uma solução como essa se justifica caso a empresa acredite que esse tipo de aplicação representa algo estratégico para as atividades futuras, posteriores à Copa. Fernando Fontão concorda: “A tecnologia não é barata, é um investimento alto demais para um fim que não está relacionado ao negócio”.

Ameaças virtuais

A maior parte dos grandes eventos mundiais pode representar algum problema de segurança no que diz respeito a ameaças virtuais. Por mais que os usuários estejam conscientes, a capacidade dos criminosos de aplicar golpes também aumenta.

De acordo com o chefe de tecnologia da empresa de governança de segurança da informação EPSec, Denny Roger, as empresas devem, sim, ter um alerta a mais por conta do evento, apesar de não acreditar que a Copa traga riscos tão grandes. “Em um País como o Brasil, as empresas já estão suficientemente protegidas”, diz Roger.

Mesmo que o risco seja pequeno, vale a pena a equipe de TI soltar um boletim ou realizar alguma palestra de conscientização dos funcionários, alertando sobre possíveis ameaças em relação à Copa do Mundo. Mas, segundo Roger, isso deve ser feito sem alarde, pois os problemas dificilmente vão aumentar nesse período.

Apesar disso, Roger avisa que quem for à África do Sul nesse período deve ficar atento às redes sem fio disponibilizadas pela organização do evento. Os criminosos virtuais brasileiros encontrariam muito mais facilidade de atacar quem está trabalhando na Copa.

Fonte: http://computerworld.uol.com.br/gestao/2010/06/01/politicas-de-ti-para-evitar-problemas-durante-a-copa-do-mundo/

Sem comentários »

Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo.

Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação.

Pornografia e o processo disciplinar

Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português”.

Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então”. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.

Voltando ao comitê de segurança da informação, as discussões sobre o assunto são polêmicas. Por exemplo, caso alguém veja as fotos do carnaval de 2010, onde a passista está com os seios de fora, a organização irá:

Opção 1 – aplicar uma medida disciplinar educativa. Ou seja, só vai conversar com a pessoa para não fazer mais isso. Será que isso funciona no Brasil? Acredito que não.

Opção 2 – aplicar uma medida disciplinar corretiva. Agora a coisa é formal. Vai ficar documentado no RH que o infrator viu os seios de uma passista no carnaval de 2010 usando um recurso da empresa. Mas e se o infrator for terceirizado? Olha só o assunto esquentando, no bom sentido.

Opção 3 – a organização resolve dispensar o infrator. Isso mesmo, o infrator é demitido. Mas será demitido “sem justa causa” ou “por justa causa”? O assunto está esquentando mais ainda.

Opção 4 – Deixa para lá porque quem está acessando é alguém da alta diretoria. Ei, não é brincadeira não! Tem empresa que discute até isso. Uma vez bloqueamos o acesso ao conteúdo pornográfico de uma grande organização.

Vale até para o presidente

O presidente dessa empresa convocou uma reunião com a equipe do projeto. É lógico que eu pensei: vamos receber um elogio pelo sucesso do projeto. Porém, o executivo, dono da empresa, explicou para a equipe toda que uma das maneiras dele tirar o estresse era acessando páginas pornôs. Não vale dar risada agora, você está na frente do presidente da empresa.

E não parou por ai. Ele deixou bem claro que quem estava pagando o salário de todo mundo era ele. Sendo assim, ou as páginas pornográficas eram liberadas para ele ou sei lá o que ele quis dizer. Conclusão, eu fui para outro projeto porque não criamos exceção.

Existem mais opções ainda. Por exemplo, não vamos fazer nada porque ver os seios das passistas do carnaval de 2010 é comum no Brasil. Porém, vamos continuar o assunto porque tem muita coisa para discutirmos no comitê de segurança da informação. E olha só que legal, o comitê é de segurança da informação, mas estamos discutindo sobre o processo disciplinar, que é do RH e do Jurídico.

Outro exemplo: quando o colaborador acessar a página do Paparazzo para ver as fotos sensuais das últimas gatas do Big Brother Brasil ou ver algum ensaio masculino, o que a empresa vai fazer? Quais das opções acima você escolheria? A tarefa não é nada fácil para os responsáveis pelo comitê de segurança da informação.

Existem aqueles colaboradores que compram revistas pornográficas e vão “ler” no banheiro da empresa. O que fazer neste caso? Não podemos instalar câmeras no banheiro para detectar desvios na política de segurança da informação. Esse assunto também é discutido nos comitês de segurança da informação.

As coisas em seus devidos lugares
Cada empresa vai agir de um jeito. O departamento de Recursos Humanos, em parceria com o Jurídico, deve liderar a discussão desse assunto no comitê de segurança da informação.

A política de segurança da informação deve fazer referência à norma interna ligada ao processo disciplinar da organização.

A norma de uso dos recursos computacionais móveis (notebooks, pen drive, celular corporativo etc) deve fazer referência à norma interna relacionada ao processo disciplinar da organização.

A norma sobre o correio eletrônico (e-mail) deve citar a norma interna referente ao processo disciplinar da organização.

E não se esqueça: durante o processo de conscientização de todos os colaboradores da sua organização, apresente nas palestras como funciona o processo disciplinar da empresa. O efeito psicológico funciona melhor do que qualquer tecnologia de segurança da informação.

*Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.

Fonte: http://idgnow.uol.com.br/blog/mente-hacker/2010/05/27/pornografia-no-pc-da-empresa-punir-ou-nao-punir/

Sem comentários »

Com novo parceiro, EPSEC amplia consultoria e força de vendas em Santa Catarina

O credenciamento da TrueIT, empresa especializada em segurança da informação, vem para suportar os novos clientes da EPSEC e garantir uma cobertura integral em Santa Catarina. Segundo Anselmo Cimatti, CEO da EPSEC, “a fim de expandir nossa atuação junto ao mercado, a EPSEC está credenciando parceiros em todo o Brasil e investindo em marketing cooperado e geração de demandas”.

Cimatti revela ainda que Santa Catarina passa agora a ser atendida pela TrueIT. “A idéia é que a TrueIT possa oferecer para o cliente final desde a pré-venda até a implementação da avaliação do nível de maturidade e o desenvolvimento do plano de crescimento”, afirma o executivo. Para isso, a EPSEC qualificará a TrueIT, que entre as novidades, realizará treinamentos e participará de alguns projetos com a equipe da EPSEC.

Nesta primeira fase, a TrueIT contará com a ajuda de uma equipe de consultores da EPSEC. “A nossa intenção é deixar o nosso parceiro apto para caminhar sozinho, e mais, suportar projetos de alta complexibilidade que envolvam o desenvolvimento de planos de crescimento para os processos de segurança da informação”, comenta Denny Roger, Chief Technology Officer da EPSEC.

“A TrueIT é dotada de equipe qualificada para a oferta de soluções desde infraestrutura até suporte técnico em segurança da informação. Esta nova parceria preenche uma lacuna no atendimento aos nossos clientes, que passam agora a contar com soluções focadas em Governança da Segurança da Informação”, explica Ewerton Alves, CEO da TrueIT.

Como resultado do maior alcance, a EPSEC espera obter 10% de sua receita com negócios fechados pela parceira.

Equipe EPSEC
www.epsec.com.br
info@epsec.com.br
(11) 4191 1230

Sem comentários »

A prática de fraudes online tem se multiplicado. Inúmeras empresas são alvos desses crimes. Algumas só tomam conhecimento ao registrarem elevados prejuízos, ocorrências de espionagem industrial ou comprometimento de suas relações com clientes e fornecedores. As fraudes online tornaram-se até banais: dados de contas bancárias são vendidos entre R$ 20,00 e R$ 2 000,00, dependendo do valor da conta, segundo pesquisa da Symantec.

Participe deste Seminário InterNews e saiba como se proteger de ataques online. Veja como evitar roubos de dados confidenciais. Estabeleça controles e sistemas de segurança eficazes contra fraudes externas e internas. Conheça melhor as vulnerabilidades do seu portal corporativo ao cybercrime. Saiba como investigar e combater as fraudes online.

PROGRAMA

8h30 Credenciamento

9h00 Como Prevenir sua Empresa dos Perigos das Fraudes Online

Ação de vírus programados para roubar senhas e códigos de segurança dos internet banking
Clonagem dos cartões nos caixas eletrônicos dos bancos
Roubo de senhas através de programas de mensagens instantâneas
Planejamento de fraude financeira
Invasão de privacidade utilizando as redes sociais

Denny Roger
Chief Technology Officer e fundador da EPSEC, empresa brasileira, com atuação internacional, especializada em governança da segurança da informação, diagnóstico e avaliação de maturidade em segurança da informação

10h10 Coffee break

10h30 Como Reduzir o Risco de Vazamentos e Roubos de Dados Confidenciais

Vladimir Amarante
Engenheiro de Sistemas da Symantec Brasil

11h40 Fraudes Internas – Confiança, Controle e Segurança

Flávio Maciel Nisti
Chief Security Officer da Interfile Gestão de Documentos e Processos, do Grupo Intepar, especializada em gestão de processos, documentos e recuperação de créditos

12h50 Almoço

14h00 Investigação e Processos contra Fraudes Digitais na Justiça

Marcel Leonardi
Advogado especialista em Crimes Digitais, sócio titular do escritório Leonardi Advocacia. Mestre e Doutor em Direito pela Universidade de São Paulo e pós-doutor pela University of California at Berkeley, Boalt Hall School of Law. Professor da FGV-SP

15h10 A Sua Aplicação Web é uma Porta para o Cybercrime?

Wagner Elias
Conselheiro de Pesquisa e Desenvolvimento em Segurança Web do Site Blindado. Presta serviço para empresas como Casas Bahia, Cielo, IG e Polishop.

16h20 Coffee break

16h50 A Prevenção dos Crimes Digitais através da Educação dos Usuários e os Desafios Trazidos pelas Redes Sociais

Patricia Peck
Advogada especialista em Direito Digital, sócia da PPP Advogados, com especialização pela Harvard Business School e MBA pela Madia Marketing School. Autora do livro “Direito Digital”

Leandro Bissoli
Advogado especialista em Direito Digital, sócio e vice-presidente da PPP Advogados

18h00 Encerramento

INFORMAÇÕES

Data
15 de julho de 2010

Local
Hampton Park Residence Hotel
Al. Campinas, 1213
Jardins - São Paulo - SP

INSCRIÇÕES

Você pode efetuar sua inscrição através dos telefones (11) 3751-3430 (SP) ou 0800-177707 (demais localidades), fax (11) 3751-3468, pelo e-mail atendimento@internews.jor.br, informando seu nome, cargo, empresa, endereço, telefone, fax ou on-line, clicando aqui.

Preço
R$ 1.890,00 para inscrições pagas até o dia 8 de julho de 2010
R$ 2.140,00 para inscrições pagas após o dia 8 de julho de 2010

Os pagamentos podem ser feitos por boleto, depósito bancário ou por cartão de crédito
Consulte-nos sobre descontos especiais para mais de 3 inscrições
Estão inclusos os custos de material, coffee break, almoço e estacionamento

Para mais informações, acesse http://www.internews.jor.br/

Sem comentários »

Após uma jornada de trabalho no sul do país, com direito a uma forte chuva seguida de ventos que atingiram 72 km/h, estou de volta a São Paulo.

Quem me acompanha há algum tempo sabe que um dos esportes que prático é o surf. Quando encontro com alguém em São Paulo sempre vem aquela pergunta “E ai Denny, levou a prancha nessa viagem?”. Dessa vez não tive tempo para o surf, foi só trabalho mesmo. Mas sempre que vou trabalhar no continente africano levo a prancha. O litoral da África é perfeito para o surf e também para tirar o estresse de uma semana agitada de muitas reuniões e projetos.

Chegando a São Paulo fui andar de skate em um parque próximo a Cidade Jardim e a Marginal Pinheiros. Hoje voltei aos treinos de jiu-jitsu. O meu mestre, o Helio Costa, deve embarcar para uma competição nos EUA nesta quarta-feira. Ou seja, eu retorno de viagem e aos treinos e ele é quem vai viajar agora. Mas estamos torcendo por ele nesta competição internacional. Fora que o Brasil é referência internacional quando se trata do jiu-jitsu.

O surf, o skate e o jiu-jitsu são esportes que eu prático pelo bem estar. Fora que é uma excelente oportunidade de passar um bom tempo, muito divertido, com a família. Para quem trabalha com projetos e viagens o tempo todo sabe o que eu quero dizer. Ficar longe da família, viajando o tempo todo, carregando mala pesada, computador etc, não é fácil não. Todos temos que ter um tempo para cuidar da saúde e das pessoas que amamos.

Atualmente sou responsável pelo desenvolvimento de um novo produto na EPSEC e faço dois trabalhos não remunerados. Também escrevo para o IDG Now! e estou sempre criando novas palestras e cursos sobre segurança da informação. Procuro ler 12 livros por ano e publico mais de 100 artigos todos os anos. Viajar a lazer é super raro. Mas faz parte do jogo.

Este blog volta agora a bombar com mais informações sobre Governança e Segurança da Informação. O ano de 2010 promete e o meu objetivo é compartilhar o meu conhecimento com todos voces. Agenda de eventos cheia, desenvolvimento de novos frameworks acontecendo, aplicações web sendo construídas e comitês de segurança da informação sendo formados.

Essa semana publico no blog os temas mais quentes dos comitês de segurança da informação em que eu participo.

Abraços,

Denny Roger
denny@epsec.com.br

Sem comentários »

Dear Readers,

As member of the ABNT / CEE-139, I am working in the development of the Security Assurance Management System. This standard identifies and defines risks that a secure entity must manage and the degree to which those risks must be managed to be compliant as a high, medium or basic secure organization.

In 2009, the International Organization for Standardization (ISO) has approved the creation of the Technical Committee (TC) to address the development of standards related to combating fraud. This TC was proposed by the American National Standards Institute (ANSI) in conjunction with the North American Security Products Organization (NASPO).

Regards,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

A EPSEC realiza hoje, em São Paulo, o curso “Governança da Segurança da Informação”, voltado a como direcionar a elaboração e implementação de um Sistema de Gestão da Segurança da Informação (SGSI).

O curso irá abordar as áreas foco da Governança da Segurança da Informação, tais como: alinhamento estratégico, avaliação do nível de maturidade, gerenciamento de riscos, gerenciamento de recursos, medição de desempenho através de indicadores e agregação de valor otimizando custos.

Segundo Denny Roger, CTO e fundador da EPSEC, “o curso apresenta na prática o modelo de implementação da Governança da Segurança da Informação, incluindo todas as tarefas necessárias para que os participantes consigam garantir uma boa interação entre a direção e a gerencia responsável pelo SGSI, monitorar o SGSI através de sistemas de mensuração apropriados, analisar e medir o grau de cumprimento das metas de segurança e divulgar todas as informações e resultados sobre a Governança da Segurança da Informação para todas as partes interessadas.”

As próximas turmas acontecem nos meses de junho e julho nas cidades: Rio de Janeiro, Curitiba e Brasília.

Para mais informações, acesse:
http://www.epsec.com.br/servicos.php?id=6

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br
(11) 4191 1230

Sem comentários »

Especialistas dizem que falhas internas facilitam invasões

André Sartorelli, do R7

A falta de preparo das equipes responsáveis pelos sites dos partidos políticos é um dos principais facilitadores dos ataques virtuais que recentemente fizeram com que siglas como PSDB, PT e PMDB tivessem sua imagem denegrida na rede, colocando milhares de internautas em risco de caírem em golpes cibernéticos. A avaliação é de especialistas consultados pelo R7.

Quem acessa uma página invadida pode ser prejudicado à medida que os piratas virtuais passam a redirecionar o site invadido para uma página idêntica, clonada, com mensagens que pedem informações bancárias, senhas, números de cartões de crédito ou oferece a instalação de um programa espião, responsável por vasculhar o PC da vítima.

Denny Roger, diretor da EPSEC, empresa especializada em consultoria para segurança da informação, explica que os partidos têm características semelhantes a muitas empresas que não investem na segurança de seus dados.

- Geralmente são instituições que não têm um nível de maturidade que permita uma proteção eficaz, ou seja, não oferecem cursos de segurança, não usam programas fundamentais ou não têm estratégias para “blindar” seu conteúdo na web.

As brechas são facilmente exploradas pelos criminosos. A partir dos casos que já analisou, Roger conta que, para esse tipo de ataque, que coloca mensagens de protesto nas páginas e faz montagem com fotos e piadinhas no site invadido, o perfil do invasor pode ser descrito como jovem de 18 a 28 anos de idade, sem conhecimentos muito detalhados de redes de computadores, que atua em grupos pequenos e troca informações pela própria internet.

As invasões acontecem a partir do momento em que se descobre as vulnerabilidades do local onde está hospedado o conteúdo do site. Isso pode ser feito online, com razoáveis conhecimentos sobre banco de dados. Outra maneira mais banal, segundo Roger, é pelo vazamento de nomes de usuários e senhas das pessoas que publicam o conteúdo em um portal de uma sigla política.

- Assim como em companhias, pode acontecer em partidos casos em que os funcionários não protegem adequadamente login e senha usados para postagem no site. Se essa informação é vazada por um golpe individual sofrido pelo funcionário do partido, se ele compartilha informações de acesso indiscriminadamente com colegas de trabalho ou fornece esses dados para colegas interessados em retalhar inimigos internos, o site pode ter parte do conteúdo apagado por um hacker ou mesmo retirado do ar.

Diferente das páginas comerciais da web, as de partidos não possuem conteúdos sigilosos com áreas internas restritas. A maioria do material publicado é usada para informação pública. Então, é praticamente impossível que as invasões sejam motivadas para obter vantagens financeiras.

Wanderson Castilho, perito em crimes digitais e autor do livro Manual do Detetive Virtual, diz que sites de candidatos devem correr maior risco durante a próxima eleição.

- A internet vai ter um papel fundamental na disputa em 2010 e as páginas dos partidos e dos candidatos correm mais riscos do que qualquer outro porque a imagem vale muito na campanha. E é por esses sites que as pessoas poderão acessar facilmente vídeos, discursos, e debates. Ataques virtuais passam a ter um peso preocupante na construção ou desconstrução de uma candidatura.

Identificar o computador de onde partiu o ataque custa de R$ 10 mil a R$ 100 mil e envolve a contratação um advogado especializado em direito eletrônico. Roger diz que, por estarem despreparados, os partidos sabem que muito em breve sofrerão os mesmos danos novamente.

- Os partidos não resolvem ir a fundo nas investigações. Sabem que esse tipo de crime é constante e isso acontece pela falta de uma maturidade, de ações no longo prazo e treinamentos adequados de toda a equipe que lida com campanhas online.

Fonte: http://noticias.r7.com/tecnologia-e-ciencia/noticias/ataques-a-sites-de-partidos-politicos-colocam-internautas-em-risco-20100424.html

Sem comentários »

A perda de dados por meio de invasão externa deixou de ser a maior preocupação. O grande desafio hoje está na segurança dos dados que trafegam ou estão armazenados dentro da empresa. Esse cenário trouxe uma nova geração de soluções batizada de DLP (Data Loss Prevention).

A Decision Report promove amanhã (15/04) mais um programa de debates “Decision Report Meeting” para analisar esse novo cenário na segurança da informação. O debate contará com a participação especial de Denny Roger, sócio-fundador da EPSEC.

Participe!
O debate será transmitido ao vivo pela TVDecision, na internet, com interatividade.
Dia: 15 de Abril - Horário: 10h às 12h
Acesse: http://www.decisionreport.com.br/meeting/dlp/convite_virtual.html

Sem comentários »

O que deve ser analisado ao se montar um departamento de segurança da informação.

Por Denny Roger

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação).

Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante.

Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.

Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade.

Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:

• Ele possui experiência em disciplinas mais amplas, como banco de dados e desenvolvimento de software, utilizando recursos de segurança da informação muito básicos.

• Não possui um histórico de participação em palestras/eventos ou treinamentos sobre segurança da informação.

• Desconhece padrões internacionais de segurança da informação (por exemplo, ISO 27002) e não acompanha os boletins sobre as novas ameaças na internet.

• Realiza a leitura apenas de livros relacionados a tecnologias de banco de dados e linguagens de desenvolvimento de software.

• Possui curso superior de tecnologia em banco de dados, MBA em Gestão de Tecnologia da Informação e certificações da Microsoft e da Oracle.

Você conseguiu adivinhar qual era o papel dele na empresa? Isso mesmo! Ele era o responsável pela administração do banco dados. Agora, ele é o Gerente de Segurança da Informação.

Terceiro: algumas empresas criam um departamento de segurança da informação para fazer gestão de acesso ao ambiente computacional. Ou seja, criar usuários, alterar senhas, configurar permissões em diretórios etc. Tudo isso para atender regulamentações ou auditorias.

Quarto: criar um departamento de segurança da informação subordinado à área de Tecnologia da Informação é o erro mais comum das organizações.

A área de segurança deve estar alinhada ao departamento jurídico e à auditoria no organograma. A área de segurança da informação subordinada ao diretor de TI funciona mais como um suporte técnico do que uma área responsável pelo Sistema de Gestão da Segurança da Informação.

Fatores de sucesso

O sucesso da sua empresa não está ligado ao arsenal tecnológico. Existem alguns fatores que devem ser considerados ao decidirmos criar uma equipe de segurança da informação e implementar um Sistema de Gestão da Segurança da Informação. O primeiro fator é obter a aprovação dos gestores da organização para iniciar o projeto de implantação do Sistema de Gestão da Segurança da Informação.

Nesta fase, a equipe de projetos apresenta as prioridades e objetivos e escopo para a implantação do Sistema de Gestão da Segurança da Informação. Deve também discutir uma alteração na estrutura organizacional da empresa, incluindo responsabilidades, para atender aos objetivos do projeto e às necessidades de negócio.

O produto final desta fase é a aprovação e o comprometimento dos gestores para a implementação do Sistema de Gestão da Segurança da Informação.

O segundo fator é o desenvolvimento do diagnóstico e análise do nível de maturidade. Durante esta fase, mapeamos a situação atual da organização e apresentamos uma relação de melhorias necessárias nos processos de segurança da informação para estruturarmos uma ligação entre o planejamento estratégico da organização e a implementação do sistema de de segurança.

O terceiro aspecto é a criação de um Comitê Interdepartamental para o desenvolvimento da política e normas de segurança da informação, incluindo apoio do conselho administrativo e/ou da alta direção, baseada nas diretrizes da Governança da Segurança da Informação, necessidades de negócio e regulamentações.

Com o apoio da cúpula

A criação de uma equipe de segurança da informação e a definição de suas responsabilidades depende, principalmente, das diretrizes estabelecidas pelo conselho administrativo e/ou diretores. Essas diretrizes devem estar documentadas na política de Governança da Segurança da Informação.

A Governança da Segurança da Informação irá esclarecer aos gestores sobre os objetivos estratégicos da empresa, em relação à segurança da informação, e apresentará uma lista dos requisitos legais/regulamentações, o que envolve requisitos contratuais de segurança da informação aplicáveis ao negócio.

A combinação dos três fatores ajudará sua empresa na criação de uma equipe de segurança da informação e na implantação de um Sistema de Gestão da Segurança da Informação.

Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2010-04-08.2266571128/

Sem comentários »