Um tema que gera polêmica em muitas empresas é o de como proceder com a pessoa responsável quando existe uma violação da segurança da informação.
Como acredito que ninguém goste de sancionar uma outra pessoa (bom...tem alguns que gostam, mas esse não é o assunto do artigo), é importante realizar uma verificação prévia para confirmar de que a violação realmente ocorreu.
Ainda, antes de crucificar o indivíduo, é importante identificar se o funcionário sabe que está cometendo uma violação e acompanhar para medir a freqüência em que a violação ocorre.
Verificar se sabe é bastante óbvio, contudo, muitas vezes, se esquece de informar, treinar ou estabelecer o desempenho desejado e esperado das pessoas. Não sendo este o caso, devemos acompanhar e medir a freqüência para estabelecer se o mesmo se repete, o que constitui, caso este sabe que está cometendo uma violação, um ato de má fé.
Além disso, o acompanhamento irá fornecer informações e evidências para o caso de, após um incidente de segurança da informação, ser necessário entrar com uma ação legal (civil ou criminal) contra uma pessoa ou organização.
Apenas para ilustrar, sem entrar no detalhe, as evidências de violação devem abranger: a admissibilidade da evidência, ou seja, se a evidência pode ser ou não utilizada na corte e; a importância da evidência, que está relacionada à qualidade e inteireza da evidência.
Voltando para o processo disciplinar, uma vez confirmado a violação e decidido proceder com a sanção, é importante que este assegure um tratamento justo e correto aos funcionários que são suspeitos de cometer tais violações.
Para isso, o processo disciplinar deve dar uma resposta de forma gradual, que leve em consideração fatores como a natureza e a gravidade da violação e o seu impacto no negócio.
Devesse observar também, se este não é o primeiro delito, se o infrator foi ou não adequadamente treinado, as legislações relevantes, os contratos do negócio e outros fatores conforme requerido.
Em casos sérios de má conduta, é importante que o processo permita, por um certo período, a remoção das responsabilidades, dos direitos de acesso e privilégios. Ainda, dependendo da situação, devesse solicitar à pessoa que saia imediatamente, de preferência escoltada, das dependências da organização.
A divulgação do processo disciplinar, guardados os devidos direitos do indivíduo, deve ser usada como forma de dissuasão, para evitar que outros funcionários, fornecedores e terceiros também violem as políticas de segurança da informação.
Devo reconhecer e acrescentar também que, dependendo do caso, será um prazer sancionar a pessoa...
Friday, March 31, 2006
Tuesday, March 28, 2006
Segurança das Telecomunicações
Antes de discutir a segurança das telecomunicações é importante conceituar, para efeito deste artigo, telecomunicações. Telecomunicações é todo instrumento capaz de servir de veículo para a transmissão de dados, voz ou informações de interesse.
Com esta definição, todas as maneiras de telecomunicações são englobadas, como por exemplo: telegrama, fax, transmissão de voz (telefone, rádios, etc), transmissão de imagens (satélites, circuitos fechados de TV, etc) e transmissões digitais (e-mail, workflow, etc). Ainda nesta definição, apesar de não ser o foco de preocupação deste artigo, se encaixa também o mensageiro ou motoboy e as cartas.
Basicamente, nas telecomunicações, o maior problema de segurança é a violação das transmissões, o que chamamos de interceptação. O resto é conseqüência.
Por este motivo, vou focar nas medidas e procedimentos para prevenir, detectar, evitar e neutralizar a interceptação.
Antes de discutir medidas e procedimentos, vou segmentar a segurança das telecomunicações em categorias para facilitar a compreensão. A segurança das telecomunicações pode ser categorizada como:
Segurança dos meios: é a segurança dos meios de transmissão;
Segurança da transmissão: é a segurança dos tipos de transmissão;
Segurança do conteúdo: é a segurança do teor da transmissão;
Segurança dos componentes: é a segurança dos diversos itens que participam ou emanam das transmissões;
Segurança da recepção: é a segurança da recepção das transmissões.
Visando proteger a segurança das telecomunicações, devemos então analisar medidas e procedimentos para cada uma destas categorias por separado (apesar de que muitas ações se apliquem a mais de uma categoria), ficando assim:
Segurança dos meios:
Escolha de locais:
- Selecione locais evitando que estes estejam suscetíveis à ação das intempéries (chuva, vento, etc) ou às condições que prejudiquem seu desempenho (umidade, calor, etc);
- Selecione locais que possibilitem o controle de acesso, de utilização, da manutenção, do monitoramento, etc.
Segurança da transmissão:
- Para este, cada caso é um caso, contudo, caso possível utilize: scramblers, saltos de freqüência, criptologia, entre outros.
- Estabeleça rotinas para transmissões e tráfego.
Segurança do conteúdo:
- Parecido à Segurança da transmissão;
- Utilize Criptografia;
- Utilize regras de uso definindo quem pode fazer o que, quando e em que circunstancias;
- Estabeleça procedimentos para usuários, agentes, operadores, determinando parâmetros de conduta;
- Estabeleça rotinas para transmissões e tráfego.
Segurança dos componentes:
- Estabeleça regras de controle de acesso a qualquer item que possa permitir acesso aos sistemas que permitem realizar, manter ou avaliar a informação ou o conhecimento nas transmissões;
- Estabeleça uma análise sobre as condições técnicas e operacionais dos sistemas de transmissão;
Segurança da recepção:
- Defina procedimentos e medidas de verificação da idoneidade, identidade e fidedignidade das origens e das fontes, da veracidade dos conteúdos, de sua pertinência, importância e de sua precedência.
Isto deverá ajudá-lo a aumentar a segurança nas suas telecomunicações.
Ainda, para realmente garantir a segurança das (tele) comunicações, se certifique dos antecedentes criminais e da saúde financeira de seus mensageiros e Motoboys.
Wednesday, March 22, 2006
IP Spoofing – levando gato por lebre
Para definir o termo, spoofing (do termo em inglês spoof ou mascarar em português) significa fingir ser o que você não é. Este é o motivo do título, do popular, gato por lebre.
Dentro da área de Tecnologia da Informação (TI), como sempre mais refinada nas suas definições, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (ou spoof) pacotes IP com endereços de remetentes falsificados.
Para dar um exemplo, um dos tipos de spoofing mais sofisticados é o ataque e alteração da relação nome/IP nos servidores DNS (Domain Name Servers). Neste caso, o endereço registrado no servidor DNS, por exemplo, www.nomedodominio.com.br e associado ao número IP 200.228.142.38 é alterado para um novo número IP 200.227.144.12 (ambos endereços IP são exemplo). Com isso qualquer pessoa tentando acessar o site www.nomedodominio.com.br estará sendo redirecionado para o novo endereço IP (falso).
Para facilitar, isto seria como trocar a placa do número da sua casa pela do seu vizinho com o objetivo de receber a nova TV que você já sabe que ele comprou.
Além desta, entre outras mais criativas, existe outra no qual um indivíduo mal intencionado se apropria do IP de um usuário que está conectado a uma determinada página da Internet e, desta maneira, rouba a sessão e o encaminha para um site falso.
Para evitar o spoofing, existem vários métodos, como a aplicação de filtros de pacotes, filtro ingress nos gateways, filtro egress e até mesmo o uso de um bom firewall, entre outros.
O assunto é bastante complexo e extenso...
Dentro da área de Tecnologia da Informação (TI), como sempre mais refinada nas suas definições, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (ou spoof) pacotes IP com endereços de remetentes falsificados.
Para dar um exemplo, um dos tipos de spoofing mais sofisticados é o ataque e alteração da relação nome/IP nos servidores DNS (Domain Name Servers). Neste caso, o endereço registrado no servidor DNS, por exemplo, www.nomedodominio.com.br e associado ao número IP 200.228.142.38 é alterado para um novo número IP 200.227.144.12 (ambos endereços IP são exemplo). Com isso qualquer pessoa tentando acessar o site www.nomedodominio.com.br estará sendo redirecionado para o novo endereço IP (falso).
Para facilitar, isto seria como trocar a placa do número da sua casa pela do seu vizinho com o objetivo de receber a nova TV que você já sabe que ele comprou.
Além desta, entre outras mais criativas, existe outra no qual um indivíduo mal intencionado se apropria do IP de um usuário que está conectado a uma determinada página da Internet e, desta maneira, rouba a sessão e o encaminha para um site falso.
Para evitar o spoofing, existem vários métodos, como a aplicação de filtros de pacotes, filtro ingress nos gateways, filtro egress e até mesmo o uso de um bom firewall, entre outros.
O assunto é bastante complexo e extenso...
Tuesday, March 21, 2006
Na biometria, as pessoas viram chaves de acesso.
Pode parecer estranho, mas é bem provável que você já utilizou a biometria para ser identificado.
Não se assuste, a biometria já é bastante utilizada nos controles de acesso e identificação por impressões digitais. Existe atualmente em alguns prédios inteligentes, academia de ginástica, aeroportos, etc.
Contudo, uma adição à biometria que conhecemos está se tornando cada dia mais comum; são as imagens faciais, da íris e a geometria da mão, entre outras, que podem ser usadas como meios de identificação ou verificação em procedimentos de liberação de acesso ou comprovação de identidade.
Esta nova tecnologia funciona através da combinação de duas características de um indivíduo para garantir uma identificação mais precisa; por exemplo, associa características anatômicas combinadas com características comportamentais, como a assinatura, a voz ou o padrão de datilografar em um teclado.
Um dos métodos mais comum é o do reconhecimento facial, que hoje se encontra em plena transição de um método 2D para um método 3D, o que fará ser mais seguro.
Ele funciona da seguinte maneira: Para autenticar uma pessoa, suas características pessoais são escaneadas (tirasse uma fotografia digital em 2D ou 3D dependendo da tecnologia) e comparadas com os dados armazenados em uma base de dados. O objetivo é determinar se a pessoa e os dados combinam.
Os sistemas biométricos são sistemas que realizam uma verificação ou uma identificação. A identificação, objetiva determinar a identidade de uma pessoa, enquanto a verificação, objetiva confirmar ou refutar se a identidade é da pessoa.
O princípio da identificação biométrica é o mesmo em todos os sistemas, independente da sua tecnologia (digital, íris, face, etc). O usuário deve, em primeiro lugar, registrar no sistema as suas propriedades biométricas. Estas são então gravadas e convertidas em registros de dados.
O conceito é bastante simples, por exemplo, se o usuário quiser passar por uma verificação, o sistema compara os dados atuais com os dados armazenados.
Focando a segurança, basicamente os sistemas biométricos permitem controlar o acesso às áreas da segurança com maior precisão.
A vantagem da autenticação biométrica é que reduz o risco da informação ser intencionalmente ou involuntariamente roubada, porque as características de um indivíduo, físicas ou comportamentais, são únicas e associadas diretamente a uma pessoa. Além disso, sempre se associa a estas características um determinado prazo de validade.
Além de permitir controles de acesso para instituições físicas, uma identificação digital pode ser usada também para controle de acesso lógico, como por exemplo, para aplicações de comércio ou bancários pela Internet.
Um exemplo deste tipo de identificação pode ser associado a uma assinatura eletrônica que pode fazer parte da proteção de uma transação bancária, por exemplo, um pagamento de uma conta pela Internet. Através deste, a autenticação biométrica assegura-se de que a chave da assinatura esteja ativada de acordo com a da assinatura Digital.
A descrição acima é apenas para dar uma idéia do conceito.
Não se assuste, a biometria já é bastante utilizada nos controles de acesso e identificação por impressões digitais. Existe atualmente em alguns prédios inteligentes, academia de ginástica, aeroportos, etc.
Contudo, uma adição à biometria que conhecemos está se tornando cada dia mais comum; são as imagens faciais, da íris e a geometria da mão, entre outras, que podem ser usadas como meios de identificação ou verificação em procedimentos de liberação de acesso ou comprovação de identidade.
Esta nova tecnologia funciona através da combinação de duas características de um indivíduo para garantir uma identificação mais precisa; por exemplo, associa características anatômicas combinadas com características comportamentais, como a assinatura, a voz ou o padrão de datilografar em um teclado.
Um dos métodos mais comum é o do reconhecimento facial, que hoje se encontra em plena transição de um método 2D para um método 3D, o que fará ser mais seguro.
Ele funciona da seguinte maneira: Para autenticar uma pessoa, suas características pessoais são escaneadas (tirasse uma fotografia digital em 2D ou 3D dependendo da tecnologia) e comparadas com os dados armazenados em uma base de dados. O objetivo é determinar se a pessoa e os dados combinam.
Os sistemas biométricos são sistemas que realizam uma verificação ou uma identificação. A identificação, objetiva determinar a identidade de uma pessoa, enquanto a verificação, objetiva confirmar ou refutar se a identidade é da pessoa.
O princípio da identificação biométrica é o mesmo em todos os sistemas, independente da sua tecnologia (digital, íris, face, etc). O usuário deve, em primeiro lugar, registrar no sistema as suas propriedades biométricas. Estas são então gravadas e convertidas em registros de dados.
O conceito é bastante simples, por exemplo, se o usuário quiser passar por uma verificação, o sistema compara os dados atuais com os dados armazenados.
Focando a segurança, basicamente os sistemas biométricos permitem controlar o acesso às áreas da segurança com maior precisão.
A vantagem da autenticação biométrica é que reduz o risco da informação ser intencionalmente ou involuntariamente roubada, porque as características de um indivíduo, físicas ou comportamentais, são únicas e associadas diretamente a uma pessoa. Além disso, sempre se associa a estas características um determinado prazo de validade.
Além de permitir controles de acesso para instituições físicas, uma identificação digital pode ser usada também para controle de acesso lógico, como por exemplo, para aplicações de comércio ou bancários pela Internet.
Um exemplo deste tipo de identificação pode ser associado a uma assinatura eletrônica que pode fazer parte da proteção de uma transação bancária, por exemplo, um pagamento de uma conta pela Internet. Através deste, a autenticação biométrica assegura-se de que a chave da assinatura esteja ativada de acordo com a da assinatura Digital.
A descrição acima é apenas para dar uma idéia do conceito.
Monday, March 20, 2006
Preciso de ajuda para gerir a segurança da informação de minha empresa?
Como afirmam os gurus da administração, a melhor maneira de esclarecermos algo que a nosso ver é complexo, é através de perguntas.
É por este motivo que o título deste artigo foi escrito como uma pergunta e a seguir relaciono outra série de perguntas que o ajudarão a responder a primeira.
As perguntas não seguem nenhuma ordem ou seqüência específica, mas abordam os aspectos mais importantes na segurança da informação:
É por este motivo que o título deste artigo foi escrito como uma pergunta e a seguir relaciono outra série de perguntas que o ajudarão a responder a primeira.
As perguntas não seguem nenhuma ordem ou seqüência específica, mas abordam os aspectos mais importantes na segurança da informação:
- Sua empresa atende aos requisitos legais necessários?
- Suas informações estão seguras?
- Quer diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação?
- Precisa proteger as infra-estruturas críticas do negócio?
- Seus usuários e terceiros conhecem e aplicam procedimentos de segurança?
- Você sabe onde sua empresa é vulnerável?
- Você sabe quais informações devem ser protegidas e quais não tem tanta necessidade?
- Sua equipe está preparada para atender questões de segurança e de confiabilidade?
- Existe uma integração entre todas as áreas de sua empresa de modo a mapear os riscos?
- Existe compromisso para com a segurança da informação por parte da alta gerência?
- Faltam procedimentos apropriados?
- Você sabe qual solução de segurança sua empresa precisa?
Está claro? ...
Wednesday, March 15, 2006
Necessidade de testes e atualizações regulares dos planos e processos de Disaster Recovery Planning
Falar de Disaster Recovery Planning (DRP), pressupõe já ter um plano de Segurança da Informação, pois este faz parte do mesmo.
Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.
Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.
Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.
Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.
Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:
1) Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
2) Identificar todos os ativos envolvidos em processos críticos de negócio;
3) Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
4) Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
5) Identificar e considerar a implementação de controles preventivos e de mitigação;
6) Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
7) Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
8) Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
8) Testar e atualizar constantemente os planos e processos implantados;
9) Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.
Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.
Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.
Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.
Se você não consegue fazer o teste e a atualização do plano com a devida freqüência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.
Seu negócio depende disto.
Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.
Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.
Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.
Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.
Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:
1) Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
2) Identificar todos os ativos envolvidos em processos críticos de negócio;
3) Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
4) Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
5) Identificar e considerar a implementação de controles preventivos e de mitigação;
6) Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
7) Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
8) Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
8) Testar e atualizar constantemente os planos e processos implantados;
9) Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.
Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.
Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.
Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.
Se você não consegue fazer o teste e a atualização do plano com a devida freqüência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.
Seu negócio depende disto.
Tuesday, March 14, 2006
Segurança e tratamento de mídias
Uma falha temível de segurança, sim temível, é a relacionada com o descarte de mídias que não são mais utilizadas.
Apenas parar esclarecer o que são mídias, elas são quaisquer meios magnético, ótico ou de papel que contenham informações. Geralmente são associadas a disquetes, CD’s e fitas, mas podem ser até um simples pedaço de papel.
As mídias são importantes, pois, em determinado momento, imaginou-se armazenar alguma informação para uso posterior ou para distribuição; ou seja, naquele momento era importante que a informação fosse guardada.
Contudo, uma prática comum, é o das pessoas descartarem mídias que ainda contenham informações importantes. Os motivos podem ser vários, como, por exemplo, confundir-se e jogar no lixo um CD contendo informações importantes devido a não ter anotado a descrição ou algum indicativo do que existe gravado nele.
Contudo, neste exemplo, jogar o CD no lixo por descuido não caracteriza a temível falha na segurança. O que caracteriza este ato como temível é sequer haver pensado em quebrá-lo ou inutilizá-lo raspando ou arranhando as trilhas ao longo da superfície de dados do CD antes de jogá-lo.
Como sabemos, as informações (arquivos, senhas, planilhas, cartas, e-mails, fotos, etc) contidas nessas mídias podem conter “algum bem de informação” que, no passado ou no presente, sejam importante e que podem ser usadas por pessoas mal intencionadas.
Só para dar um exemplo, se dentro deste CD existir um arquivo do topo Word contendo uma senha, e esta senha for quebrada, a mesma poderá servir de base para se descobrir outras senhas deste usuário ou da empresa, já que as senhas da maioria das pessoas estão relacionadas e seguem um mesmo padrão.
Parar evitar que isso ocorra, preste atenção e aplique estes cuidados para todas as mídias da empresa que contenham bens de informação, sejam elas em meio magnético, ótico ou papel:
- Guarde em lugar seguro e adequado à mídia, de acordo com as especificações do fabricante;
- As que forem transitar para fora das instalações da empresa devem ter as suas saída registrada e a garantia de sua chegada ao destino. Além disso, devem ser embaladas de forma adequada, para garantir a sua integridade;
- As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre a mesma;
- Quando forem descartadas, devem ser apagadas e/ ou destruídas através de trituração ou incineração.
Tenha estes cuidados independentemente do conteúdo da mídia, ou seja, um CD de música que já não lhe interessa deve passar pelo mesmo procedimento de um CD contendo o relatório da previsão das vendas dos próximos 12 meses.
Com isso, o procedimento se torna natural e se incorpora a sua rotina.
Monday, March 13, 2006
Classificação e Controle de ativos
Hoje em dia, é alta a preocupação com a segurança dos bens de informação utilizados pelas empresas.
Por este motivo, diretrizes são desenvolvidas e constantemente atualizadas com o objetivo de garantir esta segurança. Estas diretrizes levam o nome de PSI – Política de Segurança da Informação.
Como a função da PSI é proteger a informação de diversos tipos de ameaças, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, muito se tem focado na importância das informações de uma empresa e da sua classificação como o ativo mais importante da mesma.
Contudo, na prática, todos os ativos de uma empresa são importantes já que existe uma interdependência entre eles e, se alguns falharem por terem sido menosprezados, os efeitos desta falha podem causar problemas ao ativo de informação.
Por esse motivo, dois passos são fundamentais no gerenciamento de ativos:
Por este motivo, diretrizes são desenvolvidas e constantemente atualizadas com o objetivo de garantir esta segurança. Estas diretrizes levam o nome de PSI – Política de Segurança da Informação.
Como a função da PSI é proteger a informação de diversos tipos de ameaças, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, muito se tem focado na importância das informações de uma empresa e da sua classificação como o ativo mais importante da mesma.
Contudo, na prática, todos os ativos de uma empresa são importantes já que existe uma interdependência entre eles e, se alguns falharem por terem sido menosprezados, os efeitos desta falha podem causar problemas ao ativo de informação.
Por esse motivo, dois passos são fundamentais no gerenciamento de ativos:
- O mapeamento do fluxo e do relacionamento entre ativos e informação;
- A classificação e o controle dos ativos e das informações
No primeiro, é importante mapear o relacionamento entre os diversos ativos da organização para entender seu relacionamento, dependência e efeito. Contudo, não vou discutir neste artigo o mapeamento e sim a classificação e o controle dos ativos.
Para efeito de uma PSI os ativos devem ser agrupados da seguinte maneira:
- Os ativos de informação são os dados contidos em Bancos de Dados, os dados contidos em arquivos convencionais, a documentação de sistema, a documentação de softwares básicos e de apoio e os planos de continuidade;
- Os ativos de software são os programas fonte, os jobs, as ferramentas de apoio ao desenvolvimento, os softwares básicos e de apoio e os utilitários;
- Os ativos físicos são os equipamentos computacionais (microcomputadores, notebooks, etc.), equipamentos de comunicação (controladoras, roteadores, modens, switchs, etc.), dispositivos de entrada e saída (discos, fitas, impressoras, etc.);
- Os ativos de infra-estrutura são os no-breaks, os geradores de eletricidade alternativa, os quadros elétricos, os equipamentos de refrigeração, etc.
Para cada grupo de ativo, é feito um inventário contendo pelo menos as seguintes informações:
- Ativos de informação: nome do ativo, proprietário, custodiante, usuário, localização, mídia;
- Ativos de software: nome do ativo, fornecedor ou quem desenvolveu, proprietário, custodiante, localização, mídia;
- Ativos físicos: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade;
- Ativos de infra-estrutura: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade.
Para todos os grupos de ativos, também é feita uma classificação quanto à sua criticidade e, especialmente para o ativo de informação, deverá ser feita uma classificação adicional, quanto ao seu sigilo.
A classificação quanto a criticidade obedecerá aos seguintes critérios:
- Muito alta, quando a perda do ativo provocar parada total das atividades de TI;
- Alta, quando provocar perda parcial, de mais de 70% das atividades de TI;
- Média, quando provocar perda parcial, entre 30 e 70% das atividades de TI;
- Baixa, quando provocar perda parcial, abaixo de 30% das atividades de TI;
- Muito baixa, quando não provocar paradas na atividade de TI.
A classificação quanto ao sigilo obedecerá aos seguintes critérios:
- Confidenciais – informações para conhecimento de um grupo reduzido de usuários. Geralmente são informações de caráter pessoal;
- Restritas – informações de caráter setorial e para conhecimento de grupo reduzido de pessoas;
- Internas – informações pertencentes à empresa. Uma informação pode ser interna e restrita ou confidencial ao mesmo tempo;
- Públicas – informações que podem ser acessadas por qualquer usuário.
Isto é apenas uma das primeiras classificações e controles que devemos estabelecer na PSI com o objetivo de garantir a segurança da informação.
Friday, March 10, 2006
Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.
Todo departamento de TI (Tecnologia da Informação) de uma empresa que afirma ter segurança nas suas informações, deve ter desenvolvido, no mínimo, uma PSI – Política de Segurança da Informação.
Resumindo, a PSI é o conjunto das diretrizes necessárias à preservação e segurança dos bens de informação utilizados por uma empresa.
Podemos definir como bens de informação, os seguintes componentes da TI:
- Sistemas aplicativos desenvolvidos e adquiridos;
- Softwares básicos e de apoio;
- Dados;
- Hardware;
- Instalações físicas;
- Equipamentos de infra-estrutura;
- Documentos em papel.
Conforme definição da norma NBR ISO/ IEC 17799:2000, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida.
A segurança da informação tem por objetivo proteger a informação de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.
Ainda segundo a norma, a informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
Para se conseguir a mencionada proteção, a informação deve ser primeiro caracterizada pela preservação da:
- Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
- Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
- Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.
Com base nestas, a segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, prática, procedimentos, instruções de trabalho e funções de software.
Estes controles precisam ser implementados para garantir que os objetivos de segurança específicos da empresa sejam atendidos e seus riscos reduzidos ou eliminados.
Os riscos típicos que a PSI pretende eliminar ou reduzir são:
- Revelação de informações sensíveis;
- Modificações indevidas de dados e programas;
- Perda de dados e programas;
- Destruição ou perda de recursos computacionais e instalações;
- Interdições ou interrupções de serviços essenciais;
- Roubo de propriedades.
Com base nesta rápida explicação, agora você entende o porque da afirmação: Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.
Tuesday, March 07, 2006
A necessidade imediata das empresas são os controles de segurança e não a certificação ISO 17799/ 27000.
Muitas empresas não têm a necessidade ou a possibilidade de participar do processo de certificação ISO 17799 e da nova série ISO 27000.
O que elas precisam e querem mesmo é utilizar os controles e a experiência acumulados na norma, para diminuir de forma eficiente, possíveis ameaças às informações e assim minimizar seus danos comerciais.
Como todos sabem, existe uma grande euforia causada por pressões de mercado e, muitas vezes, pelos próprios órgãos certificadores pela devida certificação.
Contudo, os motivos para a certificação ISO 17799/ 27000, no caso de TI, já não é tão clara quanto quando se falava em ISO 9000.
A justificativa utilizada hoje gira em torno de que a certificação é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento de riscos. Além disso, é complementada com uma pitada de “terrorismo psicológico” com o cumprimento da Sarbanes-Oxley (SOX).
Não me levem a mal, acredito ser válida a certificação, mas não imperativa já que considero a certificação como uma conseqüência natural de um sistema de gestão da segurança bem implementado, funcionando e aceito por todos os envolvidos.
Por este motivo, é mais importante utilizar a norma como base para o rápido desenvolvimento e implantação de um Information Security Management System (ISMS), ou Sistema de Gerenciamento da Segurança da Informação (as empresas que usam a ISO 17799/ 27000, certificadas ou não, acabam por desenvolver automaticamente um ISMS), que garanta um bom nível de segurança sobre os aspectos do hardware, do software e das pessoas, do que a preocupação com controles, auditorias, declarações de aplicabilidade, documentos e atestados de certificação.
Então, não perca tempo. Adquira e use de imediato a norma ISO/ IEC 17799 ou a 27000 para identificar os pontos de partida para se desenvolver uma gestão de segurança da informação, realista e eficaz, para sua empresa.
O que elas precisam e querem mesmo é utilizar os controles e a experiência acumulados na norma, para diminuir de forma eficiente, possíveis ameaças às informações e assim minimizar seus danos comerciais.
Como todos sabem, existe uma grande euforia causada por pressões de mercado e, muitas vezes, pelos próprios órgãos certificadores pela devida certificação.
Contudo, os motivos para a certificação ISO 17799/ 27000, no caso de TI, já não é tão clara quanto quando se falava em ISO 9000.
A justificativa utilizada hoje gira em torno de que a certificação é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento de riscos. Além disso, é complementada com uma pitada de “terrorismo psicológico” com o cumprimento da Sarbanes-Oxley (SOX).
Não me levem a mal, acredito ser válida a certificação, mas não imperativa já que considero a certificação como uma conseqüência natural de um sistema de gestão da segurança bem implementado, funcionando e aceito por todos os envolvidos.
Por este motivo, é mais importante utilizar a norma como base para o rápido desenvolvimento e implantação de um Information Security Management System (ISMS), ou Sistema de Gerenciamento da Segurança da Informação (as empresas que usam a ISO 17799/ 27000, certificadas ou não, acabam por desenvolver automaticamente um ISMS), que garanta um bom nível de segurança sobre os aspectos do hardware, do software e das pessoas, do que a preocupação com controles, auditorias, declarações de aplicabilidade, documentos e atestados de certificação.
Então, não perca tempo. Adquira e use de imediato a norma ISO/ IEC 17799 ou a 27000 para identificar os pontos de partida para se desenvolver uma gestão de segurança da informação, realista e eficaz, para sua empresa.
Monday, March 06, 2006
Premissas para adotar uma política de segurança com base na ISO/ IEC 17799:2005.
Todos sabem que a informação são ativos importantes para o sucesso nos negócios.
Hoje, a maioria das informações encontra-se gravadas em sistemas eletrônicos dentro de computadores, servidores, mídias de backup e redes.
Infelizmente muitos sistemas de informação não foram projetados para serem seguros e dependem de meios técnicos, de gestão e de procedimentos apropriados para evitar sua exposição a ameaças.
No tocante à gestão e procedimentos, a identificação de controles a serem implantados requer um planejamento cuidadoso e devem ser desenvolvidos atendendo às premissas descritas abaixo.
Qualquer que seja o controle, ele deve:
- Definir, alcançar, manter e melhorar a segurança da informação nas atividades essenciais da empresa para assegurar a competitividade, o fluxo de caixa, à lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado;
- Diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação;
- Proteger as infra-estruturas críticas ao negócio;
- Estabelecer procedimentos apropriados e legais que vão de encontro aos credos (princípios) da organização;
- Conseguir o compromisso e apoio das pessoas envolvidas (funcionários, acionistas, terceiros, fornecedores, clientes, outros);
Ter em mente estas premissas o ajudará a direcionar e determinar as ações apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação e na implementação dos devidos controles para a proteção destes riscos.
Thursday, March 02, 2006
Lei No. 11.280/06 permitirá ampliar o uso de Certificados Digitais
O Brasil, como muitos outros países do mundo, não consegue se modernizar com a velocidade necessária quando o assunto são as leis que tratam da Economia Digital.
Contudo, no dia 16 de fevereiro, foi sancionada pelo presidente Luiz Inácio Lula da Silva, a Lei nº 11.280/06, a quinta do pacote de reforma infraconstitucional do Poder Judiciário, já aprovada pelo Congresso em 2005.
A sanção desta lei é um passo importante na modernização do judiciário e na ampliação do uso de certificados digitais.
Os certificados digitais são como carteiras de identidade virtuais que certificam que o servidor está criptgrafando os dados pelo protocolo SSL.
O SSL (Secure Socket Layer) é um protocolo suportado pela maioria dos servidores e browsers e trabalha em dois níveis de complexidade: 40-bit e 128-bit. Esses valores se referem ao tamanho da chave criada para criptografar a seção.
As de 128-bit, mais fortes, são recomendadas para aplicações que exigem um grau muito alto de segurança, como as de comércio eletrônico.
Várias empresas comercializam esses certificados de segurança e os preços variam.
É bom lembrar que os certificadoos de segurança são vendidos apenas para empresas.
As principais empresas que comercializam estes certificados são:
VeriSign: http://www.verisign.com/
Thawte: http://www.thawte.com/
GlobalSign: http://www.globalsign.net/
Entrust: http://www.entrust.com/
CertSign: www.certsign.com.br (deverá ser fornecido o número do CNPJ)
A nova legislação, altera o Código de Processo Civil, que passa a vigorar com a seguinte redação:“Parágrafo único. Os tribunais, no âmbito da respectiva jurisdição, poderão disciplinar a prática e a comunicação oficial dos atos processuais por meios eletrônicos, atendidos os requisitos de autenticidade, integridade, validade jurídica e interoperabilidade da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil" (ver íntegra da Lei 11.280/06).
Estes certificados representam ferramentas fundamentais para o crescimento da Economia Digital e, por conseqüência, para o desenvolvimento sustentável do país.
Contudo, no dia 16 de fevereiro, foi sancionada pelo presidente Luiz Inácio Lula da Silva, a Lei nº 11.280/06, a quinta do pacote de reforma infraconstitucional do Poder Judiciário, já aprovada pelo Congresso em 2005.
A sanção desta lei é um passo importante na modernização do judiciário e na ampliação do uso de certificados digitais.
Os certificados digitais são como carteiras de identidade virtuais que certificam que o servidor está criptgrafando os dados pelo protocolo SSL.
O SSL (Secure Socket Layer) é um protocolo suportado pela maioria dos servidores e browsers e trabalha em dois níveis de complexidade: 40-bit e 128-bit. Esses valores se referem ao tamanho da chave criada para criptografar a seção.
As de 128-bit, mais fortes, são recomendadas para aplicações que exigem um grau muito alto de segurança, como as de comércio eletrônico.
Várias empresas comercializam esses certificados de segurança e os preços variam.
É bom lembrar que os certificadoos de segurança são vendidos apenas para empresas.
As principais empresas que comercializam estes certificados são:
VeriSign: http://www.verisign.com/
Thawte: http://www.thawte.com/
GlobalSign: http://www.globalsign.net/
Entrust: http://www.entrust.com/
CertSign: www.certsign.com.br (deverá ser fornecido o número do CNPJ)
A nova legislação, altera o Código de Processo Civil, que passa a vigorar com a seguinte redação:“Parágrafo único. Os tribunais, no âmbito da respectiva jurisdição, poderão disciplinar a prática e a comunicação oficial dos atos processuais por meios eletrônicos, atendidos os requisitos de autenticidade, integridade, validade jurídica e interoperabilidade da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil" (ver íntegra da Lei 11.280/06).
Estes certificados representam ferramentas fundamentais para o crescimento da Economia Digital e, por conseqüência, para o desenvolvimento sustentável do país.
Continuidade do negócio e o seguro financeiro
Todo negócio, prejudicado por uma brecha na segurança da informação, não pode permitir que ocorra interrupção das atividades, devendo estar preparada para proteger de imediato os processos críticos contra os efeitos de falhas ou desastres.
Para isso, ações de prevenção e proteção, desenvolvidas com base nos processos de gestão da continuidade do negócio devem ser implementados com o objetivo de evitar a falha ou, caso ela ocorra, minimizar o impacto/ efeito da mesma (exemplo: recuperar os ativos da informação).
É importante que estas ações sejam desenvolvidas considerando uma análise prévia dos processos críticos do negócio para que sua implementação garanta que, no mínimo, as operações essenciais do negócio sejam restauradas com a maior brevidade possível.
Além disso, a gestão da continuidade do negócio deve incluir controles que identifiquem e reduzam os riscos de reincidência.
Contudo, não podemos garantir com essas ações o prejuízo financeiro e, por esse motivo, um seguro pode minimizar o seu efeito.
Um seguro, muito comum no mercado europeu é o seguro contra a fraude eletrônica. Este seguro, protege as empresas contra o roubo de valores, falsificação de documentos e dinheiro (exemplo: transferências eletrônicas de recursos indevidas), entre outras.
No ano passado (2005), a Superintendência de Seguros Privados (Susep), disponibilizou no Brasil o Seguro Contra Fraudes Corporativas, devido ao crescimento acelerado dos casos de fraudes eletrônicas e golpes de funcionários nas empresas brasileiras.
Infelizmente, até o momento, este seguro só está disponível para empresas com faturamento anual acima de R$ 500 milhões....para poucos....ora; é um começo!!
Para isso, ações de prevenção e proteção, desenvolvidas com base nos processos de gestão da continuidade do negócio devem ser implementados com o objetivo de evitar a falha ou, caso ela ocorra, minimizar o impacto/ efeito da mesma (exemplo: recuperar os ativos da informação).
É importante que estas ações sejam desenvolvidas considerando uma análise prévia dos processos críticos do negócio para que sua implementação garanta que, no mínimo, as operações essenciais do negócio sejam restauradas com a maior brevidade possível.
Além disso, a gestão da continuidade do negócio deve incluir controles que identifiquem e reduzam os riscos de reincidência.
Contudo, não podemos garantir com essas ações o prejuízo financeiro e, por esse motivo, um seguro pode minimizar o seu efeito.
Um seguro, muito comum no mercado europeu é o seguro contra a fraude eletrônica. Este seguro, protege as empresas contra o roubo de valores, falsificação de documentos e dinheiro (exemplo: transferências eletrônicas de recursos indevidas), entre outras.
No ano passado (2005), a Superintendência de Seguros Privados (Susep), disponibilizou no Brasil o Seguro Contra Fraudes Corporativas, devido ao crescimento acelerado dos casos de fraudes eletrônicas e golpes de funcionários nas empresas brasileiras.
Infelizmente, até o momento, este seguro só está disponível para empresas com faturamento anual acima de R$ 500 milhões....para poucos....ora; é um começo!!
Subscribe to:
Posts (Atom)