A TI não consegue acompanhar as demandas do Negócio… Isto é fato. Mas como melhorar este relacionamento?

As áreas de TI das empresas possuem uma visão retrograda de como ela deve funcionar; A grande maioria ainda acredita que modelos utilizados há mais de 20 anos ainda possam ser utilizados, somente com mudanças de processos, como desenvolvimento ágil (Scrum, Agile e afins) ou com a terceirização do desenvolvimento em momentos de pico.

A tecnologia barateou, evoluiu e hoje é acessível para um número muito maior de pessoas. Este processo cunhou novos termos, como “consumerização” e “BYOD”. Apesar do que muitos falam, esta é uma ótima saída e irei postar aqui sobre como implementar a consumerização e o BYOD com segurança.

Mas, voltando ao assunto da “Nova TI”; A TI deve focar na camada de Negócios, disponibilizar APIs e Web Services para que as áreas de negócio possam desenvolver suas próprias camadas de apresentação.

Hoje a informação deve estar disponível em iPads, iPhones, Androids e web sites. Deve ser ágil o suficiente para atender as sazonalidades, aproveitar um Hype na Internet ou atender a necessidade da área de negócio em uma customização de interface. Várias empresas em que já atuei possuem dificuldades em alterar um logotipo para aproveitar o Natal, já que isto está amarrado e necessita da intervenção da área de TI para colocar em produção.

Com a TI focando na camada de negócios e nas APIs para a disponibilização e transformação da informação, as demandas diminuirão muito (uma vez estabelecida, esta camada é de baixa manutenção) e a área de negócios passa a ter mais liberdade de como consumir os dados gerados pela TI. Além de facilitar e permitir uma maior gestão dos custos operacionais por áreas, a TI passa a ter um maior controle da informação entregue.

Neste processo, padrões para utilização devem ser criados; Além de um token específico para cada aplicação, a autenticação do usuário deve ser solicitada no uso da ferramenta. Pode-se implementar outros controles, como um Single Sign On integrado, que possibilitará controlar o acesso individual aos dados.

Esta visão diminui o número de desenvolvedores internos e cria a demanda para a área de produtos, que passa a ter mais liberdade para decidir como atender as áreas de negócios.

No próximo artigo abordarei a gestão de Desktop e os conceitos de customerização e BYOD.

Escrever uma Política da Informação que atenda os requisitos dos frameworks de segurança da informação e ainda seja permissiva (ao invés das tradicionais restritivas) é uma missão complicada – tanto na Política Corporativa como nas Políticas de TI.

O principal objetivo de uma Política da Informação sempre foi – e sempre será – a proteção da informação. A diferença entre a abordagem tradicional e a nova abordagem proposta é o como se faz.

A escrita da Política deve ser direta, objetiva e clara. Então, mãos à obra!

Para ambientação, vamos estruturar a área de segurança da segurança da informação para uma institução financeira fictícia chamada Farssis S.A., incluindo a escrita de suas Políticas de Segurança da Informação.

A Farssis, surgiu no mercado para fornecer Crédito Corporativo e deve atender a todos os requisitos definidos para Basiléia, CobiT, BACEN e etc

Iremos trabalhar em 3 fases, conforme a ilustração: Políticas, Normas e Procedimentos.

Na fase 01, trabalharemos nas principais políticas:

• Criar o organograma da área de segurança da Informação;
• Criar a Política Geral da Segurança da Informação;
• Criar a Política de Classificação da Informação;
• Criar Políticas de acesso à Informação;
• Criar a Política de Acesso e Uso de Mídias Sociais.

Nos próximos post iremos trabalhar cada uma destas Políticas individualmente.

A área de comentários é aberta à participação de todos.

Esta frase de Albert Camus pode ser considerada como um guia para a elaboração de uma política de segurança da informação.

Analisem as políticas de informação das empresas por onde você passou. Em todas, o objetivo é tornar o desktop o mais parecido possível com um terminal burro, similar à época dos Mainframes. Em muitos casos, até o papel de parede e os ícones do desktop são padronizados!

Imagine a seguinte situação (hipotética aqui, mas real):

- O CFO de uma empresa qualquer, que cuida das contas da empresa identificou a necessidade de um corte de despesas de 15% de todos os departamentos. Os gestores delegam para as equipes a identificação do que pode ser cortado e pede um parecer em 10 dias.

- Passados 10 dias, marketing e tecnologia apresentam planos que possibilitam uma redução superior a 15%, com terceirização de serviços, outsourcing de impressão e etc.

Qual o diferencial destes dois departamentos? As pessoas são mais capazes do que os outros departamentos? Não. 90% da empresa possuia restrição de acesso à internet e às redes sociais. A exceção (como sempre, existe) eram alguns departamentos, entre eles marketing e Tecnologia.

Com o uso de redes sociais, pesquisas e análise do que o mercado e seus concorrentes adotaram como Melhores Práticas, estes departamentos mostraram uma performance superior aos outros, simplesmente por ter onde buscar informação.

Esta é somente uma das várias situações onde a liberação de acesso melhora o resultado da empresa. Porquê, então, temos que criar políticas restritivas para proteger os dados ao invés de proteger os dados sem restringir os acessos?

É uma falácia imaginar que a internet é o “bicho papão” e que precisamos fechar tudo para nos proteger.

Um hacker que deseja invadir e roubar informações utiliza-se vulnerabilidades simples, que burla TODA e QUALQUER política de segurança da informação. Um simples curriculum enviado para o RH no formato PDF pode conter um rootkit que é capaz de ganhar privilégios de admin e coletar todas as informações que desejar – inclusive capturando telas e capturando a tela e gravando em vídeo (já ví isto acontecer e é humilhante para os responsáveis de SI e TI).

A melhor estratégia é atuar:

• Criando uma política de gerenciamento de patches com atualização automática dos desktops (não somente o SO mas, principalmente, os aplicativos como o Adobe Reader);
• Criando baselines e GPOs (há vários exemplos no NIST.GOV, IASE e DISA)
• Criando um whitelist dos programas homologados (tweetdeck, Chrome, MSN, Skype e afins);
• E, o principal, criar campanhas e boletins para os usuários alertando sobre as últimas vulnerabilidades de DAY-0 e os cuidados que precisam tomar.

Devemos deixar de imaginar que as políticas restritivas são a solução para todos os males do mundo e devemos – como profissionais de SI – assumir que elas não atendem mais… Estamos em uma época de consumerização e domínio da Geração XY nas empresas. Devemos atentar para este ponto para que os profissionais de SI não criem políticas que inibam a inovação e a criatividade.

O Modelo proposto para uma Política de Segurança da Informação, apelidado de SI v3.0, não é um devaneio ou uma falácia sem bases sólidas.

Este modelo é plenamente alinhado ao CobiT, ITIL, NBR ISO/IEC 27001 e NBR ISO/IEC 27002. Qualquer auditoria a que seja submetida, serão geradas todas as conformidades necessárias – apesar da cara de susto que o auditor terá ao perceber que é o oposto do que ele está acostumado a auditar.

“… É necessário que a política esteja alinhada aos objetivos da organização. A partir dos objetivos de negócio, são definidos os objetivos da segurança da informação, que tem como destaque: possibilitar a realização do negócio no que depende do uso dos recursos de informação.” (retirado do livro “Praticando a Segurança da Informação” do Edison Fontes)

Nos dias de hoje, como é possível exercer qualquer função, que viabilize a realização do negócio, sem acesso à internet? Como conhecer as melhores práticas do mercado ou propor melhorias nos seus processos internos SEM ter um acesso liberado à internet para a troca de idéias, participação em fóruns, redes sociais (sim! redes sociais) e listas de distribuição?

Não é mais possível ter Políticas de Segurança da Informação que bloqueiem o acesso dos funcionários. A Intel, com todo o seu tamanho empresarial, possui uma política para uso das midias sociais.

A IBM é uma outra empresa que encoraja seus funcionários a utilizar as mídias sociais:

O relatório revela que em 2007, a IBM Software Group fez da mídia social parte da rotina diária de cada empregado, a fim de dinamizar seus funcionários, canais de vendas e comunidades de clientes. Em outras palavras, a IBM encorajou todo o seu staff a envolver-se com o Twitter, LinkedIn e outras plataformas de mídia social.

Como resultado, existem mais de 80 perfis no Twitter com a marca IBM que divulgam notícias e mensagens, além de promover os produtos e serviços da empresa, e mais de 500 grupos no Facebook. (Fonte: Midiassociais.net)

Todos os modelos para a implementação de uma Política de Segurança da Informação visam a proteção das informações da empresa. O Modelo SI v3.0 mostra que é possível proteger a informação SEM restringir o acesso à informação via internet. Não existe inovação nas empresas sem que se tenha acesso irrestrito à informação aberta.

No próximo post discutiremos a Política Geral da Segurança da Informação neste novo modelo.

Tenho visto nas listas de discussão que acompanho e no Linkedin várias discussões levantadas por profissionais de segurança que estão sendo questionados sobre as rígidas normas implementadas para garantir a suposta proteção da informação nas empresas em que atuam (como consultores ou como profissionais exclusivos).

Nossos modelos de Segurança da Informação estão ultrapassados.

A cultura de SI tem origem em um tempo em que os únicos computadores existentes estavam dentro das empresas, fechados em grande CPDs e acessados somente por terminais texto. Com o passar do tempo, vieram os microcomputadores, utilizados inicialmente como terminais destes CPDs, através de placas IRMA para acesso.

Todas as políticas desta época foram elaboradas para proteger o ambiente de usuários e operadores que não possuíam e não conheciam computadores. Estes usuários eram totalmente leigos e treinados de forma a operar os terminais e acessar somente os sistemas necessários.

Com o advento das redes locais de computadores, vimos uma corrida para os processos de downsizing, tirando o poder dos grandes CPDs e seus terminais para o poder dos microcomputadores. Neste momento, o movimento mais lógico foi adaptar a cultura de Segurança da Informação para estas novas redes.

20 anos depois, temos uma nova realidade mundial: Os computadores são cada vez mais acessíveis e os usuários deixaram de ser leigos; Hoje eles possuem computadores em suas casas mais potentes do que as estações de trabalho na empresa. Possuem smartphones, modems 3G e outras tecnologias que as empresas não disponibilizam. Com isto, nasce o movimento de consumerização: Porque não melhorar minha performance no local de trabalho utilizando meu próprio equipamento e meus gadgets?

Por outro lado, temos a Geração “Y”: Esta geração nasceu tecnológica; para eles, o uso de estações e as facilidades da internet são “direitos adquiridos” e não entendem as políticas restritivas das empresas – com isto, ficam desestimulados ou burlam as restrições (nada que uma busca no Google não resolva).

A TI e a área de segurança vivem com a espada no pescoço: Cada vez mais são pressionados para liberar acessos e o uso de equipamentos particulares. Se criar políticas para terceiros era fácil, para funcionários adeptos da consumerização, isto torna-se cada vez mais difícil!

Isto ocorre porque em mais de 30 anos, NADA foi alterado nestas políticas. A área de segurança continua tentando bloquear os acessos, USB, Celulares, Notebooks e outros gadgets que os usuários levam para empresa, quando o correto é REPENSAR DO ZERO as políticas de segurança, levando em conta os novos tempos e criando políticas mais flexíveis, com acesso liberado à internet e mantendo a segurança da informação.

Antes que digam que é impossível: Há 5 anos tenho implementado esta política em empresas de todos os portes – incluindo redes com mais de 1500 usuários e com um número de incidentes próximo a zero.

A partir deste post, criarei uma nova categoria no blog (SI v3.0) onde postarei minha experiência e exemplos para implementação desta política.

Em Junho/2011 saiu a nomeação para a Comissão de Crimes de Alta Tecnologia da OAB-SP.

Agradeço ao Erasmo Guimarães (@ErasmoGuimaraes) e ao Dr. Coriolano Almeida (@CoriolanoAC) pela nomeação.

Espero contribuir da melhor forma possível à esta comissão.

Todos nós sabemos da necessidade de tipificar os crimes “cibernéticos” (não gosto deste termo – parece muito “anos 60”), mas existe hoje no Brasil 3 correntes de pensamento distintas.

Por um lado, temos Azeredo e Febraban, buscando criar uma cópia da Convenção de Budapeste, criada em um período de cerceamento das liberdades individuais, no auge da “guerra ao terror” (Nov/2001). Este projeto é polêmico e com vícios de direito, já que invadir uma casa é uma pena de 3 meses e invadir um computador é uma pena de 3 anos.

No outro lado, temos um grupo que entende que o Marco Civil deveria ser aprovado antes, já que não é possível criminalizar sem que os direitos dos cidadãos e usuários de internet sejam definidos previamente.

Por último, temos uma terceira vertente que é o pessoal do PL alternativo, que visa somente tipificar o que não está coberto pelo atual Código Penal.

No meu ponto de vista, a internet é um meio a mais para que as pessoas cometam crimes.

Assim, acredito que o PL alternativo seria a melhor opção, tipificando os crimes (somente os crimes) citados na Lei Azeredo, sem os exageros do PL 84/99 e cobrindo a lacuna jurídica no nosso CPP.

Não vejo necessidade em se criar o Marco Civil (ratificar o que já temos na constituição) e muito menos uma legislação com mais de 11 anos e totalmente fora da realidade atual.

A Dep. Luiza Erundina propôs um seminário na câmara para que os deputados (e seus assessores) possam tomar conhecimento de forma mais aprofundada sobre a questão e criar seu juízo quanto à questão. Deste modo a Lei Azeredo deixa de ser tratada em uma comissão de 12 pessoas com seus lobbys e interesses e passa a ter voz na câmara, com seus 500 e poucos deputados.

Espero que esta idéia vá adiante e que o PL Alternativo ganhe força. Para isto, ele DEVE SAIR DO PORTAL atual onde está sendo debatido e ir para uma plataforma mais apropriada, de consulta pública, onde os internautas possam somente comentar (sem alterar) sobre as questões – talvez uma plataforma como a do Marco Civil.

Todos que partcipam possuem “seu lado da moeda” e as inserçôes atuais estão desvirtuando o objetivo original, que é somente a tipificação de crimes e suas penas, complementando o CPP.

O que é a Convenção de Budapeste?

A Convenção de Budapeste, mais conhecida como a convenção de cibercrimes foi aprovada em 23 Novembro de 2001. Vale ressaltar que esta convenção foi realizada sob o peso dos atentados de 11/09, nos EUA.

As diretrizes do Tratado:

Ofensas contra a confidencialidade, integridade e disponibilidade de dados de computador e sistemas: acesso ilegal (no todo ou em parte sem autorização), interceptação ilegal (por meios técnicos, incluindo emissões eletromagnéticas); interferência nos dados (dano, obliteração, deterioração, alteração ou supressão de dados); interferência em sistemas (distúrbios sérios no funcionamento); abuso de dispositivos (incluindo programas de computador, senhas, códigos e dispositivos de acesso);

Ofensas relacionadas a computadores: falsificação (utilização de dados falsos como se verdadeiros fossem, estejam inteligíveis ou não) e fraude (ocasionando perda de propriedade para outrem);

Ofensas relacionadas ao conteúdo: pornografia infantil (produzir, oferecer, tornar disponível, distribuir, transmitir, angariar, ter em posse);

Ofensas relacionadas à infração da propriedade intelectual (observando-se a Convenção de Berna, versão de Paris e o Tratado sobre Direitos Autorais da Organização Mundial da Propriedade Intelectual – OMPI ou WIPO);

Responsabilidade subsidiária e sanções: esforço e auxílio ou colaboração; responsabilização corporativa (crimes cometidos por pessoas jurídicas em seu próprio benefício ou de pessoa natural, utilizando-se de poderes de representação, procuração ou controle); sanções e critérios (persuasivos, proporcionais e dissuasivos, incluindo a pena de privação da liberdade, bem como penas pecuniárias).

Há previsão também da utilização, pelos signatários, de serviços informáticos de busca remota e em tempo real; interceptação e confisco de dados em trânsito ou armazenados, inclusive para fins de prova judicial; bloqueio do acesso de terceiros bem como a possibilidade de se determinar a remoção dos dados;

Caso não haja Tratado ou Convenção firmados entre as partes a respeito de assistência mútua e reciprocidade, o art. 28 prevê a prevalência da norma Convencional sobre a jurisdição e regulamentação locais.

Apesar do aspecto territorial do instrumento, há a previsão de acesso além-fronteiras (“trans-border”) a dados armazenados em computadores sem o consentimento da outra parte ou quando de disponibilidade pública (“open source”), independentemente da localização geográfica desses dados.

O Itamarati, o MJ e a Convenção de Budapeste

O Brasil não é signatário da Convenção de Budapeste, dentre outras coisas, porque ela contraria os rumos de nossa política externa defendida pelo Ministério das Relações Exteriores.

O Ministério da Justiça, através do Departamento de Recuperação de Ativos e Cooperação Jurídica Internacional; o Gabinete de Segurança Institucional da Presidência da República; Departamento de Polícia Federal; o Ministério de Ciência e Tecnologia, e o Ministério das Relações Exteriores, analisam a Convenção à luz do ordenamento jurídico brasileiro. Segundo estudo preliminar realizado pelo GSI, as diferentes normas brasileiras contemplariam uma pequena parte da Convenção.

Por outro lado, o Departamento de Recuperação de Ativos e Cooperação Jurídica Internacional, do Ministério da Justiça, estaria levantando os aspectos da convenção sobre os quais proporia reservas, como na questão da interceptação de comunicações.

Na avaliação do Itamaraty, o acordo é de difícil aplicabilidade, embora seja o único tratado internacional de combate aos crimes cibernéticos. O Brasil não é signatário da Convenção de Budapeste e só poderia se tornar signatário do tratado se fosse convidado pelo Comitê de Ministros do Conselho Europeu.

O Projeto de Lei 84/99 e seu projeto alternativo

Apesar de todos os estudos realizados pelo diversos orgãos do governo, o PL 84/99 foi alterado várias vezes para adequar-se à Convenção de Budapeste, sem levar em conta nossa realidade e nosso complexo ordenamento jurídico.

Comparando os pontos do PL 84/99 e a convenção de Budapeste, fica latente a intenção de dispor dos mesmos mecanismos votados em 2001 na convenção – lembrando-se o clima em que o mundo vivia em 2001, pós 11/09.

As ressalvas levantadas à Lei Azeredo são exatamente nos pontos que também são polêmicos mundialmente e que focam exatamente em privacidade, monitoramento e liberdade de expressão.

Nesta semana um novo projeto alternativo foi colocado para consulta pública; Este PL foca somente em tipicar os crimes cibernéticos, sem o legado da Lei Azeredo de tentar implementar controles ditatoriais em uma democracia que respeita a liberdade.

Ainda não é perfeito, faltando tipificar alguns crimes. Mas é uma alternativa que precisa ser trabalhada para atender a nossa necessidade jurídica e fechar esta brecha existente em nossa legislação.

Fontes:

http://bit.ly/nlgaO3, http://bit.ly/oamGX5 e http://bit.ly/pleL0B

Este material do InfoSec Council consolida várias experiências e lições aprendidas pelos seus membros que, alinhadas com as melhores práticas, busca traçar recomendações e direções a serem observadas na elaboração de um PESI.

Download Aqui

Sobre o InfoSec Council:

Criado em 2005, idealizado como uma reunião de profissionais de alto nível (“C-level”),
cujas áreas de atuação implicam no estímulo, criação, manutenção e evolução de técnicas e estratégias voltadas à segurança da informação, aqui considerada em um espectro bem amplo.

Neste aspecto, estão compreendidas as disciplinas de:
• Tecnologia da Informação;
• Segurança da Informação;
• Segurança Corporativa;
• Auditoria de Sistemas;
• Governança de Tecnologia da Informação;
• Compliance;
• Recursos Humanos (voltado à segurança e auditoria).

Ainda que estes profissionais exerçam atividades em suas respectivas organizações – públicas, privadas e associativas –, sua participação se dá em caráter pessoal em função de sua comprovada e reconhecida experiência neste exercício.

O objetivo do InfoSec Council é atender às três comunidades-alvo (usuária, provedora e acadêmica) e contribuir e influenciar na evolução dos aspectos regulatórios da tecnologia e da segurança da informação.

Em uma troca recente de mensagens no twitter com o @anchisesbr, chegamos a falar sobre investimentos dos bancos e os resultados obtidos com estes investimentos.

Quando um micro de um usuário é comprometido e usado para roubar $$$ da conta bancária do usuário, os bancos costumam indenizar o correntista, sem muita contestação. Aliás, isto já é previsto no balanço semestral como perda e como um risco aceitável.

Ocorre que a equipe de TI do banco poderia reduzir muito esta perda com um procedimento simples: a adoção do registro de SPF em seu DNS. Uma simples entrada de texto, que não causa impacto para a implementação e que evitaria boa parte dos incomodos existentes hoje.

Dos bancos brasileiros, são pouquíssimos os que possuem esta entrada do DNS (Banco do Brasil, por exemplo, é um deles). Qual o motivo pelo qual as equipes de TI não implementam esta regra simples? Desconhecimento? Falta de treinamento/preparo?