quarta-feira, 28 de abril de 2010

Desafios da próxima década - Segurança da Informação


Quais os desafios da segurança da informação para os próximos dez anos? Podemos prever? Tomo a liberdade de fazer minhas previsões. É um risco (pessoal) fazer afirmações sobre o futuro. Mas, se não acertar, estarei em boa companhia.
Vocês conhecem estas previsões?
  1. O mercado financeiro está muito saudável e nenhum crash acontecerá.
  2. Não há razão para que alguém queira ter um computador em casa.
  3. Não há a menor indicação de que a energia nuclear será obtida. Isso significaria que o átomo teria que ser rompido no futuro.
  4. Em 2001 o homem terá colônias de exploração na Lua. A PanAm será a única companhia aérea a servir o espaço.
Sabem quem foram seus autores?
  1. Peter Drucker , em relatório escrito quando era funcionário de um banco em Frankfurt, na véspera da quebra da Bolsa de Nova York, em 1929. Informação dada por Doris Drucker em entrevista, HSM Management.
  2. Ken Olson, presidente e fundador da Digital Equipment Corp (DEC), fabricante de computadores mainframe, discutindo os computadores pessoais, em 1977.
  3. Albert Einstein, em 1932.
  4. Arthur Clarke, Cientista, 1968.
Nos próximos dez anos, entendo que teremos os seguintes desafios em segurança da informação:


As pessoas entenderão melhor que a segurança existe para a organização e que os recursos de informação devem possibilitar que o seu negócio seja realizado, que sua missão seja alcançada e que os riscos de indisponibilidade do negócio sejam minimizados.


Maior exigência de que os serviços e produtos disponibilizados pela organização sejam acessíveis para os clientes em qualquer lugar e a qualquer momento. Isso significa que a continuidade do negócio será um direcionador dos investimentos em segurança. A pesquisa global de segurança da informação realizada pela PricewaterhouseCoopers indica essa preocupação de 41% dos executivos, pesquisados em 2009.


Existirão controles mais rígidos para a garantia da verdadeira identidade (pessoas, ambientes, sites, servidores e qualquer elemento que necessite provar sua identidade). No período de 2008 a 2009, o CSI - Computer Security Institute - indicou que o roubo de identidade praticamente dobrou (de 9% para 17%)


Necessidade de mais controles sobre o acesso à informação e dados, pois existirão dados sobre todos, sobre tudo e especificamente sobre cada pessoa. Nada e ninguém ficará despercebido. Tudo estará registrado e a privacidade, para existir, demandará controles para definir quem poderá autorizar os acessos às informações. A imagem de cada organização pode ficar comprometida se pessoas indevidas acessarem certas informações. Em recente pesquisa da Ernst & Young, ficou registrado que falha em segurança pode ter mais impacto na reputação do que no faturamento da organização.


Maior democratização da informação. Todas as classes terão acesso à informação. Esse fato parece apenas positivo. Aliás, é um fato positivo. Porém, acarreta desafios para a segurança da informação. Esse fato exigirá regras e regulamentos efetivos, o judiciário terá que atender ao mundo virtual e todos dependerão mais da informação, que poderá ser manipulada. Atualmente já existe uma preocupação com pesquisas que são feitas em sites de busca. As pessoas se contentam com as primeiras respostas, isto é, ficam apenas com a primeira pagina. Se a colocação de resultados for manipulada (comercial ou ideologicamente), as pessoas não acessarão a resposta mais correta ou a mais completa.


Aumentará o roubo de informação. Muitos concorrentes não agirão de maneira politicamente correta e usarão qualquer meio, inclusive o roubo, para obter informações das outras empresas. Porém, deverá se dar uma atenção especial para que as organizações não sejam negligentes e doem informações para o resto do mundo, através de documentos confidenciais jogados no lixo sem estarem destruídos, conversas em happy hours e ações semelhantes.


Maior dependência de fornecedores. Isso significará que seus fornecedores deverão ter o mesmo nível de proteção da informação (ou maior) que a sua organização. O Instituto Gartner prevê que, já em 2012, 20% das organizações não terão ativos em TI. Eles estarão nas nuvens de serviços.


Redes sociais. O desafio da segurança da informação é ter regras claras para o uso (pessoal e institucional) das redes sociais. Mais do que segurança, a organização precisa discutir os limites da pessoa e da empresa. Um gestor da organização pode, em seu Twitter pessoal, xingar adversários de times de futebol? Mesmo que os destinatários sejam clientes?
Esses desafios citados acima valerão para os próximos dez anos, mas já nos cercam. Solução? Existe, simples e complexa ao mesmo tempo. Consideramos que a Organização deve implantar ações básicas e estruturais:


Ter regulamentos (políticas e normas) explícitos, indicando qual o nível de proteção que se deseja.


Investir nas pessoas. É através das pessoas que a segurança da informação acontece.


Definir os controles de segurança da informação de maneira alinhada com os negócios da Organização.


Planejar e executar as ações de segurança.
Os desafios são para a toda a década, e as soluções precisam acontecer diariamente!

terça-feira, 20 de abril de 2010

Sec2b lança novos treinamentos!

Acabou de sair do forno as duas novas Formações que estão sendo oferecidas pela Sec2b Pro - Professional Study:


- CSO Professional
- ISFS – Information Security Foundation based on ISO/IEC 27002


São formações muito focadas ao mercado de trabalho, e serão ministradas por Andersom Ramos, que para quem é da área ou pretende ser, dispensa apresentações.


Os Datasheets das formações podem ser obtidos nestes links:


http://slidesha.re/azDNlS
http://slidesha.re/9wQvLY


Aguarde que em breve sairá a matéria completa com datas e valores no site da Sec2b. (www.sec2b.com)
Spoiler!
Segundo informações, a próxima formação será de CSO Professional, ministrada pelo Anderson Ramos, a ser realizada de 03 a 07 de Maio.

quinta-feira, 8 de abril de 2010

Monitorando a segurança dos serviços terceirizados


A terceirização da infraestrutura de TI ou mesmo toda a operação, incluindo sistemas e serviços de TI, é uma realidade cada vez mais próxima para muitas empresas. Muitas delas, durante a negociação dos contratos e indicadores de SLA (Service Level Agreement),preocupam-se com a disponibilidade dos serviços, quantidade e tempo de atendimento dos chamados, armazenamento de dados, entre outros. Porém, para os indicadores relacionados comsegurança da informação nem sempre encontramos índices precisos para medir a qualidade dos serviços prestados.
Durante a análise dos contratos, muitas vezes há cláusulas genéricas como: manter o parque computacional atualizado, aplicar regularmente os patches de segurança, revisar as regras do firewall, testar o plano de contingência, realizar os testes de invasão, etc.
Nessas situações, quando revisamos o serviço prestado pelo provedor fica difícil afirmar se a qualidade está adequada ou não, pois não há indicadores claros e específicos sobre:
·         O tempo que uma atualização leva para estar disponível nos servidores;·         Qual deve ser a periodicidade das revisões do firewall. Em quanto tempo as incorreções identificadas devem ser tratadas;·         Quem deve fazer os testes de invasão, a própria empresa ou alguém independente? Quem deve receber o relatório e acompanhar as correções?
·         Quem é responsável por um vazamento de informações?
Além de métricas mais precisas para as disciplinas de segurança da informação, também é necessário que se estabeleçam penalidades para o não cumprimento dos indicadores estabelecidos. As penalidades, normalmente, transformam-se em descontos comerciais nas faturas mensais seguintes.
No entanto, essas melhorias nos contratos e o SLA de nada vão adiantar, se as empresas não estabelecerem um processo interno rígido com uma estruturação de monitoramento próprio, utilizando seus relatórios internos para confrontar os resultados apresentados pelo prestador. É importante lembrar que sempre que terceirizamos uma atividade diminuímos a carga operacional da companhia, porém aumentamos a responsabilidade gerencial sobre o prestador de serviços.Frank Meylan