Não
se Esqueça do Básico
|
 |
 |
|
Todos nós acompanhamos
as manchetes dos jornais. Os ataques chamados de "phishing" estão
em crescimento. As ameaças de dia zero, como
o ataque lançado
no dia 25 de junho, são cada vez mais prováveis.
Os pesquisadores de segurança anunciam um
worm desafiador, que tem como alvo telefones celulares. É um
problema em constante crescimento.
Como cada semana traz as explorações
mais elaboradas ou novos fantásticos desenvolvimentos
tecnológicos, fica difícil não
se envolver com essa tendência. É por
isso que de tempo em tempo, eu aproveito para abordar
o que considero ser um dos princípios básicos
da segurança de informações. Digamos
assim, o alicerce. Considere este artigo como o primeiro
de uma série.
Para instituições financeiras (e também
para várias outras empresas) é muito
fácil ficar envolvido com as últimas
ameaças tecnológicas, a última
solução de ponta ou as tecnologias mais
recentes. Esse é o preço de fazer negócios
no acelerado mundo em que vivemos atualmente. Porém,
apesar de ser necessário entender e dominar
todas as questões tecnológicas, precisamos
ter em mente também que se não obtivermos
sucesso na manutenção de uma fundação
forte dos princípios básicos da segurança
das informações, nosso sucesso tecnológico
não será suficiente.
Tudo
está relacionado com as pessoas
Alguns desses princípios básicos podem
parecer óbvios, mas isso não os tornam
menos pertinentes. Por exemplo, um desses princípios é: “A
segurança física é a fundação
da segurança lógica.” Outro exemplo: “O
sucesso da segurança depende das pessoas.”
Uma análise rápida da paisagem atual
de ameaças reforça a sabedoria contida
nesses dois princípios. Empresas e indivíduos
lutam diariamente contra uma crescente variedade de
ameaças da Internet. Na realidade, mais de 100
novos vírus e quase 60 novas vulnerabilidades
de software são descobertas toda semana, de
acordo com o mais recente Relatório de Ameaças à Segurança
da Internet da Symantec. Apesar da tecnologia ajudar
a nos proteger em tal ambiente, nenhuma tecnologia
sozinha pode realizar essa tarefa. Isso ocorre porque
a realidade está relacionada às pessoas.
E fazer com que as pessoas ajam de forma correta é a
parte mais difícil. Sabemos como tornar nossas
infra-estruturas seguras, porém as pessoas cometem
erros (os criadores das regulamentações
nos EUA parecem entender esse princípio muito
bem, pois adicionaram treinamento como uma medida de
segurança de destaque nas diretrizes do Gramm-Leach-Bliley
[GLBA]).
Análise básica de riscos
Um outro princípio: “Qualquer risco é admissível.” O
que isso quer dizer?
Empresas efetivas e prudentes garantem que as decisões
para aceitar, transferir ou reduzir riscos sejam feitas
de acordo com dois critérios:
- O responsável pela decisão
deve obter informações suficientes para
entender o risco (riscos complexos não devem
ser gerenciados com base somente em considerações
financeiras). “Informações suficientes” significa
entender as ramificações comerciais
do risco.
- O escopo da responsabilidade e autoridade
do responsável pela decisão está diretamente
relacionado ao patrimônio em risco (por exemplo,
o gerente de uma unidade comercial não deve
tomar decisões sobre riscos que afetem toda
a empresa).
Porém, apesar do uso da prudência, há também
diferenças legítimas no apetite para
riscos de diferentes indivíduos responsáveis
pelas decisões. Nenhuma combinação
de ameaças e vulnerabilidades pode ser considerada
como um risco incondicional. O risco está totalmente
relacionado ao contexto comercial e à disposição
para aceitar riscos. Como você conta com recursos
de pessoal, a discussão deste princípio
com eles os informa que você entende e respeita
a autoridade que lhes foi concedida para tomar decisões
com relação aos riscos básicos,
incluindo aquelas relacionadas à segurança
das informações.
Como foi observado pelo IT Governance Institute com
relação à infra-estrutura do COBIT: “A
gerência deve decidir o nível de riscos
que está disposta a aceitar. A análise
do nível que deve ser tolerado, especialmente
quando avaliado com relação a custos,
deve ser uma decisão difícil para a gerência.
Portanto, a gerência necessita de uma infra-estrutura
de segurança de TI e práticas de controle
que sejam aceitas globalmente, para avaliar o desempenho
do ambiente de TI existente.”
Por que insistir em uma análise básica
de riscos? Porque, com muita freqüência,
a gerência decide aceitar riscos, com esperança
de que nada aconteça ou com base em interpretações
errôneas de seus funcionários. Muitos
não possuem uma noção adequada
do que está em risco. Como profissionais de
segurança das informações, é nosso
desafio ajudar a remediar essa situação,
e direcionar os esforços de segurança
para as iniciativas comerciais. Na minha experiência,
uma conversa com o pessoal envolvido é muito
mais efetiva, se for possível chegar a um acordo
mútuo sobre alguns princípios simples
e básicos. E, finalmente, vale a pena analisar
novamente as decisões relacionadas a supostos
riscos tomadas nos últimos anos. O clima regulamentar
atual vem sendo alterado diariamente, e o que pode
ter sido uma decisão de riscos prudente no passado,
pode não ser relevante hoje.
Uma outra idéia básica: “Não é possível
assegurar (ou gerenciar) aquilo que não se conhece.” Pense
naquelas infra-estruturas de rede confusas, resultantes
da fusão e aquisição de empresas. É bastante
comum para empresas de qualquer porte ter somente uma
idéia parcial do que faz parte de sua rede e
presumir que se tem uma noção real da
mesma. As informações necessárias
incluem hardware, sistema operacional e informações
sobre a configuração de aplicativos,
além de parâmetros para controles de segurança.
A verdade é que não é possível
assegurar a rede, se não sabemos nem o que a
compõe e como é configurada.
Tudo isso leva à seguinte conclusão:
as instituições financeiras precisam
conduzir uma avaliação de riscos abrangente
de seus sistemas e redes de informações
atuais. Aliás, essas avaliações
deveriam ser agendadas regularmente. Ou para colocar
como um dos meus princípios: “Não é possível
assegurar o que não se pode gerenciar, e não é possível
gerenciar o que não se pode avaliar." Em
termos do que é relevante para o clima regulamentar
atual, temos a obrigação de saber os
controles que possuímos e se eles funcionam
como deveriam. Não é possível
saber se algo é compatível, ao menos
que possa avaliá-lo ou monitorá-lo.
Isso nos leva a outro princípio: “Nenhum
controle é perfeito.” Ou seja, nenhum
risco pode ser considerado como zero. Os riscos podem
ser aceitos, transferidos ou reduzidos. Nenhum controle
representa uma solução mágica.
Como podem notar, vários dos princípios
aqui introduzidos trazem um tom de realismo ao tópico
segurança. Essa abordagem tem sido muito bem
aceita por todas as equipes de empresas com as quais
tenho trabalhado durante todos os meus anos de experiência.
Conclusão
Como podem ver, esses princípios básicos
não são necessariamente exclusivos para
os serviços financeiros, porém essa indústria
precisa dominar tais princípios como qualquer
outro setor. É muito simples e desafiante.
Gostaria de encerrar em um certo tom de urgência
e este é o motivo: diretores e departamentos
de TI de instituições financeiras têm
sido pressionados para fazer mais com menos recursos,
e para agir mais rapidamente com maior impacto no sucesso
da empresa. Tem sido exigido de diretores que não
só mantenham a empresa em funcionamento, mas
que também implementem novos recursos que permitam à empresa
obter novas oportunidades, ataquem novos mercados e
se mantenham à frente da concorrência,
além de manter relações ainda
mais estreitas com seus clientes.
Por todas essas razões, é necessário
criar uma conexão forte com o gerenciamento,
para aumentar o entendimento do que está em
risco. É necessário entender que risco
não é algo que pode ser totalmente delegado
ao departamento de TI. E precisamos também insistir
na implementação de alguns princípios
básicos como a fundação para um
diálogo sobre a segurança das informações
com o gerenciamento da empresa.
Links Relacionados:
|
