Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


FALSIDADE DOCUMENTAL NOS PROCESSOS ELETRÔNICOS

Veja aqui a programação deste inédito treinamento programado para o dia 20/12 em São Paulo

Acompanhe nosso Twitter

03/04/2012 - Techlider Escrever Comentário Enviar Notícia por e-mail Feed RSS

“É só instalar um antivírus” é o que muitas organizações ainda pensam sobre segurança digital


Estudos apontam que riscos e fraudes na segurança de computadores e redes corporativas estão crescendo consideravelmente no Brasil e no mundo. Estima-se um aumento de 44% de ciberataques bem sucedidos às empresas, entre 2010 e 2011, o que significa uma média de mais de um ciberataque por semana.

Além disso, acredita-se que no Brasil as instituições começam a se preocupar com medidas preventivas aos impactos de ciberataques apenas depois de uma ocorrência significativa. Esse tipo de ataque pode prejudicar desde o funcionamento básico de um site como também provocar o desligamento de redes e o roubo de informações.

O Portal IT4CIO convidou o consultor Edison Fontes, da Núcleo Consultoria, para falar sobre o assunto. Mestre em Tecnologia, Fontes se dedica ao tema Política de Segurança da Informação desde 1989. Em entrevista exclusiva, o consultor fala sobre a forma como as empresas administram a segurança da informação e qual o melhor caminho para elaborar uma Política de Segurança da Informação eficiente.

Pesquisas apontam que riscos e fraudes na segurança de computadores e redes corporativas estão crescendo consideravelmente no Brasil. Qual a explicação para esse cenário?

Edison Fontes - A explicação direta é que o ambiente computacional está sendo cada vez mais usados nas organizações. Mas, esta explicação precisa ser complementada com uma verdade que a maioria das organizações não quer enxergar: o ambiente computacional está sendo cada vez mais usado e as organizações não têm investido em segurança da informação de uma maneira compatível e adequada com seu porte e com seu tipo de negócio. As organizações dependem das informações armazenadas e processadas no ambiente computacional, mas não desenvolvem controles de proteção da informação considerando pessoas, processos e tecnologia. É um processo estruturado e que precisa ter uma abordagem profissional.

As organizações ainda pensam que segurança da informação é apenas implantar um antivírus. É muito mais que isto. É necessário desenvolver um processo de proteção da informação para o ambiente computacional e para o ambiente convencional. Temos que proteger a informação do computador ao lixo.

Estudos mostram também que no Brasil as instituições começam a se preocupar com medidas preventivas aos impactos de ciberataques apenas depois de uma ocorrência significativa. Isso se deve a fatores econômicos ou culturais?

EF – Não tenho a menor dúvida: por questões culturais. As organizações, isto é, os gestores e executivos que comandam as organizações e são os responsáveis pela existência dos processos acham que sua organização nunca será vitima de um ataque cibernético. Eles justificam indicando que nunca aconteceu ou que a organização não é nenhuma NASA.

A questão é que neste ambiente não podemos usar o “achômetro”. Precisamos tratar o assunto profissionalmente. Fazer uma adequada gestão de riscos e planejar e priorizar as ações de proteção da informação. A organização precisa ter um processo de proteção da informação funcionando.

Em relação à questão econômica eu afirmo também sem ter dúvidas: todas as organizações, todas mesmo, podem ter uma proteção da informação compatível com o seu porte e com o seu tipo de negócio. É tão mais barato aprender com o erro dos outros, mas mesmo assim, alguns gestores somente aprendem quando acontece com a sua organização. Sai caro e em algumas vezes, é um impacto terrível.

Para melhorar esse cenário, o que os gerentes de TI podem fazer?

EF – Primeiramente, gostaria de fazer um aprimoramento na pergunta: o que o gestor de segurança da informação pode fazer? Evidentemente, TI é um ambiente crítico para a organização. Atualmente, na prática, as informações da organização estão armazenadas e são processadas no ambiente de TI. O Gerente de TI deve participar do processo de segurança da informação com o Gerente-Gestor de Segurança, porque a proteção é uma demanda para proteger um recurso crítico para a organização: a informação. A informação e seus recursos de informação. Temos que ter cuidado para que a TI não faça a proteção por fazer. Deveria ser uma demanda do negócio. Nisto, a função do Gestor da Segurança da Informação é fundamental, pois ele deve garantir a existência de uma gestão de risco, apresentar a direção da organização e validar as prioridades. E neste caso, com certeza, a proteção do ambiente de TI será priorizada.

Algumas vezes, me perguntam: Edison, concordo com você, mas, na minha organização não dá para fazer como você recomenda. Não tem uma área de segurança da informação e a direção não quer saber de ter que decidir. Se a área de TI não fizer nada no ambiente de tecnologia, ninguém vai fazer. O que eu faço?

Eu respondo tranquilamente: meu caro, você trouxe o mundo real em que você vive. Considerando suas limitações, acho que no curto prazo a TI deve proteger o ambiente de tecnologia por conta própria, mas, em paralelo, é necessário fazer um trabalho com a direção para que ela assuma seus compromissos com a segurança da informação. A Norma NBR ISO/IEC 27002:2005 cita 55 diretrizes onde a Direção ou a Área de Negócio da Organização deve ser envolvida nas definições da segurança da informação. Talvez na sua organização você não consiga fazer como gostaria, mas tenha em mente qual o caminho correto e busque conseguir.

Qual o caminho para elaborar uma Política de Segurança da Informação eficiente?

EF – É uma longa resposta, mas vou tentar resumir. Primeiramente, o Gestor de Segurança da Informação deve conhecer muito bem o assunto segurança. Tanto no referencial teórico (Familia de Normas ISO/IEC 27000, COBIT, ITIL) quanto na prática. Conhecendo isto, o gestor deve identificar uma estrutura de políticas e normas. Quantos níveis serão e como será a divisão do assunto. Depois, deve conversar com todas as áreas envolvidas (TI, Negócio, RH, Jurídica, Administração) para demonstrar que as políticas e normas devem representar verdadeiramente como a organização quer tratar a sua informação, considerando suas características, sua boa cultura, suas limitações e outros fatores.

O Gestor de Segurança vai levantar os itens que devem ser definidos pela organização, o nível da sua rigidez. Por exemplo: um estagiário terá (ou não) um email corporativo da organização? Ele poderá (ou não) enviar mensagens para fora da organização? E se for um terceiro que fica dedicado 100% à organização, ele terá conta de correio eletrônico? Mas, Edison, existe o risco de passivo trabalhista! Mas eu respondo: passivo trabalhista não é responsabilidade de segurança da informação! É responsabilidade de RH e Jurídico. Sendo assim, Senhores e Senhoras do RH e Jurídico definam para a política de segurança da informação da Organização se estagiário e terceiros terão conta de correio eletrônico corporativo.

Isto dá trabalho. Mas, quem disse que segurança da informação é grátis? Exige recursos: tempo, dinheiro, interação com outras áreas. Gestor de Segurança, não caia na armadilha de ficar responsável por assuntos que são de responsabilidade de outras áreas. É furada.

Considerando isto, entendo que na maioria das vezes este trabalho possa ser feito com mais foco, quando é feito por um consultor externo. O consultor externo vem com uma missão e vai exigir das áreas posicionamento. Já fiz um trabalho onde a Área de RH se recusava a ter que enviar para a Área de TI a relação dos funcionários demitidos. Um absurdo! Mas, real. Após várias discussões, eu coloquei que o assunto teria que subir para o presidente para que ele definisse se a organização iria ficar sem este controle (corte de acesso de funcionários que foram demitidos) ou indicasse outra área para dar esta informação para a TI. Diante desta minha posição, a Área de RH achou que não tem outra área e deveria ser realmente ela. Seria muito ridículo este assunto chegar ao presidente para ele definir como seria a regra da organização.

Quais são as principais dificuldades dos CIOs em relação à Política de Segurança da Informação e como minimizá-las?

EF – Eu entendo que a maior dificuldade é que o assunto não é devidamente explicado pelo Gestor da Segurança (ou porque não sabe ou porque tem outras prioridades). Coincidentemente, nos últimos anos tenho feito vários trabalhos sobre políticas e normas de segurança da informação. Quando decidi pelo Mestrado, decidi fazer neste tema e concluí com sucesso a dissertação: “Política de Segurança da Informação: uma contribuição para o estabelecimento de um padrão mínimo.”

A Norma ISO/IEC27002:2005 possui 133 controles. Mas, ela não indica uma priorização. Nem deveria. Então surgiu minha pergunta-problema: É possível identificar um padrão mínimo de controles para aquelas organizações que querem iniciar (e tem dificuldade) o processo de segurança da informação, começarem por um padrão mínimo? Fiz uma pesquisa com dez grandes organizações, de nove segmentos, e identifiquei que existem 30% de controles que são usados por 70% das organizações. Este conjunto de controles formou o meu padrão mínimo. Ele ajuda a organização que está iniciando em segurança da informação.

Outra dificuldade é que a Norma 27002 inica que é para ter política, mas não diz como. Sentido esta dificuldade das organizações e dos novos profissionais, escrevi meu próximo livro que será lançado até agosto deste ano, pela Editora Brasport, o qual traz uma parte prática onde eu apresento trinta exemplos de políticas e normas.

Em uma mensagem final eu diria que o processo de segurança da informação, incluindo aí a elaboração de politicas e normas, terá mais chances de sucesso na medida em que ele for tratado mais profissionalmente. O assunto é sério e exige tratamento profissional, sério, focado e dedicado.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 260 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal