Encerro o ano com este último post, triste infelizmente, sobre a falta de entendimento do risco e a consequente tomada de medidas inadequadas de prevenção. Sobre o furto ocorrido no MASP todos sabem, mas o que me surpreendeu hoje de manhã foi ler que o museu havia sido vítima de uma tentativa de invasão poucos dias antes do sinistro, e que uma invasão havia ocorrido em outubro.

Mesmo diante desta sequência de ameaças, começa a sequência comum a este tipo de notícia. O responsável tenta diminuir o tamanho do estrago perante o público, as falhas de prevenção de risco e redução de impacto começam a aparecer e no final das contas, todos perdem com este golpe em um dos mais completos museus de um país com pouquíssimos expoentes neste setor.

E agora li uma notícia na Gazeta do Povo informando que nos últimos cinco anos os museus de Curitiba sofreram três tentativas de furto e registraram o desaparecimento de uma de suas peças. A diferença, é que os museus onde estas tentativas aconteceram tinham sistemas de segurança adequados, e não só a peça em questão foi recuperada, como os outros casos foram frustados graças a alarmes e câmeras, nada sofisticado como vemos no cinema, mas bem eficaz.

O MASP agora estuda colocar grades no belo vão que existe em seu prédio. Belo security theather, mas acho que vale mais a pena dar uma olhada no livro "Prevenção do Crime através da Arquitetura Ambiental" de autoria do coronel Roberson Bondaruk, da PM do Paraná. O livro é baseado em pesquisas muito bem conduzidas e mostra atitudes simples, que reduzem a probabilidade do risco através de medidas simples de Segurança Física.

Boas festas e até 2008.

Guia de Sobrevivência para uma Auditoria de Sistemas

Durante seis anos trabalhei como IS Security Officer de uma multinacional, onde a área de Information Services era auditada ou tinha que fornecer informações e dados para auditores de outras áreas, em média, cinco vezes por ano. Ou seja, eu trabalhava inicialmente 45 dias por ano somente atendendo requisições de auditores e explicando como as coisas funcionavam dentro da empresa. Parece muito tempo para pouco retorno, porém o resultado de qualquer auditoria é o Audit Report que é discutido em um Draft e posteriormente apresentado em sua versão final durante o Exit Meeting.

Este documento tem uma grande força política dentro de qualquer organização que leve uma auditoria a sério, e pode causar desde um clima muito tenso dentro das áreas envolvidas até a demissão de um CIO. Ou seja, é necessário dedicar toda a atenção para o processo de auditoria, de forma a garantir que os resultados reflitam a realidade e possam ser discutidos com base em um entendimento comum de risco existente.

Eis a minha contribuição para encarar um cenário destes com o menor impacto possível:

• Guia de Sobrevivência para uma Auditoria de Sistemas (Parte 1)
• Guia de Sobrevivência para uma Auditoria de Sistemas (Parte 2)

Continuidade e Permanência no Mercado

O lema do (ISC)2 é muito adequado a realidade de praticamente todos os negócios: security transcends technology (segurança transcende a tecnologia), algo que a maioria das organizações ainda não percebeu. Isso é péssimo para os profissionais da área, que acabam não tendo o seu trabalho valorizado como deveria, para as organizações que só tem uma dimensão exata desta importância quando o problema toma proporções que doam no bolso daqueles que recebem os polpudos bônus anuais, e para a sociedade, que dependendo do impacto pode viver uma tragédia.

Quando o acidente com o vôo 3504 ocorreu, publiquei um post onde levantei a bola da ausência completa de um Plano de Continuidade de Negócios na TAM. Em seguida, publiquei outro post onde falei sobre o desconhecimento dos executivos desta empresa sobre a necessidade de um Plano de Resposta a Incidentes, componente comum na disciplina citada anteriormente.

Dando sequência ao que podemos aprender com esta tragédia, veja que ROI, ROSI e a sopa de acrônimos usados por vendedores de produtos de segurança para impressionar clientes de nada vale quando temos fatos concretos e tendências de mercado geradas por um Evento de Ruptura e incrementados pela falta de gerenciamento dos envolvidos. As evidências estão nas notícias abaixo, que não foram escritas por um profissional de Segurança da Informação.

• 05/08/07: Acidente afeta marca TAM, dizem especialistas: O acidente com o Airbus da TAM não terá impacto direto sobre os resultados financeiros da companhia, visto que as despesas com perdas materiais e indenizações serão cobertas por seguro. Mas os efeitos sobre a marca TAM poderão ser enormes, em função das críticas às atitudes da empresa frente à tragédia de 17 de julho e também diante da atual crise aérea, avaliam especialistas em marketing.
• 23/07/07: Com acidente, valor da TAM cai R$ 1,7 bilhão: Em três pregões na Bovespa, ações da companhia desvalorizaram 17%. Tragédia pode ter impacto também no preço do seguro de aviões.
• 19/07/07: Ações da TAM Caem 6,6%: As ações PN da TAM lideravam as perdas no Ibovespa nesta quarta-feira, após o acidente de ontem com um avião da companhia no aeroporto de Congonhas.
• 18/07/07: Ações da TAM perdem 9% e Bovespa cai: A queda de 8,93% da TAM foi uma reação do mercado ao pior acidente aéreo do país, que já tem 176 mortos confirmados.

Uma luz no fim do túnel?

Eu mencionei por diversas vezes a falta de planos de contingência para a aviação civil, onde os passageiros eram submetidos a todo tipo de constrangimento e descaso pela falta de suporte no caso de falha de uma aeronave, ausência de tripulação e toda sorte de problemas que podem ser evitados, ou no mínimo, minimizados com planejamento e algumas atitudes básicas.

Após a recente tragédia no Aeroporto de Congonhas, o pronunciamento do presidente da república me deixou com uma certeza; as organizações em qualquer esfera, só tomam uma atitude quando a ameaça torna-se uma realidade e o problema fica incontrolável. Quando as pessoas sofriam com as esperas intermináveis nos aeroportos, não existia apagão aéreo; quando as companhias aéreas praticavam overbooking diariamente, era graças ao crescimento econômico; e quando pessoas morrem o problema é … ah, o saco de desculpas está vazio?

Independente das causas do acidente, que até este momento não foram esclarecidas, fica claro que o resultado teve diversas causas, e as medidas citadas no pronunciamento feito pelo presidente dão boas pistas delas:

• Mudança do perfil operacional do aeroporto de Congonhas, com diminuição do número de vôos e restrição ao peso das aeronaves. Embora Congonhas atenda a todas as normas internacionais de segurança, isso não basta. (…)
• Fortalecimento da Agência Nacional da Aviação Civil, a Anac, para que atue mais efetivamente em defesa dos interesses dos usuários do sistema nacional;
• Intensificação das medidas de modernização do controle de tráfego aéreo; (n.a. desculpe, mas intensificar não significa alocar mais recursos em algo que já está sendo feito?)
• Definição, em 90 dias, do local da construção de um novo aeroporto na região de São Paulo;
• Exigência de que as companhias aéreas tenham sempre, de sobreaviso, em regime de contingência, aeronaves e tripulações para ser acionadas em caso de necessidade.

Infelizmente a atitude foi tomada (ou ao menos comprometida) depois que algo bem mais grave que uma contaminação por vírus de computador ou a perda de uns dias de faturamento aconteceu.

Business Continuity Management: Recursos Gratuitos, Completos e de Qualidade

O Departamento de Cultura, Mídia e Esportes do Governo do Reino Unido colocou uma nova versão de sua metodologia no ar, de graça. São documentos de explicação, ferramentas para identificação de processos e estimativa de risco, cartas de introdução para os grupos de trabalho, enfim, uma metodologia completa, alinhada com os BSI Standards e simples, como deve ser qualquer processo em Segurança da Informação.
Para acesso, siga o link para a metodologia e depois veja os seminários de treinamento que também estão disponíveis.

Como nossa sociedade deveria funcionar?

Em 2001 a Amana-Key publicou na revista Veja um anúncio convidando as pessoas interessadas em contribuir com a construção de uma sociedade ideal a exporem suas idéias. A proposta foi denominada “Projeto Sete Sigma”, uma referência ao programa voltado para a elevação dos níveis de qualidade.

O meu sogro, a frente do nosso tempo como sempre, decidiu entrar na empreitada, e escreveu textos sensacionais sobre o tema, contando com uma pequena ajuda da minha mulher para falar sobre biotecnologia e menor ainda minha, para falar sobre privacidade e tecnologia. Ao final, concorremos com 115 grupos de todo o Brasil, chegando ao término da proposta como parte dos 13 finalistas e um dos dois únicos grupos com o conceito “A”.

O trabalho deu origem ao livro “O Capital Moral ou a Falta Dele“, editado pela Qualitymark, de autoria dele e me dá muito orgulho ter ao menos participado desta iniciativa tão nobre, contribuindo para falar um pouco sobre sociedade sem o foco comum que faço à Segurança da Informação. Se quiser dar uma olhada no material, uma cópia pode ser lida no site do Amana-Key. (PDF, 5MB)

O Perfil do Profissional de Segurança da Informação

Quando comecei minha carreira profissional em 1990, eu trabalhava como desktop publishing que era uma área restrita a quem tinha computadores voltados a este fim e um mínimo de conhecimento de design gráfico. Com o passar dos anos, o desenvolvimento do MS-Windows e a primeira geração de aplicações gráficas para esta plataforma – tais como o Corel Draw e o Page Maker – surgiram bureaus de edição em cada esquina, e verdadeiras monstruosidades do design nasceram. Conceitos básicos de tipografia e uso de cores não eram utilizados e a poluição visual tomou conta de flyers, panfletos, cartazes, revistas, jornais e todo o tipo de mídia impressa.

Depois de algum tempo o mercado foi se ajeitando, e os profissionais de design tiveram o seu espaço garantido pela competência em suas atividades e o conhecimento teórico necessário para fazer um trabalho que equilibrasse forma e função, como deve ser qualquer peça de design. Eu acabei entrando em Tecnologia da Informação em 1995 e me aprofundando em Segurança da Informação a partir de 1997, e por menos que esperasse estou vendo novamente essa nervosa confusão de conceitos acontecer; mas agora é no mercado que emprega profissionais em Segurança da Informação.

Depois de reclamar muito em listas de discussões e papos com amigos que trabalham com Recursos Humanos, decidi escrever este artigo com um ambicioso objetivo; servir de referência para os profissionais de ambos os lados da negociação de emprego entenderem como uma carreira em Segurança da Informação pode ser construída; que requisitos podem ser feitos para cada uma das etapas e como um job description pode ser criado para as funções existentes.

Note que este artigo é uma tentativa pessoal de fomentar esta discussão e passar da fase de reclamações para uma contribuição aos colegas da área e aqueles que querem juntar-se a este clube não tão fechado quanto parece.