22 de dez de 2007



Encerro o ano com este último post, triste infelizmente, sobre a falta de entendimento do risco e a consequente tomada de medidas inadequadas de prevenção. Sobre o furto ocorrido no MASP todos sabem, mas o que me surpreendeu hoje de manhã foi ler que o museu havia sido vítima de uma tentativa de invasão poucos dias antes do sinistro, e que uma invasão havia ocorrido em outubro.

Mesmo diante desta sequência de ameaças, começa a sequência comum a este tipo de notícia. O responsável tenta diminuir o tamanho do estrago perante o público, as falhas de prevenção de risco e redução de impacto começam a aparecer e no final das contas, todos perdem com este golpe em um dos mais completos museus de um país com pouquíssimos expoentes neste setor.

E agora li uma notícia na Gazeta do Povo informando que nos últimos cinco anos os museus de Curitiba sofreram três tentativas de furto e registraram o desaparecimento de uma de suas peças. A diferença, é que os museus onde estas tentativas aconteceram tinham sistemas de segurança adequados, e não só a peça em questão foi recuperada, como os outros casos foram frustados graças a alarmes e câmeras, nada sofisticado como vemos no cinema, mas bem eficaz.

O MASP agora estuda colocar grades no belo vão que existe em seu prédio. Belo security theather, mas acho que vale mais a pena dar uma olhada no livro "Prevenção do Crime através da Arquitetura Ambiental" de autoria do coronel Roberson Bondaruk, da PM do Paraná. O livro é baseado em pesquisas muito bem conduzidas e mostra atitudes simples, que reduzem a probabilidade do risco através de medidas simples de Segurança Física.

Boas festas e até 2008.

10 de ago de 2007

Guia de Sobrevivência para uma Auditoria de Sistemas



Durante seis anos trabalhei como IS Security Officer de uma multinacional, onde a área de Information Services era auditada ou tinha que fornecer informações e dados para auditores de outras áreas, em média, cinco vezes por ano. Ou seja, eu trabalhava inicialmente 45 dias por ano somente atendendo requisições de auditores e explicando como as coisas funcionavam dentro da empresa. Parece muito tempo para pouco retorno, porém o resultado de qualquer auditoria é o Audit Report que é discutido em um Draft e posteriormente apresentado em sua versão final durante o Exit Meeting.

Este documento tem uma grande força política dentro de qualquer organização que leve uma auditoria a sério, e pode causar desde um clima muito tenso dentro das áreas envolvidas até a demissão de um CIO. Ou seja, é necessário dedicar toda a atenção para o processo de auditoria, de forma a garantir que os resultados reflitam a realidade e possam ser discutidos com base em um entendimento comum de risco existente.

Eis a minha contribuição para encarar um cenário destes com o menor impacto possível:


30 de jul de 2007

Continuidade e Permanência no Mercado



O lema do (ISC)2 é muito adequado a realidade de praticamente todos os negócios: security transcends technology (segurança transcende a tecnologia), algo que a maioria das organizações ainda não percebeu. Isso é péssimo para os profissionais da área, que acabam não tendo o seu trabalho valorizado como deveria, para as organizações que só tem uma dimensão exata desta importância quando o problema toma proporções que doam no bolso daqueles que recebem os polpudos bônus anuais, e para a sociedade, que dependendo do impacto pode viver uma tragédia.

Quando o acidente com o vôo 3504 ocorreu, publiquei um post onde levantei a bola da ausência completa de um Plano de Continuidade de Negócios na TAM. Em seguida, publiquei outro post onde falei sobre o desconhecimento dos executivos desta empresa sobre a necessidade de um Plano de Resposta a Incidentes, componente comum na disciplina citada anteriormente.

Dando sequência ao que podemos aprender com esta tragédia, veja que ROI, ROSI e a sopa de acrônimos usados por vendedores de produtos de segurança para impressionar clientes de nada vale quando temos fatos concretos e tendências de mercado geradas por um Evento de Ruptura e incrementados pela falta de gerenciamento dos envolvidos. As evidências estão nas notícias abaixo, que não foram escritas por um profissional de Segurança da Informação.

  • 05/08/07: Acidente afeta marca TAM, dizem especialistas: O acidente com o Airbus da TAM não terá impacto direto sobre os resultados financeiros da companhia, visto que as despesas com perdas materiais e indenizações serão cobertas por seguro. Mas os efeitos sobre a marca TAM poderão ser enormes, em função das críticas às atitudes da empresa frente à tragédia de 17 de julho e também diante da atual crise aérea, avaliam especialistas em marketing.
  • 23/07/07: Com acidente, valor da TAM cai R$ 1,7 bilhão: Em três pregões na Bovespa, ações da companhia desvalorizaram 17%. Tragédia pode ter impacto também no preço do seguro de aviões.
  • 19/07/07: Ações da TAM Caem 6,6%: As ações PN da TAM lideravam as perdas no Ibovespa nesta quarta-feira, após o acidente de ontem com um avião da companhia no aeroporto de Congonhas.
  • 18/07/07: Ações da TAM perdem 9% e Bovespa cai: A queda de 8,93% da TAM foi uma reação do mercado ao pior acidente aéreo do país, que já tem 176 mortos confirmados.

14 de jun de 2007

Uma luz no fim do túnel?



Eu mencionei por diversas vezes a falta de planos de contingência para a aviação civil, onde os passageiros eram submetidos a todo tipo de constrangimento e descaso pela falta de suporte no caso de falha de uma aeronave, ausência de tripulação e toda sorte de problemas que podem ser evitados, ou no mínimo, minimizados com planejamento e algumas atitudes básicas.

Após a recente tragédia no Aeroporto de Congonhas, o pronunciamento do presidente da república me deixou com uma certeza; as organizações em qualquer esfera, só tomam uma atitude quando a ameaça torna-se uma realidade e o problema fica incontrolável. Quando as pessoas sofriam com as esperas intermináveis nos aeroportos, não existia apagão aéreo; quando as companhias aéreas praticavam overbooking diariamente, era graças ao crescimento econômico; e quando pessoas morrem o problema é … ah, o saco de desculpas está vazio?

Independente das causas do acidente, que até este momento não foram esclarecidas, fica claro que o resultado teve diversas causas, e as medidas citadas no pronunciamento feito pelo presidente dão boas pistas delas:

  • Mudança do perfil operacional do aeroporto de Congonhas, com diminuição do número de vôos e restrição ao peso das aeronaves. Embora Congonhas atenda a todas as normas internacionais de segurança, isso não basta. (…)
  • Fortalecimento da Agência Nacional da Aviação Civil, a Anac, para que atue mais efetivamente em defesa dos interesses dos usuários do sistema nacional;
  • Intensificação das medidas de modernização do controle de tráfego aéreo; (n.a. desculpe, mas intensificar não significa alocar mais recursos em algo que já está sendo feito?)
  • Definição, em 90 dias, do local da construção de um novo aeroporto na região de São Paulo;
  • Exigência de que as companhias aéreas tenham sempre, de sobreaviso, em regime de contingência, aeronaves e tripulações para ser acionadas em caso de necessidade.

Infelizmente a atitude foi tomada (ou ao menos comprometida) depois que algo bem mais grave que uma contaminação por vírus de computador ou a perda de uns dias de faturamento aconteceu.

Business Continuity Management: Recursos Gratuitos, Completos e de Qualidade




O Departamento de Cultura, Mídia e Esportes do Governo do Reino Unido colocou uma nova versão de sua metodologia no ar, de graça. São documentos de explicação, ferramentas para identificação de processos e estimativa de risco, cartas de introdução para os grupos de trabalho, enfim, uma metodologia completa, alinhada com os BSI Standards e simples, como deve ser qualquer processo em Segurança da Informação.
Para acesso, siga o link para a metodologia e depois veja os seminários de treinamento que também estão disponíveis.

11 de jun de 2007

Como nossa sociedade deveria funcionar?



Em 2001 a Amana-Key publicou na revista Veja um anúncio convidando as pessoas interessadas em contribuir com a construção de uma sociedade ideal a exporem suas idéias. A proposta foi denominada “Projeto Sete Sigma”, uma referência ao programa voltado para a elevação dos níveis de qualidade.

O meu sogro, a frente do nosso tempo como sempre, decidiu entrar na empreitada, e escreveu textos sensacionais sobre o tema, contando com uma pequena ajuda da minha mulher para falar sobre biotecnologia e menor ainda minha, para falar sobre privacidade e tecnologia. Ao final, concorremos com 115 grupos de todo o Brasil, chegando ao término da proposta como parte dos 13 finalistas e um dos dois únicos grupos com o conceito “A”.

O trabalho deu origem ao livro “O Capital Moral ou a Falta Dele“, editado pela Qualitymark, de autoria dele e me dá muito orgulho ter ao menos participado desta iniciativa tão nobre, contribuindo para falar um pouco sobre sociedade sem o foco comum que faço à Segurança da Informação. Se quiser dar uma olhada no material, uma cópia pode ser lida no site do Amana-Key. (PDF, 5MB)

31 de jan de 2007

O Perfil do Profissional de Segurança da Informação

Quando comecei minha carreira profissional em 1990, eu trabalhava como desktop publishing que era uma área restrita a quem tinha computadores voltados a este fim e um mínimo de conhecimento de design gráfico. Com o passar dos anos, o desenvolvimento do MS-Windows e a primeira geração de aplicações gráficas para esta plataforma – tais como o Corel Draw e o Page Maker – surgiram bureaus de edição em cada esquina, e verdadeiras monstruosidades do design nasceram. Conceitos básicos de tipografia e uso de cores não eram utilizados e a poluição visual tomou conta de flyers, panfletos, cartazes, revistas, jornais e todo o tipo de mídia impressa.

Depois de algum tempo o mercado foi se ajeitando, e os profissionais de design tiveram o seu espaço garantido pela competência em suas atividades e o conhecimento teórico necessário para fazer um trabalho que equilibrasse forma e função, como deve ser qualquer peça de design. Eu acabei entrando em Tecnologia da Informação em 1995 e me aprofundando em Segurança da Informação a partir de 1997, e por menos que esperasse estou vendo novamente essa nervosa confusão de conceitos acontecer; mas agora é no mercado que emprega profissionais em Segurança da Informação.

Depois de reclamar muito em listas de discussões e papos com amigos que trabalham com Recursos Humanos, decidi escrever este artigo com um ambicioso objetivo; servir de referência para os profissionais de ambos os lados da negociação de emprego entenderem como uma carreira em Segurança da Informação pode ser construída; que requisitos podem ser feitos para cada uma das etapas e como um job description pode ser criado para as funções existentes.

Note que este artigo é uma tentativa pessoal de fomentar esta discussão e passar da fase de reclamações para uma contribuição aos colegas da área e aqueles que querem juntar-se a este clube não tão fechado quanto parece.