sexta-feira, 29 de fevereiro de 2008

Saci-pererê e a Segurança da Informação


Nos últimos dias temos sido informados sobre o extravio de ativos de informação da Petrobras. Muito cuidado deve ser dedicado por qualquer um que se atreva a discutir este caso uma vez que as informações que foram divulgadas pela imprensa são incoerentes. Parte por imperícia de quem está reportando o assunto e parte, ou melhor, a maior parte devido ao interesse dos detentores das informações em não esclarecer o assunto.
Neste caso devemos questionar porque haveria interesse em turvar as informações divulgadas. A princípio, de acordo com as boas práticas, apenas informações que não venham agravar o caso devem ser fornecidas pelos proprietários e se isto fosse verdadeiro, não se estaria dizendo aos quatro ventos que nos equipamentos havia informações valiosas. Esta simples divulgação seria uma instrução para os ladrões, considerando-se que poderia ter sido um roubo comum, de que mais valioso do que o hardware eram as informações nele armazenadas. O que se viu foi o contrário, houve um forte interesse em se divulgar que as informações eram preciosas. Isto é no mínimo curioso.
Para tornar o caso mais estranho cabe ressaltar que o incidente diz respeito à Petrobras, que é uma empresa séria, competente, profissional, seguidora de normas e padrões internacionais e das melhores práticas de gestão. Sendo assim, fica uma grande certeza: Não é razoável que haja um processo interno na Petrobras onde informações vitais são mantidas num notebook, que deverá permanecer por mais de dez dias em trânsito debaixo do sol, sob a guarda de terceiros. Definitivamente tal procedimento é irresponsável e amador. Portanto é inconcebível que o mesmo seja uma prática adotada pela Petrobras. Isto é muito curioso.
A partir desta constatação podemos imaginar que estes computadores não tinham tais informações críticas, e o furto, se verdadeiro, foi apenas furto. Mas aqui fica a maior indagação: Houve furto, ou houve uma tramóia para se fazer divulgar que informações críticas haviam sido furtadas?
Acreditar na história oficial está difícil. Prefiro acreditar no Saci-Pererê.

quinta-feira, 21 de fevereiro de 2008

Boas práticas para o uso de notebooks (as de sempre...)

1. Entenda os riscos. Na medida em que as organizações adotam o uso da computação móvel elas estão abrindo suas fronteiras e se expondo a riscos de segurança maiores do que aqueles existentes no ambiente interno exclusivamente.

2. Seja pro-ativo. Se você não conhecer as fraquezas do seu ambiente de informática, outros acharão para você. Se eduque e conheça as técnicas de proteçào e acompanhe sua evolução. A segurança da informação é um alvo móvel que requer uma permanente atenção.

3. Use cabos de proteção nos notebooks. Verdade seja dita, estes cabos podem ser facilmente rompidos, mas ainda assim eles são uma barreira contra furtos.

4. Evite deixar notebooks em locais sem nenhuma vigilância. Deixe os notebooks guardados em armários, presos a cabos de segurança ou sob alguma forma de proteção. Se eles tiverem que ser deixados num veículo providencie para que eles não fiquem visíveis ou que fiquem na mala do carro.

5. Não chame atenção. Notebooks devem carregados em malas que sejam discretas, tais como mochilas. Evite as malas tradicionais de notebooks. Evite utilizar o notebook em praças de alimentação e shoppings. Você poderá ser seguido e roubado.

6. Utilize anti-vírus e firewall. Proteja informações confidenciais com criptografia. Mantenha os softwares de proteção e os softwares de acesso à internet atualizados.

7. Faça cópia dos dados valiosos. A cópia de dados deve ser feita com freqüência para reduzir o risco decorrente de uma perda de dados. Faça sempre uma cópia sempre que for viajar.

8. Crie um Plano de Contingência. Identifique os impactos de uma perda e planeje como suas atividades terão continuidade caso um incidente de maior monta venha a ocorrer.

9. Use software de rastreamento de ativos. Existem alguns softwares de rastreamento de ativos no mercado brasileiro.

10. Use software de proteção de dados. Existem ferramentas para a criptografia ou deleção de dados em equipamentos extraviados ou roubados que venham a ser conectados na internet. Verifique a disponibilidade destas ferramentas e da viabilidade de seu uso.

segunda-feira, 18 de fevereiro de 2008

Análise de Incidentes de Segurança

Consideremos o incidente de segurança amplamente divulgado pela imprensa do extravio de informações importantes, armazenadas num notebook da Petrobras, durante o seu transporte interurbano, realizado pela um terceiro.
Como referência para esta análise iremos utilizar o TRIPOD que preconiza que incidentes de segurança são devidos na sua essência à existência de pelo menos um dos dez fatores básicos de risco.
Fatores Básicos de Risco (BRF – Basic Risk Factors):
• Design
• Hardware
• Manutenção
• Conservação
• Condições de erro
• Procedimentos
• Treinamento
• Comunicação
• Metas incompatíveis
• Organização
No caso em questão, com as informações apresentadas podemos concluir que é certo que o BRF “Procedimentos” contribuiu para a ocorrência do incidente. Outros dois, “Treinamento” e “Comunicação” podem ter contribuído, mas por ora não dispomos de dados que permitam tal conclusão.
Assim podemos considerar que procedimentos inadequados contribuíram diretamente para a ocorrência do evento e dentre eles destacamos que:
• O procedimento de guarda de informações importantes num computador de uso pessoal é inseguro.
• O transporte interurbano de computadores com informações relevantes é inseguro.
• O transporte por terceiros de informações importantes é inseguro.
A utilização de controles tais como senhas, criptografia, cadeados, são algumas formas de se mitigar o evento, mas pouco contribuirão para evitar que o incidente ocorra. Por outro lado se os três pontos, relativos ao BRF - Procedimentos forem tratados e eliminados a ocorrência de um incidente de segurança conforme acima descrito dificilmente irá ocorrer.
É necessário contudo observar que esta análise está feita tendo como base apenas os dados do enunciado acima. Como já foi observado, outros fatores básicos podem ter contribuído, tais como inobservância dos procedimentos de segurança (BRF-Treinamento e BRF-Organização), incompetência técnica (BRF-Treinamento e BRF-Processo), falha no treinamento de funcionários (BRF-Treinamento e BRF-Processo), falha na contratação de funcionários (BRF-Processo), falha na contratação e supervisão de terceiros (BRF-Treinamento e BRF-Processo).

segunda-feira, 11 de fevereiro de 2008

Vamos abrir um Botequim!!!!

Existe uma abordagem da análise de acidentes que tem como base o controle do que é controlável. O principal autor desta linha é o holandês Jop Groeneweg autor do Livro “Controlling the controllable. The management of safety”. Nesta mesma linha existe uma abordagem chamada “Tripod” que identifica um conjunto de “Fatores Básicos de Risco”. Segundo o Tripod a probabilidade da ocorrência de acidentes pode ser fortemente reduzida caso os BRFs (Basic Risk Factors = Fatores Básicos de Risco) sejam reduzidos. Em outras palavras, para termos segurança devemos controlar o que é controlável, fazer o é possível ser feito tratando dos BRFs, que ao todo são onze.
Neste fim de semana observei um caso público onde os conceitos do Tripod foram ignorados, criando situações de risco, que poderiam estar sob controle, e que serve para ilustrarmos esta abordagem da Gestão de Risco.
O Shopping Center da Gávea, no dia 09 de fevereiro estava aberto para o público com uma parte significativa (mais de 50%) de sua circulação interna obstruída. As escadas rolantes entre o andar térreo e o primeiro piso e entre este e o segundo piso estavam inoperantes e bloqueadas. Dentre os três elevadores, um estava inoperante e as saídas estavam sinalizadas por cartazes, do tamanho de um papel A4, afixados nas paredes, sem iluminação de emergência.
Nestas condições a circulação entre um andar e outro era limitada e deficiente o que é inaceitável para um Shopping Center com quatro salas de cinema, outras tantas de teatro e mais uma dezena de bares e restaurantes.
A operação de um centro comercial tem que feita com conforto e acima de tudo com um nível de risco que permita que o mesmo seja evacuado com rapidez e segurança numa eventual emergência. Quando a manutenção do Shopping aberto para negócios é mais importante do que a segurança dos seus usuários temos configurado neste conflito o fator básico de risco (BRF) denominado “Metas Incompatíveis”. E, relembrando o Tripod, a segurança é atingida quando eliminamos ou reduzimos os BRFs. Considerando apenas este BRF, a segurança para os usuários seriam aumentada caso a meta incompatível com a segurança fosse eliminada. Ou seja, a abertura do Shopping não poderia ser uma meta que sobrepusesse à meta de segurança.
Controlar o controlável é possível caso os fatores básicos de risco sejam eliminados, caso contrário, a gestão dos riscos será sempre um trabalho pontual de eficácia limitada.
Uma falha clássica na gestão da segurança é o tratamento dos sintomas do risco ao invés da eliminação da sua causa e, quando trabalhamos nas causas corremos o risco de abrir nosso “botequim” sem que o mesmo esteja nas condições mais adequadas (veja o artigo sobre ALARP neste Blog).