StartiCast #03 - Segurança da Informação

by Rafael Pizzolato

Com tantas invasões e cibercrimes ocorrendo frequentemente, a segurança da informação tem ganhado destaque no mundo da tecnologia.

A terceira edição do StartiCast está especial! Conversamos com Edison Fontes, referência no assunto, que deu dicas valiosas, ensinou como montar um plano de segurança da informação, erros que as empresas cometem e como se prevenir. Ouça agora mesmo:

Download | Android | Receba por e-mail | iTunes

Links citados no podcast:

LinkedIN Edison fontes

Livros de Edison Fontes

Praticando Segurança da Informação
Segurança da Informação: Orientações Práticas
Políticas e Normas Para a Segurança da Informação

Transcrição StartiCast #03 - Segurança da Informação

EDISON - Meu nome é Edson Fontes, eu sou consultor, gestor e professor na área de segurança da informação, continuidade de negócios. Trabalho com segurança da informação há mais de 20 anos e já trabalhei como gestor em empresas, em bancos e em empresas de alta disponibilidade e também atualmente estou como consultor nesse assunto. Eu tenho certificação internacional na área CISM, CISA e CRISC e tenho mestrado em tecnologia pelo Centro Paula Souza do Governo do Estado de São Paulo.

LETÍCIA - Edison, pra começar eu gostaria que você explicasse por que é tão importante cuidar da segurança da informação de uma empresa?

EDISON - O motivo da importância da segurança da informação é por que a informação é um dos recursos mais importantes para a organização. As vezes para algum tipo de negócio, isso fica muito evidente, por exemplo, uma empresa de comércio eletrônico, acho que talvez seja um caso mais evidente de que, se não houver uma boa comunicação, se a informação tiver errada, se o preço estiver errado, ou qualquer coisa desse tipo, afeta o negócio da empresa. Mas nem as empresas e organizações, tipo a indústria que aparentemente essa informação não é tão importante, mas por exemplo, uma indústria ela pode fabricar seus produtos, mas ela precisa de sistemas da informação para emitir notas fiscais, para saber a gestão de seus clientes, então, a informação ela é importante para o planejamento da empresa e para a gestão operacional, então hoje se uma organização fica sem a disponibilidade da informação ou se ela tendo a informação não íntegra, ela terá impactos seja financeiros, a empresa pode até parar de entregar produtos ou parar de realizar o seu negócio.

LETÍCIA - No caso, a gente tem visto muitas notícias falando sobre o aumento no número de cibercrimes, porque você acha que isso está acontecendo? Será que é porque as empresas estão tomando cuidado como deveriam?

EDISON A questão do cibercrime, quer dizer, o crime organizado, por que antigamente se falava muito de como se fossem pessoas isoladas, mas hoje o crime na internet é feito por organizações criminosas. Então hoje, existem organizações criminosas com gente especializada para fazer crime. Por quê? Porque informação tem valor! Então, seja a informação que se adquire através de dados bancários ou dados de cartão de crédito, coisas desse tipo que consegue se fazer transações falsas, e tirar proveito dessa situação, sejam situações em que se roubam informações e se vendem informações sobre os concorrentes, então, os criminosos começaram a descobrir que a fraude, o roubo, o crime, no ambiente digital, no ambiente de tecnologia, ele é até menos arriscado do que tentar assaltar uma agência bancária. Quando a gente vê notícias eles levam a questão de milhares de reais, mas quando acontece fraude no ambiente digital normalmente o nível de valor é de milhões, então a crescente eu acredito que seja nesse interesse desse valor do crime que ele consegue nesse ambiente. Evidentemente as pessoas as vezes são surpreendidas por situação que se manda e-mail, “clique aqui”, aí a pessoa clica sem saber, isso acontece porque cada vez mais tem um grupo de pessoas na sociedade que antes não tinha acesso a internet, começam a ter e as pessoas têm uma premissa que elas acreditam a princípio em tudo o que veem, então isso é uma facilidade que o criminoso tem para aumentar os seus golpes. Eles tentam em mil pessoas ou em um milhão de pessoas, se por acaso 1% dessas pessoas caírem nesse golpe já vale a pena.

LETÍCIA - hoje em dia muitas pessoas pensam que elas estão imunes a esse tipo de crime por ser uma empresa pequena, por exemplo, mas é comum ver que os criminosos estão atacando empresas menores também...

EDISON - Tem dois aspectos nisso que você falou que é importante. Primeiro quando a gente fala da empresa pequena, eu posso estar falando friamente olhando de fora, mas para o dono daquela empresa, aquela “empresa pequena” é a empresa mais importante do mundo. Ela é mais importante do que qualquer banco, é mais importante do que a Petrobras, porque é a empresa dele. Os criminosos utilizam técnicas, assim eles conseguem fazer muitos ataques, muitas tentativas de fraude de uma forma automatizada. Quando era mais artesanal, então eles focavam sempre nas empresas maiores, onde tem cliente em grande quantidade, mas hoje como as ferramentas do crime que podem adquirir informações de empresas e organizações são mais automatizadas, então entram na empresa pequena ou grande. As vezes eles não roubam informação, mas imagine uma empresa que recebe pedidos de delivery de comida e está sem acesso a internet, ela pode até não ter sido roubada, mas está sendo roubada na chance dos clientes estarem ligando para ela e fazerem os pedidos. Na hora que você não consegue fazer um pedido, por exemplo, você vai para outro concorrente, então cada empresário e cada gestor, ele tem que fazer a proteção da sua empresa, evidentemente, considerando o tamanho do seu negócio. Hoje tem soluções para todo tipo de tamanho de empresa e o executivo ou dono da empresa, precisa pensar na proteção porque a sua empresa é a empresa mais importante do mundo.

LETÍCIA - Edison, já que estamos falando de um crime que é tão organizado, como você disse, o que uma empresa deve fazer para montar um plano de segurança da informação pra combater esse tipo de coisa?

EDISON - Inicialmente, a gente pensa que a questão da segurança da informação é somente questão técnica. A questão técnica é importante, mas toda empresa tem que ter regras, ela tem que ter políticas e normas, ela tem que dizer como as pessoas vão se comportar perante a informação, por exemplo, uma informação impressa ou até um cadastro de cliente. Precisa ter regras. Depois que a gente ler a gente vai triturar ele ou vai rasgar, a gente não vai jogar no lixo de uma forma que possa ser lida. Então existe um conjunto de ações que eu chamo de dimensões de segurança da informação que estão baseadas na norma 27.002, a espinha dorsal de qualquer processo de segurança. Respondendo diretamente a sua pergunta, as empresas precisam implementar um processo organizacional de segurança da informação. Alguém pode dizer “poxa, a minha empresa é pequena”, mas mesmo assim você terá o seu processo organizacional. Sua empresa pequena, pode ser que ela precise ter cópia de segurança dos seus dados, pode ser até que a cópia de segurança dos dados seja armazenada na casa do dono da empresa, se for uma empresa de grande porte não será na casa de ninguém, terá que ser em um local alternativo. Hoje se fala muito na nuvem, que é um contrato com empresas especializadas que vão receber esses arquivos. O importante é que a organização esteja ciente que precisa executar todas essas frentes, porque há estatísticas que na maioria das vezes quando acontece alguma fraude tem participação de pessoas internas que estão no momento ou que já estiveram. Muitas vezes o funcionário ou um prestador de serviço deixa de prestar serviço ou deixa de ser funcionário daquela empresa e a identificação desse usuário fica válido. A empresa não faz uma coisa simples, cortar o acesso, isso é válido para empresa de grande porte como para empresa de pequeno porte, então se alguém quiser fraudar vai usar uma identificação de funcionários ou de prestadores de serviço que já saíram. Existem outras questões simples, mas que precisam ser implementadas. Eu sempre digo, as empresas têm condições de implementar aquele 20% que vai resolver 80% dos problemas. Uma outra coisa importante é considerar que a segurança da informação, é um processo contínuo, não vai acabar nunca, e a medida que a empresa vai crescendo você vai sofisticando esse seu processo de proteção da informação

LETÍCIA - Você falou uma coisa sobre a questão de guardar informações na nuvem, esse é um assunto que vem sendo discutido bastante e eu queria que você falasse um pouco sobre os perigos de guardar informação na nuvem, se é seguro, se não é, quais cuidados as pessoas precisam ter...

EDISON - Olha, veja só, essa questão da nuvem, foi e ainda é hoje muito debatida. Primeira coisa numa empresa que vai querer esse tipo de serviço é saber qual é a empresa que você está escolhendo. Hoje já existe no mercado empresas sérias que fazem esse serviço, e elas dão uma boa segurança, eu diria até que é uma segurança melhor para as empresas, principalmente quando a gente está falando de empresas pequenas e médias. Dificilmente uma empresa pequena e média ela vai conseguir ter uma segurança adequada e equivalente, mas ela precisa escolher bem esse provedor. O que se questiona muito é “mas se estando na nuvem não é mais fácil de alguém pegar essa informação?”, toda vez que você fizer alguma coisa com a informação você tem que analisar seus riscos. O risco de eu ter isso na minha casa, no meu escritório, na minha empresa vai ser menor ou maior se eu colocar isso num provedor de serviços? Eu diria que normalmente, sendo feito uma boa escolha a colocação do serviço de informações na nuvem, ela vai ter uma segurança muito boa e adequada. Mas a empresa vai dizer “ah, mas é impossível alguém fazer um acesso”, não, não é impossível ter um crime, mas vai ser mais difícil. As empresas de médio porte e de grande porte, podem fazer contratos com empresas que prestam serviço em nuvem, mas exigindo, por exemplo que esses equipamentos estejam aqui no Brasil. O Banco Central soltou a pouco uma resolução falando sobre política de segurança cibernética e computação e nuvem onde ele exige, na maioria dos casos, as informações dos bancos, das instituições financeiras, estejam, se você usar serviços de computação e nuvem, estejam no Brasil, então, os grandes fornecedores de computação e nuvem, de serviços de informática já tem soluções no Brasil, então eu diria que em resumo, analise e consulte alguns especialistas para verificar se aquilo que você está contratando está adequado com suas necessidades e se você está contratando a segurança adequada. Quando você contrata, você é dono daquele contrato com o seu fornecedor, então, você escolhe, é lógico que quanto mais algumas regalias se tiver com as exigências, mais caro esse contrato será. Eu diria de uma maneira geral que o ambiente de nuvens sendo bem contratado ele é seguro, agora, se por acaso contrato um ambiente seguro de nuvem e eu não trato da minha gestão de segurança, por exemplo, um funcionário sai e eu não corto esse acesso, a informação pode estar na nuvem, pode estar onde estiver que eu vou ter uma fragilidade aí de controle de acesso. Algum fraudador pode usar uma identificação de um funcionário que saiu e fraudar a empresa ou acessar informações que não deveria, então, a questão aí não é estar na nuvem, é que eu não fiz a minha gestão de segurança. A nuvem seria a tecnologia, mas a gestão de segurança significa processos, regras, pessoas, e eu entendo que isso tem que ser feito com um profissional com experiência, com independência para que dê à diretoria, para que dê aos acionistas essa segurança de que a gestão está sendo bem-feita ou de maneira adequada.

LETÍCIA - Agora, Edison, além desse problema que você citou de não cortar o acesso de ex-funcionários, quais são os principais erros que as empresas costumam cometer nessa questão da gestão da segurança da informação?

EDISON - Sempre a questão do acesso à informação, talvez seja a coisa mais sensível para a empresa. Um erro é quando a gente deixa de cortar o controle relacionado ao acesso à informação, outro é que às vezes a empresa não tem um conceito que eu defendo e que está na norma, que é a questão do gestor da informação, então as vezes quem autoriza o acesso a informação é o pessoal de segurança, o pessoal de TI, mas não deve ser assim, deve existir esse gestor da informação que é quem vai autorizar uma informação, mas esse gestor da informação é uma pessoa da área de negócio, da área operacional. Por exemplo, quem deve autorizar o acesso aos dados de recursos humanos? Deve ser o gestor da área de recursos humanos. Quem deve autorizar o acesso aos dados financeiros? Deve ser o diretor ou uma pessoa escolhida por ele da área financeira. Muitas empresas não têm esse gestor de informação sendo das áreas de negócio, eles jogam essa responsabilidade para a área de TI que é totalmente errado. TI, ele é um operacionalizador dos controles da segurança. Pegando carona nessa questão de gestão da informação digo que um dos erros principais que as empresas cometem até por falta de orientação de um profissional experiente em gestão de segurança para dizer para ela, é que as áreas de negócios elas começam a ter responsabilidades, por exemplo, ao se guardar um backup, ou seja, cópia de segurança, quanto tempo essa cópia de segurança tem que ficar armazenada? É a área de negócios que tem que responder. Cada tipo de dados terá uma exigência de armazenamento. Então precisamos envolver a área de negócios. Nem mesmo a área de segurança consegue dar uma sugestão a respeito disso. As vezes existe uma legislação específica, mas mesmo tendo a legislação pode ser que a área de negócios queira guardar mais tempo, então eu acho que isso é um erro estrutural que a maioria das empresas ainda fazem em não envolver a área de negócios. Outra questão que eu acho que é estrutural como erro de gestão, é que as vezes essa avaliação de segurança e o planejamento de segurança não é bem apresentado para a direção, para o corpo diretivo da organização, então sem essa validação pela direção, a área de segurança fica andando meio só. Muitas empresas tem um documento de várias páginas – com questões técnicas e de gestão – mas é um documento que ninguém lê. Muitas empresas não têm políticas e normas de maneira estruturada, de uma maneira prática para que aquelas pessoas que precisam ler determinadas informações, leiam. A política e a norma definem como é que a segurança da informação acontece na organização, e ela também diz para os usuários como eles devem se comportar. Por exemplo, uma coisa nova, mas que já está em nossas vidas, que são as redes sociais públicas – Facebook, WhatsApp e similares – muitas empresas e eu diria até que a maioria não tem uma norma sobre uso de redes sociais. Como o funcionário deve se comportar numa rede social? Apesar de falarmos muito de fraude, de crime organizado, mas a maioria dos problemas, cerca de 70% ou mais dos prejuízos que as empresas têm, não são por fraudes, são por erros. A empresa precisa dizer para o funcionário: “Olha, não divulga foto do nosso ambiente, nossa área de comunicação vai divulgar” porque é essa área que entende. Então, eu diria que de maneira geral esses são os principais problemas. Você tem que fazer as políticas, mas você tem que treinar as pessoas, que vai desde o seguinte: quando receber um e-mail dizendo “clique aqui” e for um usuário desconhecido, não vai clicar. Quando você estiver conversando com as pessoas, não fale informações confidenciais. Olha, quando você estiver na internet, você se comporta “dessa” maneira. Olha, quando você imprimir um documento, depois você terá que triturar ele. A organização precisa treinar as pessoas, precisa ensinar as pessoas. Os usuários precisam deixar de ter o “achometro”. Em resumo, eu acho que a questão do gestor da informação, de políticas e normas, do treinamento das pessoas, de envolvimento com as áreas de negócios, eu diria que esses são com certeza os principais erros ou negligências que as organizações fazem e com isso comprometem essa atividade do processo de segurança da informação.

LETÍCIA - E tudo isso acaba entrando bastante na questão de governança e segurança da informação, né? Queria que você falasse um pouquinho sobre isso também.

EDISON - Bem, em termos de governança, exceto a questão da governança corporativa que existem documentos e até lei sobre isso, quando a gente fala de governança de segurança da informação, governança de tecnologia ou essas governanças subordinadas à governança corporativa, muito se fala. É fácil dizer, mas eu sinto que há uma dificuldade em exercer essa governança. Por exemplo, a governança de segurança da informação, como que eu faço isso acontecer? Como que isso se concretiza? Então, eu tenho alguns pontos que eu entendo que quando fazemos, estamos realizando governança da informação, alinhada à governança corporativa. Na medida em que temos uma avaliação de efetividade dos controles existentes, então quando eu mostro à alta direção que os controles de segurança em tais assuntos, considerando as dimensões de segurança que estão na norma 27.002, não é só tecnologia, estamos fazendo governança. Quando a gente pega esses controles e a gente faz um planejamento de no mínimo 3 anos para a área de segurança da informação e apresenta também para a direção, eu entendo que nós estamos fazendo governança, porque se a direção tiver alguma coisa em contrário, ajusta essas prioridades que foram dadas e quando valida, nós estamos fazendo governança da segurança. Outra questão de governança da segurança é quando eu elaboro políticas e normas de segurança de uma maneira estruturada. Eu coloquei em um livro que eu tenho “Políticas e Normas Para a Segurança da Informação” e fiz também um curso para a rede nacional de pesquisa do Ministério de Ciência e Tecnologia e tem uma arquitetura que a gente sugere que foi validada pela RNT.

LETÍCIA - Estamos passando por muitas mudanças no quesito de leis, aqui no Brasil temos o Marco Civil e agora entra a questão do GDPR... Explica pra gente o que muda no brasil com a GDPR e que tipo de cuidado as empresas precisam ter com essas leis?

EDISON - O Marco Civil teve um objetivo que estava voltado muito à essa questão de internet, essa questão de provedores. Ele afeta relativamente pouco as empresas que não são prestadoras de serviço, ou empresa de telecomunicações. Ele fala um pouco de privacidade, fala regras, por exemplo, se sua empresa tem um link com a internet, você tem que guardar os acessos dos seus usuários durante um ano. Ele tem um aspecto de uma certa forma limitado. Quando a gente fala do GDPR, é um regulamento da União Europeia para a proteção de dados pessoais de pessoas singulares. É uma lei que protege dados pessoais e certamente daqui a pouco tempo o Brasil terá leis inspiradas no GDPR. Hoje, sendo uma lei da União Europeia, na realidade afeta as empresas brasileiras que fazem negócio com a União Europeia. Isso vai desde um provedor de serviço de TI a uma pequena empresa que tenha um site de internet e venda para pessoas da União Europeia, cada uma dentro das suas proporções. Uma coisa interessante no GDPR é que ele deu o poder ao consumidor, ao usuário de ter mais poder sobre os teus dados. Primeiramente, não é só dos cidadãos europeus, são pessoas que estão localizadas na União Europeia. Então tem regras sobre “você só pode coletar dados dessas pessoas se tiver autorização delas” ou “você só pode coletar dados dessas pessoas se você coletar o mínimo possível”. Se eu vou pegar seus dados para a assinatura de uma revista e eu vou entregar fisicamente a revista, eu só peguei aquele dado para entregar aquela revista, ou então para permitir os dados num ambiente de tecnologia, você tem que ter uma série de proteções, o usuário pode depois que usar aquele serviço pode pedir para apagar essas informações, então o foco realmente está no usuário. Então pode dizer assim: “mas eu tenho um hotel pequeno aqui no Brasil, que inclusive vêm muitos europeus, mas eu não sou europeu, eu não preciso fazer essa proteção”. Rigorosamente a lei é europeia e ninguém vai te prender aqui se você não fizer adequadamente, mas tem a questão comercial. Pode ser que alguma empresa da Europa mande seus funcionários para cá de férias, façam eventos aqui no Brasil, e pode ser que daqui a algum tempo ela queira mandar seus funcionários para hotéis que protejam a informação dos funcionários dela. Então apesar de não ser uma empresa europeia, esse hotel que é totalmente brasileiro ele terá todo interesse em querer cumprir, se não for pelo lado legal, será pelo lado comercial. Então, cada vez mais é muito importante o GDPR, porque é um consenso de toda união europeia. O GDPR foi aprovado há dois anos. Eles deram dois anos para que as empresas se adequassem a essa lei na Europa e no mundo todo, porque qualquer empresa que se relacione com cidadãos residentes na união europeia, terá que ter esse cuidado, e cada vez mais teremos legislação a respeito disso, então mesmo que seja uma empresa brasileira, se não for afetada em nada, tenha certeza que daqui a pouco terá uma legislação brasileira mais rígida sobre a questão de privacidade. A pouco já saiu a notícia que o governo de São Paulo vai comercializar dados de identidade dos cidadãos, pela GDPR isso não estaria adequado, porque eu dei a minha autorização de ter os meus dados na Secretaria de Segurança Pública, para o uso policial ou quando fosse alguma questão de segurança, e não para serem vendidos para outras empresas. Então a questão é que cada vez mais os países estão focados em proteger os dados dos seus cidadãos. “Ah Edson, vai acabar com a comercialização? Não. Vai ficar mais “explícito”, quer dizer, se eu, cidadão, permitir que meus dados sejam usados para determinada forma, eu quero que me avisem quando acontecerem determinadas situações. A maioria das organizações não estão adequadas ainda a essa proteção, porque na realidade não eram exigidas e o comércio com a união europeia é muito grande, muito rico, você tem aqui prestadoras enormes de TI que prestam serviços ou para empresas da União Europeia ou diretamente na União Europeia

LETÍCIA - Pra finalizar, vamos dar algumas dicas pra quem deseja saber mais sobre o assunto. Passa alguns dos seus livros, publicações...

Eu tenho seis livros escritos sobre segurança da informação, um recente está na Amazon que é só eBook, orientações práticas. Tem um sobre políticas e normas. Se você colocar no Google Edson Fontes você vai achar esses livros. No LinkedIn, eu tenho colocado artigos sobre várias questões. A minha orientação é sobre Gestão de Segurança da Informação e continuidade de negócio. Recentemente eu tenho disponibilizado no LinkedIn alguns quadros sobre implementação do GDPR na Prática e eu dou 6 dicas de como eu acho que deve-se começar, porque uma das dificuldades que as pessoas têm, e pegando um exemplo do caso do GDPR é: “Por onde a gente começa?” e eu tenho compartilhado essas dicas aí, então você pode acessar o LinkedIn: Edison Fontes. E lembrando também que tem muitos outros profissionais que compartilham. A gente tem muito material de boa qualidade e gratuito. Eu tenho para quem entrar em contato, dois documentos sobre a GDPR que eu disponibilizo gratuitamente, tem um outro documento sobre a Revolução do Bacen e tem os livros que tem um custo, e de vez em quando recebo questionamentos e perguntas e, na medida do possível, vou respondendo no tempo adequado, principalmente pelo LinkedIn que é um canal mais fácil de perguntas e respostas.

LETÍCIA - Edison, muito obrigada pela sua participação.
Nós ficamos por aqui e te aguardamos no próximo StartiCast! Até lá!