O Projeto Scriptum andou bem parado nos últimos meses por falta de tempo livre. Hoje voltei a trabalhar no material, e espero que até o final do semestre consiga colocar uma quantidade suficiente de documentos e artigos para que ele enfim vá de encontro a seu ambicioso propósito original; ser um um guia para a construção de uma Política de Segurança para o mercado brasileiro.

Subi há pouco um Modelo para uma Política de Segurança, onde estão disponíveis um arquivo PDF com uma explicação geral do conteúdo, e um documento em MS-Word para uso como template. No decorrer da semana vou terminar um artigo explicando as diferenças entre o Programa de Política de Segurança, as Políticas de Segurança, os Procedimentos e Padrões de Segurança.

Uma versão em PDF deste artigo está disponível para download na página Meus Documentos deste blog.

Uma das coisas que sempre gostei em práticas de linguagem e comunicação foi de expressões em latim que sintetizam situações, algo bastante usado por advogados e juristas. Uma delas é Si vis pacem, para bellum, que literalmente significa Se você quer paz, prepare-se para a guerra. Preparar a sua empresa para uma auditoria de sistemas é exatamente isso, ter muito trabalho para enfrentar uma situação que pode resultar em um grande problema, ou ser uma mera formalidade.

O primeiro artigo desta série mostra os 10 tópicos que são vistos com mais freqüência pelos auditores de sistemas, porque eles podem ser problemas se não tratados adequadamente e como evitar que cada um se transforme em uma encrenca.
Nesta segunda parte, vou abordar de forma simplificada a postura dos auditores e Security Officers no processo, as características mais comuns de uma auditoria de sistemas e que tipo de ações devem ser feitas para simplificar o processo, transformando a atividade em uma formalidade que não deve dar problemas para ninguém, e sim ajudar ambas as partes a criarem um ambiente mais seguro para seus clientes.

Quis Custodiet Ipsos Custodis

A tradução desta expressão é “quem irá vigiar os vigilantes”, e se aplica muito bem ao papel de um auditor de sistemas. Normalmente, ele é contratado para identificar problemas em um ambiente informatizado cuja segurança deve ser administrada por um Security Officer. Ou seja, ele deve ajudar a empresa a manter o nível adequado de segurança fazendo uma análise independente. Quando o processo se mantém a este escopo, a auditoria é uma excelente ferramenta para o CIO, que tem uma visão de onde deve investir em controles adicionais e remover aqueles que não dão o resultado esperado, e também para o Security Officer, que tem na auditoria uma revisão de qualidade do seu trabalho e uma garantia para a organização que ele está sendo vigiado de forma adequada.

O problema é quando a auditoria é transformada em uma ferramenta política, na qual um ponto irrelevante é transformado em um problema. Isto acontece não só porque alguns auditores vêem na obtenção de pontos uma vitória profissional – que inclusive reflete no bônus – mas também porque falta um entendimento inicial de como a segurança é administrada. Então, como sobreviver?

Definir o nível de risco ao qual a empresa está disposta a ser submetida é a primeira etapa. Não basta fazer uma Análise de Risco e ter os resultados em mãos para apresentar, é necessário sentar com as pessoas que pagam a conta e deixar muito claro quais vulnerabilidades existem, que problemas podem advir da exploração das mesmas e qual é a relação entre os custos para resolver e o impacto decorrente.

Quando isto acontece, você pode receber a excelente notícia de que os recursos necessários para corrigir as vulnerabilidades e mantê-las fora do radar serão fornecidos. Ou que a empresa não pode investir nisto no momento, o que é frustrante, mas acontece em boa parte dos lugares.
Nesta segunda opção, você deve documentar de forma clara – ou seja, pegar a assinatura de quem assume o risco – que o problema foi apresentado, aceito e a empresa optou por não agir. Este documento deve ser revisado periodicamente e usado não só como ferramenta de discussão com auditores, mas também como instrumento de análise contínua de risco e busca de investimentos na área.

Um bom auditor vai aceitar o documento e ir direto à área que optou pelo risco, para entender porque isto aconteceu e o quanto problemático para a empresa é ficar com uma vulnerabilidade em aberto. Os frameworks (ex. ISO 27001 e CobiT) )disponíveis no mercado cumprem muito bem esta função, pois permitem o mapeamento do ambiente, a análise e a gestão de riscos, com base em melhores práticas adotadas pelo mercado.

Esse Quam Qui Videre

Não somente parecer, mas realmente ser. A frase usada por alguns autores romanos, em especial Cícero em De amicitia e mostra o espírito de como a segurança deve ser administrada. Manter relatórios e controles que são puro vaporware é uma prática comum em algumas empresas, que vêem nisso uma excelente ferramenta para mostrar que existe um controle eficaz implantado.

Um exemplo recorrente são os logs de servidores. Nos meus tempos de auditor – sim já fui um – cansei de ver quilos de papel onde estavam impressos os logs de um determinado servidor de arquivos e ninguém analisava aquela informação, o que era impossível fazer manualmente. Não tem escapatória. Os controles de segurança e ferramentas de gestão devem ser desenvolvidos de acordo com a realidade de mercado e orçamento disponível de cada empresa, o valor que ela dá para a Segurança da Informação, e principalmente, ter um processo de gestão de condizente com o que os “donos do negócio”  acham importante.

Isso está claramente relacionado ao tópico anterior, e defender um controle vaporware não só deixa qualquer auditor irritado em ver seu tempo desperdiçado, como também mostra uma falta de entendimento da gestão de segurança, e a conseqüente incompetência na função. É impossível controlar tudo. Um bom auditor sabe disso e entenderá perfeitamente se falhas forem encontradas, desde que elas tenham sido previamente identificadas, os problemas endereçados às áreas competentes e constantemente revisados.

A palavra chave neste sentido é o Gerenciamento de Risco, que está relacionado à como os frameworks são administrados dentro da organização. Não confunda o fato de ter um framework implementado, que não necessariamente significa que os riscos são geridos de forma adequada. Se a organização onde você trabalha valoriza muito os quilos de papel, assinaturas em todos os cantos e nunca consegue recursos para administrar isto tudo, mostre o quanto inútil é esta situação. Se os “donos do negócio” persistirem, procure outro lugar, esta posição é nociva para a carreira de qualquer um.

Per ardua ad Astra

Uma frase utilizada pela Royal Air Force britânica, literalmente significa “através das adversidades, em direção às estrelas”. Trazendo para a nossa realidade, não importa o tamanho do problema, ele deve ser resolvido. Mesmo parecendo uma bobagem, é mais do que comum ver empresas onde os problemas de segurança não são resolvidos porque “dão muito trabalho” ou “as pessoas não quiseram fazer”. Se estas frases saem da boca de um Security Officer, ele está na função errada.

Apresentar um problema para um auditor e dizer que ele não foi resolvido porque é complicado, é dar um tiro no pé. Mostra falta de determinação na função de gestão (um problema do Security Officer) ou limitação no entendimento da importância da função (um problema da organização). Insisto em recorrer aos dois tópicos anteriores, para que o trabalho seja feito de forma adequada, é necessário que o Security Officer tenha os poderes adequados à função e saiba fazer bom uso dos mesmos.

Eu já vi em duas ocasiões, um relatório de auditoria apontar que a falta de entendimento da organização sobre o papel do Security Officer era a causa dos problemas. Em uma delas que era do segmento financeiro, o CIO foi trocado.

Semper fidelis

Já li estudos de empresas conceituadas afirmarem que uma auditoria é fundamentalmente um processo de negociação. Se isto for visto como uma explicação detalhada dos processos e controles utilizados, concordo. Se for visto como um jogo de gato e rato onde o auditor acha um ponto e o Security Officer tem que defender a organização contra ele, temos um problema ético nas mãos.

Existe aí um ponto crucial. Se o Security Officer tem em mãos um processo de gestão adequado, onde as vulnerabilidades são tratadas da forma correta, não há negociação, há explicação e entendimento do que é feito. Semper fidelis é um termo usado pelos marines norte-americanos e significa “sempre confiável”.

Para sobreviver a uma auditoria de sistemas é necessário manter um ambiente confiável, ser confiável e usar palavras certas e precisas nas discussões. Isso é simples, mas exige dedicação profissional, preparação acadêmica, atualização constante e apoio da organização. Como em qualquer emprego onde se queira ser bem sucedido.

O maior problema que vejo é a insistência de muitas organizações de tratarem a Segurança da Informação como um item menor, e não como um processo crucial para manter a competitividade – guardadas as proporções de acordo com o segmento onde elas atuam, é claro. É nosso papel como profissionais da área mudar isso. Participar de associações com voz ativa no mercado, insistir com o Governo para que leis relevantes sejam aprovadas, esclarecer aos nossos pares e chefes do que tratamos e desmistificar a função, é o que temos que fazer. Chega de “seu site pode ser invadido” ou “isso pode causar um grande prejuízo que não podemos calcular”.

Sejamos objetivos, precisos, profissionais e bem posicionados. É assim que auditores e Security Officers devem agir, não é mesmo?

Ontem estava voltando ao hotel por Nørrebro quando fui parado por uma moça da Estônia, que estava angariando fundos para um programa de educação em Moçambique. Apesar de eu não ter contribuído, creio que ela gostou da rara oportunidade de falar em português com alguém, uma vez que Copenhague não é nenhuma Miami …

E daí? Daí que a Estônia é um pequeno país no Mar Báltico que desde que se desmembrou da União Soviética, fez da Internet uma ferramenta de suporte intenso para todos os setores da sociedade. E durante maio de 2007, uma série de cyberataques vindos da Rússia, praticamente tiraram o país do ar por algumas horas.

E ontem foi publicada na Gazeta do Povo uma notícia que informava: todo o sistema de informação da Segurança Pública do Paraná e do Detran-PR está fora do ar desde o fim da tarde de quinta-feira em decorrência de uma pane no servidor da Companhia de Informação do Paraná (Celepar) - empresa responsável pelo desenvolvimento de tecnologia da informação e comunicação do Governo do Paraná. Ainda não há previsão de quando o sistema estará disponível.

Se a sua empresa presta serviços para o desenvolvimento de Planos de Contingência, olha aí a oportunidade de vender. Mas vá rápido, se a Estônia conseguiu colocar o país inteiro no ar e se defender dos ataques em menos de 72 horas, uma simples pane como esta deverá ser resolvida muito rapidamente …

 Passei essa semana longe de casa, e quando fiz um complicado vôo internacional de duas conexões, a TAM conseguiu mudar o meu plano de vôo e perder a minha mala porque não houve algo simples entre os aeroportos de Curitiba e Guarulhos: troca de informações. ”

Nos EUA as empresas estão tentando mudar este cenário, notem os últimos parágrafos da matéria, onde o autor questiona “No entanto, por outro lado, as melhorias são preocupantes porque trazem à tona a estratégia relativamente primitiva do setor para lidar com as interrupções de serviços. “Por que demoraram tanto?”.

Em relação ao meu vôo, paguei econômica e fui de Primeira Classe. Nada mal para quem reclama tanto da TAM e ainda insiste em acreditar que a empresa pode ficar boa um dia …

Empresas aéreas dos EUA investem em sistemas para reduzir atrasos

Promessas serão testadas com o início da temporada de viagens no país. No final de 2006, American Airlines chegou a controlar aviões usando bloco de papel.

A qualquer momento do dia, as potentes redes de computadores do setor aéreo estão definindo tarifas, monitorando reservas e calculando a quantidade de combustível necessária para cada avião chegar ao seu destino.

Mas quando uma tempestade fechou o aeroporto internacional Dallas-Fort Worth no dia 29 de dezembro do ano passado, obrigando a American Airlines a desviar 130 aviões para outros aeroportos da região, qual sistema de alta tecnologia entrou em ação na maior companhia aérea do mundo? “Um bloco de papel”, disse Don Dillman, diretor administrativo da central de operações da American aqui, onde os controladores direcionam vôos do mundo inteiro.

Na ausência de qualquer sistema de ponta para acompanhar todos aqueles aviões com rotas desviadas, Dillman e seus colegas, ensandecidos, rabiscavam às pressas os detalhes sobre o destino desses aviões, quanto tempo permaneceram parados nesses locais e se os pilotos tinham tempo suficiente de acordo com seus limites diários de trabalho para continuarem voando quando o tempo voltou a abrir. O saldo: 44 desses aviões ficaram estacionados na pista por mais de quatro horas.

Esse episódio, entre outros, incluindo o mesmo problema ocorrido com a JetBlue Airways, com 21 aviões estacionados sem decolar por mais de quatro horas em Nova York em fevereiro, expôs as fragilidades do setor e disparou protestos dos consumidores e pedidos de regulamentações mais rígidas no setor aéreo.

Fez ainda com que muitas companhias aéreas entrassem em um delírio de programação de computadores a fim de reduzir os constrangedores lapsos de serviços. Agora, depois de atualizarem seus softwares, as companhias aéreas alegam que conseguirão cumprir as promessas de não encurralar passageiros dentro de aviões parados.

Essas promessas serão testadas com o início da temporada de viagens dos feriados de fim de ano e com as tempestades de inverno atingindo aeroportos de todo os Estados Unidos.

Melhorias
As melhorias tecnológicas da American são, num certo sentido, promissoras. Caneta e papel foram substituídos por programas de computador que exibem informações de vôos de uma maneira que deve ajudar a evitar longas esperas nas pistas e as outras interrupções nos serviços que tanto enfurecem os passageiros. Os gerentes da cúpula agora também recebem automaticamente mensagens de texto quando as coisas começam a ficar desordenadas.

Foram feitas melhorias semelhantes na JetBlue e na United Airlines. Outras grandes empresas possuem softwares parecidos ou estão no processo de adquiri-los, segundo afirmam.

No entanto, por outro lado, as melhorias são preocupantes porque trazem à tona a estratégia relativamente primitiva do setor para lidar com as interrupções de serviços. “Por que demoraram tanto?”, disse Mark Mogel, engenheiro de software aposentado que ficou dentro de um avião parado na pista durante cinco horas em um vôo da American em 2001. Depois do incidente, ele se uniu a outros passageiros que haviam passado pela mesma experiência para fazer lobby no congresso pedindo limites para as esperas nas pistas de embarque.

Demora
Os tipos de programas que a American e outras companhias estão instalando não são nem caros demais, nem representam “um enorme avanço” tecnológico. Portanto, poderiam ter sido implementados anos atrás, afirmou Mogel. Impedir que os passageiros fiquem presos dentro de um avião sem decolar “é apenas uma questão de boa ou má vontade” das companhias, acrescentou ele.

As empresas aéreas também prometeram não manter os passageiros parados dentro de aviões nas pistas de embarque depois que um vôo da Northwest Airlines ficou horas aguardando para decolar em Detroit, em 1999, mas depois voltaram a agir de modo relapso.

Monte E. Ford, diretor de informações da American, admitiu que os programas que ajudariam a agilizar a recuperação em dias de tempestades e outras interrupções foram desenvolvidos com excessiva lentidão. “Por que isso não foi feito antes?”, questionou Ford. “Não havia tanta sensação de urgência. Não havia tanta preocupação com os atrasos.”

A American e outras companhias aéreas desenvolveram sistemas de computador de ponta antes de 1990. Mas os investimentos foram reduzidos depois disso, disse ele. Quando ele entrou na empresa em 2001, “os sistemas back-end estavam obsoletos e a rede já estava pequena demais”, acrescentou Ford.

Além disso, quando a American se preparava para fazer grandes investimentos em computadores, os ataques terroristas de 11 de setembro de 2001 aconteceram e com eles veio o profundo declínio do setor aéreo. Os gastos com tecnologia foram reduzidos. “Isso mudou nosso perfil de investimento, passando da inovação para a sobrevivência”, explicou Ford.

Tradução: Claudia Freire