Uma versão em PDF deste artigo está disponível para download na página Meus Documentos deste blog.

Uma das coisas que sempre gostei em práticas de linguagem e comunicação foi de expressões em latim que sintetizam situações, algo bastante usado por advogados e juristas. Uma delas é Si vis pacem, para bellum, que literalmente significa Se você quer paz, prepare-se para a guerra. Preparar a sua empresa para uma auditoria de sistemas é exatamente isso, ter muito trabalho para enfrentar uma situação que pode resultar em um grande problema, ou ser uma mera formalidade.

O primeiro artigo desta série mostra os 10 tópicos que são vistos com mais freqüência pelos auditores de sistemas, porque eles podem ser problemas se não tratados adequadamente e como evitar que cada um se transforme em uma encrenca.
Nesta segunda parte, vou abordar de forma simplificada a postura dos auditores e Security Officers no processo, as características mais comuns de uma auditoria de sistemas e que tipo de ações devem ser feitas para simplificar o processo, transformando a atividade em uma formalidade que não deve dar problemas para ninguém, e sim ajudar ambas as partes a criarem um ambiente mais seguro para seus clientes.

Quis Custodiet Ipsos Custodis

A tradução desta expressão é “quem irá vigiar os vigilantes”, e se aplica muito bem ao papel de um auditor de sistemas. Normalmente, ele é contratado para identificar problemas em um ambiente informatizado cuja segurança deve ser administrada por um Security Officer. Ou seja, ele deve ajudar a empresa a manter o nível adequado de segurança fazendo uma análise independente. Quando o processo se mantém a este escopo, a auditoria é uma excelente ferramenta para o CIO, que tem uma visão de onde deve investir em controles adicionais e remover aqueles que não dão o resultado esperado, e também para o Security Officer, que tem na auditoria uma revisão de qualidade do seu trabalho e uma garantia para a organização que ele está sendo vigiado de forma adequada.

O problema é quando a auditoria é transformada em uma ferramenta política, na qual um ponto irrelevante é transformado em um problema. Isto acontece não só porque alguns auditores vêem na obtenção de pontos uma vitória profissional – que inclusive reflete no bônus – mas também porque falta um entendimento inicial de como a segurança é administrada. Então, como sobreviver?

Definir o nível de risco ao qual a empresa está disposta a ser submetida é a primeira etapa. Não basta fazer uma Análise de Risco e ter os resultados em mãos para apresentar, é necessário sentar com as pessoas que pagam a conta e deixar muito claro quais vulnerabilidades existem, que problemas podem advir da exploração das mesmas e qual é a relação entre os custos para resolver e o impacto decorrente.

Quando isto acontece, você pode receber a excelente notícia de que os recursos necessários para corrigir as vulnerabilidades e mantê-las fora do radar serão fornecidos. Ou que a empresa não pode investir nisto no momento, o que é frustrante, mas acontece em boa parte dos lugares.
Nesta segunda opção, você deve documentar de forma clara – ou seja, pegar a assinatura de quem assume o risco – que o problema foi apresentado, aceito e a empresa optou por não agir. Este documento deve ser revisado periodicamente e usado não só como ferramenta de discussão com auditores, mas também como instrumento de análise contínua de risco e busca de investimentos na área.

Um bom auditor vai aceitar o documento e ir direto à área que optou pelo risco, para entender porque isto aconteceu e o quanto problemático para a empresa é ficar com uma vulnerabilidade em aberto. Os frameworks (ex. ISO 27001 e CobiT) )disponíveis no mercado cumprem muito bem esta função, pois permitem o mapeamento do ambiente, a análise e a gestão de riscos, com base em melhores práticas adotadas pelo mercado.

Esse Quam Qui Videre

Não somente parecer, mas realmente ser. A frase usada por alguns autores romanos, em especial Cícero em De amicitia e mostra o espírito de como a segurança deve ser administrada. Manter relatórios e controles que são puro vaporware é uma prática comum em algumas empresas, que vêem nisso uma excelente ferramenta para mostrar que existe um controle eficaz implantado.

Um exemplo recorrente são os logs de servidores. Nos meus tempos de auditor – sim já fui um – cansei de ver quilos de papel onde estavam impressos os logs de um determinado servidor de arquivos e ninguém analisava aquela informação, o que era impossível fazer manualmente. Não tem escapatória. Os controles de segurança e ferramentas de gestão devem ser desenvolvidos de acordo com a realidade de mercado e orçamento disponível de cada empresa, o valor que ela dá para a Segurança da Informação, e principalmente, ter um processo de gestão de condizente com o que os “donos do negócio”  acham importante.

Isso está claramente relacionado ao tópico anterior, e defender um controle vaporware não só deixa qualquer auditor irritado em ver seu tempo desperdiçado, como também mostra uma falta de entendimento da gestão de segurança, e a conseqüente incompetência na função. É impossível controlar tudo. Um bom auditor sabe disso e entenderá perfeitamente se falhas forem encontradas, desde que elas tenham sido previamente identificadas, os problemas endereçados às áreas competentes e constantemente revisados.

A palavra chave neste sentido é o Gerenciamento de Risco, que está relacionado à como os frameworks são administrados dentro da organização. Não confunda o fato de ter um framework implementado, que não necessariamente significa que os riscos são geridos de forma adequada. Se a organização onde você trabalha valoriza muito os quilos de papel, assinaturas em todos os cantos e nunca consegue recursos para administrar isto tudo, mostre o quanto inútil é esta situação. Se os “donos do negócio” persistirem, procure outro lugar, esta posição é nociva para a carreira de qualquer um.

Per ardua ad Astra

Uma frase utilizada pela Royal Air Force britânica, literalmente significa “através das adversidades, em direção às estrelas”. Trazendo para a nossa realidade, não importa o tamanho do problema, ele deve ser resolvido. Mesmo parecendo uma bobagem, é mais do que comum ver empresas onde os problemas de segurança não são resolvidos porque “dão muito trabalho” ou “as pessoas não quiseram fazer”. Se estas frases saem da boca de um Security Officer, ele está na função errada.

Apresentar um problema para um auditor e dizer que ele não foi resolvido porque é complicado, é dar um tiro no pé. Mostra falta de determinação na função de gestão (um problema do Security Officer) ou limitação no entendimento da importância da função (um problema da organização). Insisto em recorrer aos dois tópicos anteriores, para que o trabalho seja feito de forma adequada, é necessário que o Security Officer tenha os poderes adequados à função e saiba fazer bom uso dos mesmos.

Eu já vi em duas ocasiões, um relatório de auditoria apontar que a falta de entendimento da organização sobre o papel do Security Officer era a causa dos problemas. Em uma delas que era do segmento financeiro, o CIO foi trocado.

Semper fidelis

Já li estudos de empresas conceituadas afirmarem que uma auditoria é fundamentalmente um processo de negociação. Se isto for visto como uma explicação detalhada dos processos e controles utilizados, concordo. Se for visto como um jogo de gato e rato onde o auditor acha um ponto e o Security Officer tem que defender a organização contra ele, temos um problema ético nas mãos.

Existe aí um ponto crucial. Se o Security Officer tem em mãos um processo de gestão adequado, onde as vulnerabilidades são tratadas da forma correta, não há negociação, há explicação e entendimento do que é feito. Semper fidelis é um termo usado pelos marines norte-americanos e significa “sempre confiável”.

Para sobreviver a uma auditoria de sistemas é necessário manter um ambiente confiável, ser confiável e usar palavras certas e precisas nas discussões. Isso é simples, mas exige dedicação profissional, preparação acadêmica, atualização constante e apoio da organização. Como em qualquer emprego onde se queira ser bem sucedido.

O maior problema que vejo é a insistência de muitas organizações de tratarem a Segurança da Informação como um item menor, e não como um processo crucial para manter a competitividade – guardadas as proporções de acordo com o segmento onde elas atuam, é claro. É nosso papel como profissionais da área mudar isso. Participar de associações com voz ativa no mercado, insistir com o Governo para que leis relevantes sejam aprovadas, esclarecer aos nossos pares e chefes do que tratamos e desmistificar a função, é o que temos que fazer. Chega de “seu site pode ser invadido” ou “isso pode causar um grande prejuízo que não podemos calcular”.

Sejamos objetivos, precisos, profissionais e bem posicionados. É assim que auditores e Security Officers devem agir, não é mesmo?

Trackback URI | Comments RSS