Como era de se esperar, achei muita informação. Até descobri o problema que eu tinha: nome científico, tratamento, clínicas especializadas, remédios mais usados, reações adversas e muitos fóruns com pessoas conversando sobre o assunto. Foi tudo muito esclarecedor. E errado!

Não sou médico, não conheço as implicações dos sintomas que sinto, não tenho conhecimentos para interpretar corretamente as informações encontradas na internet. Resultado: durante vários e vários meses tive a certeza de que tinha um problema específico. Agora, voltando de férias, fiz o que deveria ter feito há muito tempo: fui a um médico especialista. E, claro, meu petulante “diagnóstico” estava errado.

Bom, mas então o Google não funciona, não é útil? O Google é perigoso? Não, claro que não, basta usá-lo com bom senso. Eu sei disso, eu sabia disso, mas por algum motivo ignorei tudo que sabia. E convivi – por vários meses – com uma “doença” que não tinha. Quanto desperdício de vida!

O Google pode e deve ser usado bastante, mas como uma ferramenta adicional de informações – principalmente no caso de assuntos que não dominamos. Hoje, por exemplo, farei um exame à tarde. O Google já me avisou: será dolorido! Acredito ou não acredito? E o que será “dolorido”? Tirar sangue dói, não dói? Fazer uma ressonância pode ser claustrofóbico, não é? Já fiz exame de sangue e nem dá para dizer que doeu; já fiz ressonância e não fiquei angustiado – por mais que o Google afirmasse o contrário.

Bom, hoje no final do dia saberei se meu exame foi dolorido. Talvez eu até entre em um ou outro fórum para deixar minha opinião. A internet é o que fazemos dela! As respostas do Google dependem da qualidade do que escrevemos. Bom Google para todos!

Fator Humano e Engenharia Social

Todos os sistemas informatizados, dos mais simples aos mais complexos, são desenvolvidos no intuito de serem eficientes e seguros, ou seja, com o objetivo de proverem produtividade ao mesmo tempo que protegem informações. Porém, todo sistema, por mais bem planejado que seja, sempre depende de uma intervenção humana que, se for falha, pode comprometer o mais consistente dos sistemas.

Uma vez que o sistema está sujeito à intervenção humana, também está sujeito a todas as suas fraquezas. As pessoas muitas vezes não estão cientes da importância das informações que detém, ou mesmo das consequências do mau uso destas. Uma vez que não estão conscientes de sua importância não se cercam de cuidados que possam evitar problemas.

Pessoas também costumam ser vaidosas e consequentemente mais receptivas quando recebem uma avaliação positiva em relação à sua personalidade ou profissão. Buscam transmitir confiança, demonstrações que fazem algo bem, e que possuem domínio sobre determinado assunto, além de valorizar suas habilidades pessoais, técnicas ou profissionais. Estes fatores se unem à vontade de ser útil, a busca por novas amizades ou relacionamentos profissionais, e tornam as pessoas suscetíveis a entregarem informações importantes, crendo que estão provando sua capacidade, porém, uma pessoa com poder de persuasão, e que saiba explorar estes fatores, facilmente pode obter informações importantes, e até mesmo confidenciais.

A Engenharia Social é um conjunto de práticas, usadas com o objetivo de obter informações importantes, explorando basicamente a confiança das pessoas. Dentro do contexto de um sistema de segurança da informação é uma forma de ataque não técnica, uma vez que não é necessário qualquer conhecimento de tecnologia. O foco é integralmente nas habilidades interpessoais, utilizadas para ganhar a confiança das pessoas utilizando-se de diversas técnicas para isso.

O processo de Engenharia Social se inicia com a coleta de informações. O hacker ou engenheiro social busca as mais diversas informações dos usuários, tais como: número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão a estabelecer uma relação com alguém da empresa visada. A coleta de informações pode ser feita em diversas fases, obtendo informações de uma pessoa, que poderá levar a outra e assim por diante até atingir aquele que possui a informação que realmente interessa. O engenheiro social explora a natureza humana de ser confiante. Procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito que serão utilizados no ataque. Dependendo do grau de acesso que o criminoso tem dentro de uma empresa, pode se aproveitar também do descuido, de informações expostas enquanto deveriam estar protegidas, seja na forma de um papel esquecido em cima da mesa, ou mesmo escutando uma conversa na hora do café. E uma vez formada a base de conhecimento o ataque propriamente dito é executado, atingindo a empresa ou pessoa, através do uso de todas as informações obtidas.

As empresas de pequeno porte conhecidamente não possuem grandes responsabilidades com política ou sistemas de segurança, e é notável o quanto estão expostas suas informações. Em um cenário oposto estão as empresas de grande porte, muito fortes nesses aspectos, com conhecida burocracia interna, e diversos processos de controle bem definidos.

Prevenção

A prevenção contra ataques de Engenharia Social é facilmente estabelecida quando os esforços são concentrados diretamente sobre as pessoas, uma vez que, dispositivos de segurança como hardware ou software podem ser ineficazes contra este tipo de ameaça.

O primeiro passo é educar e treinar. É fundamental conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Imprescindível esclarecer também, como age um engenheiro social, demonstrar seus métodos, utilizar exemplos reais e ilustrar como ocorre um ataque. A decisão de simplesmente demonstrar o valor da informação, pode ter seu efeito controverso quando esta é percebida por pessoas que agem de má fé, sendo assim, deve-se mostrar a responsabilidade do indivíduo sobre a informação e as conseqüências de sua má administração.

De qualquer forma as técnicas de Engenharia Social visam burlar justamente a parte psicológica das pessoas, e por isso, deve-se cercar de outros cuidados. Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização são os primeiros cuidados. Quanto menos pessoas tiverem acesso à informação, menos pontos de vulnerabilidade serão criados, consequentemente, menos serão as chances de um engenheiro social atingir seu objetivo.

As políticas de segurança tem papel fundamental neste processo de proteção da informação, pois além de orientar as pessoas, estabelecem aquilo que é permitido ou proibido, permite que medidas punitivas sejam tomadas e assim materialize as consequências que desvios de conduta podem ter contra a pessoa que os pratica.

No caso da Engenharia Social, pouco importa se a senha é curta ou extensa, simples ou complexa, os métodos se aplicam para qualquer uma delas. Uma vez que as senhas complexas podem ser descobertas da mesma forma, a complexidade só burocratiza o sistema e aborrece os usuários que correrão maior risco de esquecê-las. Este aborrecimento fará com que se perca a confiança do usuário, este que por consequência, repudiará todo o treinamento recebido e passa a ser mais vulnerável. Lamentavelmente, o mais provável a acontecer é o usuário anotar sua senha e deixar em lugar de fácil acesso para consultá-la.

Em suma, é evidente que o fator humano é crítico dentro de um sistema de segurança, tanto pelo poder de comprometê-lo como pela pouca atenção que recebe. A Engenharia Social, neste contexto, torna-se uma ferramenta perigosa e capaz de explorar as falhas humanas em suas características mais profundas. As empresas investem uma quantidade cada vez maior de recursos em tecnologia para se protegerem, mas deixam de lado o ponto mais fraco que é a intervenção humana.

A conscientização dos funcionários e o estabelecimento de políticas claras de segurança são medidas fundamentais, mas não as únicas, quando se quer evitar a falha humana, e principalmente que deve ser dada a significativa importância ao valor que as pessoas representam dentro de um sistema de segurança da informação.

Até a próxima!

Deixem seus comentários e visitem meu blog em rcdelgado.wordpress.com

Nesse contexto, as informações das empresas são vitais para o funcionamento das mesmas, afetam e influenciam a produtividade, a lucratividade e as decisões necessárias para o bom funcionamento dos negócios. Para processar essas informações tão importantes são necessários recursos tecnológicos e pessoas para gerenciar os processos.

Com essa importância das informações, aparecem os SIG – Sistema de Informação Gerencial dando suporte às funções de planejamento, de controle e organização de um negócio. Ele fornece informações seguras e em tempo hábil para a tomada de decisões importantes.

Para que uma empresa possa utilizar as vantagens do SIG, é preciso que alguns fatores sejam analisados, como por exemplo, o envolvimento da média e alta direção, com isso, nota-se a importância de estarem todos envolvidos em objetivos comuns de melhorar o fluxo de informações dentro do ambiente de negócios. Sem o envolvimento de todos os tipos de líderes, o SIG não terá tanta efetividade.

Outro fator que deve ser analisado é a atenção específica ao fator humano dentro da empresa. Colocar uma pessoa com habilidade e com comunicação para implementar o SIG é de vital importância, pois precisa-se de comunicação constante.

O objetivo maior é deixar a empresa preparada para utilizar os recursos tecnológicos disponíveis de forma eficiente. Para conseguir atender as demandas do mercado de clientes atual, as empresas estão buscando soluções para se diferenciarem das outras e ganharem assim competitividade no seu tipo de negócio. Conseguir tomar decisões rapidamente e de maneira efetiva é ideal para atingir os resultados esperados.

O SIG entra nesse requisito, precisa-se de algo para aperfeiçoar o planejamento e execução das atividades realizadas, precisa-se sincronizar os suprimentos e reduzir custos nas operações realizadas na empresa para aumentar a satisfação dos clientes atendidos e, claro, os lucros do negócio.

O bom desempenho dos sistemas é garantido pela velocidade com que as informações trafegam pela empresa, e são assimiladas, assim, ajudando na tomada de decisões. Esses sistemas gerenciais apóiam na geração de relatórios onde as informações podem ser geradas e analisadas rapidamente.

Se a empresa tem uma boa gestão, um futuro planejado, e consegue pôr a tecnologia disponível atualmente ao seu favor, o SIG só vem para trazer benefícios e agregar valor na empresa, garantindo o gerenciamento eficaz de informações e comunicação dentro do ambiente de trabalho, assegurando a tomada de decisões baseadas em informações úteis, ágeis, e seguras. Como resultados aparentes a empresa ganha a boa comunicação entre gestores e colaboradores, um gerenciamento de informações centralizado, onde pode ser acessado a qualquer momento, agregando valor ao negócio e atendendo com mais qualidade os clientes e gerando uma boa gestão de informação.

Com tanta coisa acontecendo, precisamos de infraestrutura para tanta informação!

As pessoas envolvidas não precisam saber gerar informação, elas precisam saber usar essas informações da melhor forma para o seu tipo de negócio. A TI não é apenas mais um setor da empresa, não deve ser vista apenas do ponto de vista estrutural, deve ser considerada um fator chave determinante para o sucesso do negócio. Afinal, a informação é o maior patrimônio da empresa! Por isso, deve ser gerida de forma única.

Integrar os processos de negócio com toda a tecnologia existente exige um esforço contínuo dos gestores e profissionais responsáveis pela organização. Só poderá ser tirado o máximo de desempenho de tecnologias e aliar aos procedimentos quando a importância dessa integração estiver clara para todos envolvidos.

Para os gestores é mais do que importante saber que é preciso digitalizar processos antigos que são realizados manualmente, para agilizar de alguma forma e utilizar a tecnologia a seu favor. Sabe aquela velha tabela de custos? Ou a agenda de telefones de clientes? Que tal digitalizar tudo isso e facilitar o acesso, tendo informação disponível sem ter que pegar velhos papéis nos arquivos.

A palavra chave aqui é inovar! Sair na frente daquelas empresas que estão no mesmo tipo de negócio mas que não conseguem pôr a tecnologia a seu favor.

O maior desafio é quebrar a cultura que a empresa criou ao longo dos anos, aderir a novos modelos de gestão, de práticas, unir os setores do negócio em torno de um único objetivo:  alavancar os negócios!

A TI entra com a grande importância que é fazer com que os recursos trabalhem para o negócio, atraindo novos clientes, agregando valor aos serviços prestados e mantendo qualidade impecável.

E o nosso gestor para tudo isso, de preferência, deve ser muito flexível e conseguir montar estratégias que possam fazer tudo isso acontecer de maneira correta, deve estar consciente do ambiente constante de mudanças em que vivemos, onde empresas são moldadas todo dia, onde conflitos aparecem diariamente entre colaboradores, onde clientes se envolvem cada vez mais com produtos e querem sempre a qualidade em primeiro lugar.

Então, as empresas que conseguirem tirar o melhor desempenho de seus recursos terão muito mais chances de permanecer competitivas nesse mercado que é tão surpreendente e inovador.

No dia 24/02 eu estava em SP e pude participar do ISSA day, confesso que apanhei um pouco para entender a palestra em inglês mas no balanço geral, gostei muito.  Depois do evento pensei em escrever este post de como entrar no concorrido mercado de segurança, então abaixo eu listei algumas dicas para ajudar.

A primeira coisa que se deve entender é que a pessoa tem que gostar ou no mínimo estar disposto a deixar de sair, sacrificar final de semana, as vezes a família e amigos para estudar. Isto mesmo que você  leu, se você não gosta de estudar ou não esta disposto a fazer isto, dificilmente você terá sucesso (nesta e em qualquer outra área). Recomendo a leitura OBRIGATÓRIA do artigo “O Perfil do Profissional de Segurança da Informação“.

Outro ponto importante: sem o inglês fica difícil caminhar. Experiência própria. Veja bem, todos os fabricantes de soluções em SI (ou pelo menos a grande maioria ) são de fora do Brasil, as normas brasileiras são baseadas em normas internacionais, os órgãos de certificação e as provas de certificação são em inglês. Não vejo outra saída senão aprender a língua. Mas não é somente o inglês técnico, é inglês de verdade: fluência “verbal e auditiva”.

Certificação: não se iluda, uma certificação NÃO garante o seu emprego, mas garante que você possua um certo nível de conhecimento. Existe muita discussão quanto ao “mal uso” das certificações no processo seletivo por parte das empresas, mas isto é outra história. Sobre qual certificação escolher, eu recomendo que você leia alguns artigos do blog FlipSide: Guia de Certificações em Segurança da Informação – Parte 1, Parte 2a, Parte 2b. Recomendo fortemente a leitura.

Existem outros dois posts que eu recomendo. São do blog My Information Security Job:
7 Things Every Security Professional Should Know e How to Start Your Information Security Career?

E você, tem alguma dica a mais para quem deseja atuar em segurança da informação?

Lendo as novidades do Guia do PC, vi uma matéria muito interessante sobre segurança da informação e gostaria de compartilhar. São 22 perguntas com as respostas de um professor universitário especializado em Segurança da Informação, chamado Mr.Wolf.

FAQ sobre segurança da informação no Fórum do Guia do PC.

Realmente esse tópico é muito importante, sana algumas dúvidas e alerta sobre a segurança do seu computador.

Fonte: Guia do PC, matéria publicada por Paulo Seikishi Higa.

Até a próxima!

Geralmente uma área de segurança da informação (SI) começa dentro da hierarquia de Tecnologia da informação, isso acontece porque os gestores relacionam SI com servidores e senhas, ou seja, controle de acesso em geral. Mas o grande desafio de um gestor de segurança é mostrar que essa não é a única tarefa e que existem situações onde controle de acesso não resolve o problema.

Mas o começo é sempre difícil, isso porque também não existe cultura de segurança, políticas e processos de SI na empresa. Abaixo seguem alguns passos, de uma forma macro, que devem ser seguidos para se iniciar a SI dentro de uma empresa.

1. Mapear os riscos atuais ao negócio da empresa.

• Essa tarefa tem o objetivo de identificar as ameaças que põem em risco as operações da empresa sejam elas pessoas, processos, ou tecnologias.

2. Mapear a cultura interna, principais processos internos e legislação pertinente ao negócio da empresa.

• É preciso entender bem o ambiente da empresa para futuramente definir bem os controles que estejam de acordo com suas operações, identificar melhorias de segurança em processos internos e agir conforme as legislações pertinentes sejam leis ou regulamentações.

3. Definir uma política de segurança.

• A política de segurança da informação é o principal documento que orienta sobre os direitos e deveres relacionados a este assunto. È um documento onde todos devem ter acesso e conhecimento, nela deverá conter diretrizes que visam eliminar ou mitigar os riscos bem como orientar sobre as melhores práticas de SI.

4. Definir as operações básicas cotidianas

• Toda área possui seus serviços executados diariamente, geralmente na área de segurança são:

· Controle de Acesso de usuários;

· Treinamentos internos;

· Análises de riscos;

· Auditorias de conformidades;

· Análises de projetos;

· Análises de segurança em sistemas;

· Análise de segurança de dispositivos de TI;

· Análise de segurança de rede;

· Segurança da informação em contratos e procedimentos internos;

· E outras conforme necessidade da empresa.

Existem outras tarefas que não estão listadas aqui, mas como esse texto é destinado a empresas que estão iniciando seus trabalhos em SI, é preciso mais maturidade para outros processos como: Classificação da informação, Plano de continuidade de negócios, Segurança Física e outros.

Hoje em dia SI está se tornando atividades de gestão de conhecimento e gestão de riscos. Gestão de conhecimento porque devemos e podemos acionar quem for preciso para proteger a empresa, ou seja, colaboradores de outras áreas ou até mesmo outras empresas. E gestão de risco por possuir uma linguagem mais próxima ao corpo executivo da empresa, pois através da mensuração dos riscos podemos estimar as perdas em valores financeiros.

Dessa forma minha conclusão é que a área de SI deve sempre buscar ser uma parceira interna, minimizando os riscos e provendo as condições necessárias para continuidade dos negócios da empresa.

Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa e geralmente junto com esses produtos é preciso um analista que na verdade é um administrador de um produto. Bem como de costume surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado e logo a sua empresa vai precisar se atualizar e adaptar-se as novas tendências de mercado, e é nessa hora que os gestores de SI tem mais um custo que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto.

Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança e sim de operação e administração eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto, na verdade ele precisa ser o que chamamos de “especialista-generalista”, ou seja, ter sólidos conhecimento de SI e possuir conhecimentos suficientes em tecnologias e não em produtos.

A área de SI esta cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra , sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões, políticas, ou seja, exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa identificando as ameaças e vulnerabilidades que ameaçam o negócio.

Para sermos mais específicos vamos dar um exemplo que esta presente em 99% das empresas: os usuários e seus sistemas – imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente, ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio/suporte externo onde geralmente é uma empresa que possui um foco de análise técnica em segurança que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados, que na verdade, serão demandas para as áreas de infra e sistemas.

Alinhar essa nova visão num setor onde o cotidiano esta muito operacional não é tarefa simples, o gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. Lembre-se eu disse combater (minimizar) as ameaças de uma empresa. Uma ilusão de muitos administradores de empresas é que a adoção de ferramentas como antivírus, firewall ou qualquer iniciativa com a finalidade de aumentar a segurança na empresa. Vai garantir a organização 100% de segurança, este é um erro clássico. Mas voltando a nosso tema inicial.

A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Mas como definir o tamanho desta comissão? Para responder esta questão deveremos usar o bom senso e analisarmos alguns pontos:

• Qual é o nível de abrangência eu quero/posso ter
• O tamanho da comissão não vai atrapalhar a produtividade da comissão ou a empresa?
• Quem serão as pessoas a serem convidadas a participarem
• Quem são as pessoas chaves do processo de “produção” da empresa?

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Lembrando que ativo é tudo aquilo que tem algum valor para a empresa, como por exemplo, podemos citar as informações estratégicas, equipamentos e seus funcionários.

Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.