Profissionais TI - Pra quem respira informação

Uma das coisas que sempre me incomodou profundamente nas empresas por que passei, como colaborador ou consultor, é a noção equivocada de que teoria não serviria para nada ou de que seria coisa acadêmica e sem utilidade no mundo dos negócios. Discordo! Aliás, foram inúmeras as vezes em que a teoria direcionou a minha prática e me salvou de enrascadas fenomenais.

A prática, tão valorizada talvez por estar tão próxima dos resultados perceptíveis nos projetos, não passa de um caso particular da teoria, assim como a tecnologia não passa de um caso particular da ciência. Casos particulares perecem diante das mudanças e tecnologias são substituídas com o tempo, mas a teoria e a ciência são perenes e seguem sempre salvando a pele de quem sabe aplicá-las.

Arrisco dizer que quem experimenta uma situação de distância grande entre teoria prática, na verdade negligenciou a análise da situação e, com pouca informação, tira conclusões imprecisas pautado numa boa teoria e numa análise enganosa da prática.

Dito isso, dedico o resto do meu post a apresentar um modelo teórico que eu criei para Segurança da Informação chamado Matriz de Acessos.

Não tenho certeza absoluta de que esse modelo seja original, mas afirmo que nunca o vi escrito por aí e se já existe, constitui coincidência. Tive a ideia em 2013, quando buscava uma maneira de ilustrar Conformidade de Acesso em uma reunião de trabalho e o modelo brotou em minha mente. Mais tarde, em 2015, acabei usando o mesmo modelo para mapear a questão da Segurança da Informação diante de um executivo que não tinha muita intimidade com o assunto e, diante do sucesso, percebi que o modelo pode ajudar outros Líderes de Segurança da Informação a segmentar o tema.

Acreditem: tema segmentado é mais fácil de explicar para um alto executivo e ajuda muito na hora de organizar e priorizar os projetos.

Acesso pode ser definido pela capacidade de um indivíduo ou grupo de indivíduos de alcançar uma informação. Diante disso, um líder de Segurança da Informação tem duas grandes missões acerca do tema.

A primeira é definir junto ao negócio, quem deve ter acesso a quais informações dentro da empresa, seja em sistemas, em papel ou qualquer outro meio. É fato que as pessoas responsáveis pelo negócio possuem muito mais sensibilidade sobre qual informação pode e qual não pode ir parar nas mãos do concorrente ou circular livremente na empresa. Também é fato de que dificilmente haverá engajamento na questão da Segurança se não estivermos protegendo as informações que a empresa julgue importante proteger.

A segunda missão é garantir de que essa definição se materialize, ou seja, fazer com que o acesso aos meios em que a informação reside esteja protegido de modo a garantir sua confidencialidade, integridade e disponibilidade. Em outras palavras, é garantir que a informação estará sempre disponível e íntegra mas apenas para os colaboradores que precisam dela para realizarem suas funções.

A matriz de acesso relaciona exatamente esses dois aspectos: precisar ou não da informação para trabalhar versus ter ou não acesso de fato à informação.

A Matriz de Acesso possui duas linhas e duas colunas. As colunas representam a questão de precisar do acesso e as linhas representam a questão de ter ou não o acesso. O primeiro impulso ao ler isso é intuir que o problema está nos casos em que as pessoas possuem o acesso mas não precisam dele para trabalhar e, portanto, não deveriam tê-lo: é o caso representado pela maçã. Entretanto, há problemas para serem resolvidos pela Segurança da Informação em todos os quadrantes da matriz e não faltam assuntos e projetos para preenchê-la.

Agora vamos analisar cada um dos quadrantes.

1.  A maçã representa as situações em que o indivíduo não deveria ter acesso mas tem. São os acessos desnecessários, que não ajudam em nada o trabalho da pessoa mas estão lá, oferecendo apenas a possibilidade de uso indevido, dado que não há uso devido da informação nos processo de trabalho que a pessoa executa. É pura tentação e por isso a maçã. Os riscos do acesso desnecessário são para a confidencialidade e, dependendo do acesso, para a integridade da informação. Os programas/projetos que endereçam essa questão são tipicamente Gestão de Identidades, Controle de Acesso e Revisão Periódica de Acesso.

2.  A placa de “pare” refere-se ao caso em que o indivíduo deveria ter acesso mas não tem. Escolho esse símbolo porque a falta de informação necessária faz com que os processos de negócio simplesmente parem. Isso é tão crítico para a empresa que a reação imediata de um colaborador impossibilitado de gerar seus resultados por falta de acesso à informação quase sempre é violar as políticas de acesso tipicamente através do empréstimo de credenciais. Mas há os casos em que nem esse recurso desesperado adianta. São as interrupções de serviço, também chamadas no mundo da Segurança da Informação de “desastres”. Os riscos ligados a esse quadrante são os de disponibilidade. Os programas/projetos ligados a esse quadrante são: Automação de Acesso, Aferição/Auditoria de Políticas de Backup, Plano de Recuperação de Desastres (DRP) e Plano de Continuidade de Negócios (BCP).

3.  A máscara de bandido representa os casos em que o indivíduo não deveria ter acesso e de fato não tem. Ora se as pessoas que não deveriam ter acesso não têm, então não há problema. Será? Será que não é possível “torcer” o sistema e obter ou modificar as informações mesmo sem ter acesso para fazê-lo, ou talvez roubar/adulterar um documento em papel ou até mesmo convencer uma pessoa a me passar informações que eu não deveria ter? Em outras palavras, será que meus controles de acesso são de fato efetivos? Ou será que meu ambiente de tecnologia, padrão comportamental e processos de trabalho possuem vulnerabilidades que possam ser ou que já estejam sendo exploradas? Este tema põe em cheque todos os controles e portanto abriga os três tipos de risco: confidencialidade, integridade e disponibilidade. Os programas/projetos desse quadrante são Gestão de Vulnerabilidades, Engenharia Social, Monitoramento de Eventos de Segurança, Inteligência de Segurança e Ferramentas de Proteção em Geral.

4.  O último quadrante refere-se aos acessos corretos, isto é, às pessoas que deveriam mesmo ter o acesso e têm. Há riscos aqui? Sim! E são os piores pois residem no aspecto comportamental do colaborador. É o chamado abuso de acesso lícito. A pergunta aqui é: Será que as pessoas estão fazendo o uso correto da informação? Será que não estão vendendo a informação para o concorrente, ou usando o acesso para fraudar a empresa? Por colocar o fator humano no centro das atenções, esse quadrante também abriga riscos dos três tipos. Os programas/projetos relativos a este quadrante são: Segregação de Função, Controle de Vazamento de Informações, Prevenção a Fraudes, Vigilância da Rede e Programas de Conscientização.

Aproveitem o modelo à vontade para ajudar seus executivos a enxergar com mais clareza a conexão entre Segurança da Informação e o negócio da empresa. Ele tem se mostrado útil para localizar os projetos dentro das problemáticas comuns de Segurança. Colocando riscos e programas corporativos na matriz, encerro o artigo dessa semana com a matriz preenchida e pronta para ajudar a justificar projetos.

Um abraço e até o próximo post!

Publicado originalmente em Blog Ticiano Benetti