Qual a importância de uma política de backup em um SGSI? 26 de maio de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Tenho certeza que muitos(se não todos) vão se perguntar: Mas que pergunta óbvia é esta que o Marco está colocando?
Exatamente, é óbvio, mas tão óbvio que torna-se um passo simples, e TOTALMENTE posto de lado no que diz respeito a sua importância em uma empresa. Mas por que resolvi escrever sobre isso? É sim um assunto batido, mas que continua com extrema importância.
Vou contar exatamente o motivo.
Essa semana contrataram a MTI Futura(www.mtifutura.com.br) para realizar uma consultoria para a política de backup de uma empresa. Ver pontos a melhorar, pontos de falha e etc, pois a empresa pagava(e muito caro) uma empresa terceira para cuidar do backup, fitas e todos os procedimentos que já conhecemos.
Pois bem….Como quase em 90% dos casos, o backup era realizado corretamente, fitas guardadas de forma correta, longe da empresa, em locais referenciados e tudo conforme as melhores práticas, ATÉ QUE entramos no ponto nevrálgico do assunto, ou seja, como garantir a ccontinuidade do negócio através do restore do backup? Qual confiável seria o retorno das informações guardadas em caso de necessidade. Como validaríamos isso? Simples…testando!
Não me surpreendi com o resultado, pois 100% dos testes não obtiveram sucesso satisfatório, em resumo, a empresa teria sérios problemas em um caso de real necessidade.
Nada disso acima é novidade para todos aqui, mas continua em pauta e é de extrema importância que as empresas PROGRAMEM-SE para testar a validade e confiabilidade de seus backups. O exemplo acima é real, de uma empresa de médio porte e nem precisamos dizer no apuros que esta empresa estaria em caso de um restore, concordam?
Linkando isso ao PCN(Plano de Continuidade de Negócios), vemos como apesar de sabermos o “caminho das pedras”, ainda escorregamos bastante. Motivo? Não tem para onde correr pessoal, o motivo que os responsáveis sempre alegam para a não realização periódica de testes, são somente dois(2): Custos envolvidos e pessoal.
Isso infelizmente continuará em diversas empresas até que a “fatalidade” aconteça. A boa notícia é que tem melhorado, e bastante.
Na sua empresa, além de ter um PCN, já foi testado? Seja de forma macro ou não?
*Quem desejar posso enviar por email os critérios de avaliação da política de backup, item a item.
Abraços e até a próxima,
Marco A. Correia
Novidades para todos nós… 14 de maio de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Não poderia deixar de compartilhar com todos que me acompanham duas grandes novidades, e muito disso, graças a vocês também.
1) Meu livro está já no forninho para sair. Cerca de 60 dias e o teremos já editado e impresso, para viabilizar o lançamento. O mesmo será lançado pela editora Livre Expressão. O título ainda provisório, deverá seguir o sucesso do nosso blog: Segurança da Informação no dia a dia. Não é um livro técnico, onde somente pessoas da área poderão ler e entender, a proposta é justamente que qualquer pessoa que precise estudar, conhecer ou analisar a segurança da informação de uma forma simplista, tenham condição com uma linguagem real, mas nem por isso difícil.
2) Outra grande notícia, é que também muito em breve estaremos inaugurando o novo escritório da MTI Futura & Controle da Informação. Estamos na fase de pequenos ajustes e obras. Logo teremos a data em definitivo.Para quem ainda não conhece, visite nosso novo site e aproveite a promoção para sua empresa.
Vai lá, é rápido e vale a pena: http://www.mtifutura.com.br
Sabemos que uma empresa e/ou uma carreira não se constrói da noite para o dia, e muito menos sozinho(a), precisamos de atitude, coragem e principalmente parceiros, e todos que seguem meu blog são de alguma forma parceiros, e sou muito grato por isso, pois hoje temos picos de até 2800 visitas/dia, o que eu acho excepcional se tratando de um assunto tão sério como segurança da informação.
Obrigado a todos mais uma vez, e vamos continuar fazendo essa parceria forte e dando certo…sempre!
Até o próximo post,
Marco A. Correia
Prova ISO 27002 Advanced – ISMAS – Caminho das Pedras 3 de maio de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Desculpem mais uma vez a demora, mas o trabalho, viagens e mudanças tem tomado muito meu tempo. Resolvi, depois de receber 32 emails exatamente, falar mais aprofundado sobre a prova da ISO 27002 Advanced que lhe dará a credencial de ISMAS.
essa certificação é ministrada pela EXIN e tem grande valor em nível mundial, e no Brasil vem se tornando muito bem aceita também.
Não é uma certificação técnica, ou seja, não fala de perímetros de rede, firewalls, webproxy e afins, mas é uma certificação que prima muito pelo conhecimento do candidato no que tange realmente a segurança da informação.
Bem, a prova tem pré-requisitos básicos ou seja, ter passado no exame da EXIN da ISO 27002 Foundation(ISFS). O objetivo das 3 certificações da EXIN que são: Foundation, Advanced e Expert(que seguem o mesmo fluxo do ITIL), é garantir que o indivíduo com as 3 credenciais está apto até mesmo a ter um CSO(Chief security Officer), claro que ai entra experiência, outras especialidades e etc.
Bom, vamos a prova propriamente dita:
Com duração de 90 minutos máximos, e você pode ausentar-se ou entregar sua prova a partir dos 30 minutos. Julgo esse tempo extremamente confortável tanto em inglês como na prova em nossa língua mãe. 
Para sair-se bem, é necessário acertar 65% das 30 questões, ou seja, 20 questões. Não ligue para números, não é tão difícil assim, acredite!
De acordo com o site da EXIN e experiência própria, a prova consiste nos seguintes pontos:
- Política de Segurança da Informação e plano de segurança da informação(Peso – 20%), sendo a política de segurança da informação com 15% e o plano de segurança da informação com 5%.
- Organização da segurança da informação(Peso – 30%), distribuidos da seguinte forma: Design de segurança da informação com 22,5% e funções da segurança da informação com exatos 7.5%.
- Análise de Risco(Peso – 15%) da seguinte maneira: Classificação da informação e gestão de bens de capital com 7.5%, e métodos de análise de risco com mais 7.5%.
- Padrões(Peso – 10%) da seguinte maneira: Standards(noções de aplicação da Norma) com 2.5%, ISO/IEC 27001 e 27002 com mais 7.5% fechando este item.
- Conformidade(Peso – 15%) da seguinte forma: Legislação e regulatório com 5%, proteção de dados pessoais com mais 5%, acordos e contratos com exatos 5%.
- Avaliação(Peso 10%) assim: Revisão rápida(Quick scan) com 2.5% e Auditoria com mais 7.5%.
De acordo com o EXIN, e eu concordo plenamente neste ponto, a organização da segurança da informação tem maior peso(30%), pois é fundamental para todo o resto, e analisando a proposta é exatamente esta.
Bem, como podem ver para quem está atuando, a prova não tem nenhum grau de complexidade, FORA algumas questões de classificação e análise de risco, que requerem grande conhecimento dos conceitos de SI, assim como especificamente de classificação e análise do risco, e principalmente “risco aceito”. Como isso funciona, por que acontece isso e SE isso é aceito na Norma.
Enfim, resumindo, e se eu fosse dar um número traduzindo o grau de complexidade de 0 a 10, eu daria 7 para essa prova. É uma certificação importante, não é das mais caras e tem um custo/benefício muito interessante na área de SI.
Boa sorte e que seja logo o novo(a) ISMAS.
Até a próxima,
Marco A. Correia
“Entre um post e outro…” -Segurança da Informação e Qualidade em TI. Há dependência? 12 de abril de 2012
Posted by Marco Correia in Uncategorized.2 comments
Olá PessoALL,
Hoje muito em voga a segurança da informação nas empresas, cuidado com ativos, interpretação e adequação de normas internacionais, formação de times multidisciplinares, auditorias para certificações e grandes investimentos em pessoas, equipamentos e sistemas.
Com tudo isso demonstramos de forma macro o mundo da segurança da informação nas corporações atuais, e a importância que a mesma tem adquirido muito rapidamente.
Contudo, em paralelo a tudo que anda acontecendo, e de uma maneira muito mais solidificada, temos a qualidade. Neste caso em específico, vou me ater a qualidade na entrega de serviços de TI ou mais comumente conhecida como ITIL e a ISO 20.000.
Considero um ledo engando, profissionais que não conseguem visualizar a necessidade de interação entre a ISO 20000 e a ISO 27001, respectivamente gerenciando a qualidade na entrega de serviços de TI e a gestão da segurança da informação. Por si só, já podemos observar uma interação na frase anterior, perceba: “…qualidade na entrega….gestão da segurança da informação…”. Ou seja, gestão é algo maior, onde a entrega torna-se um ponto a ser observado e definitivamente acompanhado, e devidamente validado.
De uma maneira bem simplista, a gestão de segurança da informação, necessita sim, para ser completa, de qualidade satisfatória nas entregas de serviços de TI.
É importante notar que a gestão de segurança da informação precisa de qualidade para ser completa, não para que aconteça, pois podemos perfeitamente ter certificações na ISO 27001, sem ao menos ter qualidade nas entregas de serviços de TI, mas convenhamos, é de extrema ajuda que ambas caminhem paralelamente, deixando assim um cíclo completo, ou perto disso.
Lembrando que temos o tripé da segurança da informação: Confidencialidade, Disponibilidade e Integridade, tripé este que sem dúvida alguma fica muito mais fácil de ser sustentado, seja pelo lado que for, com a ajuda da qualidade em TI, representada aqui especificamente pela ISO 20000, ou mesmo o próprio ITIL.
E respondendo a questão do título. Não, não há dependência, mas sem dúvida alguma, no meu entendimento, a interação entre segurança da informação e qualidade não chega a ser um casamento perfeito, mas sem dúvida alguma é um namoro excepcional, e a evolução disso depende de fatores como políticas, empresa atuante e profissionais envolvidos.
Até a próxima,
Marco A. Correia
“Entre um post e outro…” – Qual a importância de um SOC no contexto do SGSI? 11 de abril de 2012
Posted by Marco Correia in Uncategorized.Tags: NOC, SGSI, SOC
add a comment
PessoALL,
No nosso famoso “entre um post e outro…”, recebi um email(na verdade 6 emails) pedindo para falar sobre o SOC no contexto da segurança da informação. Vou tentar escrever algumas linhas, uma vez que já gerenciei SOC de uma grande empresa prestadora de serviço multinacional.
Para quem não sabe ainda, SOC é uma abreviação de Security Operation Center, ou seja, é um centro de monitoramento, desejável 356X24X7(24hrs por dia, o ano inteiro), onde profissionais de alto nível técnico(ou nem tanto assim) monitoram de forma pró-ativa e reativa o ambiente da empresa no que tange a parte de segurança de TI mais especificamente. É muito comum algumas empresas errarem e destinarem ao NOC, operações de segurança. Mas por que erro? Erro, pois seria algo como pedir para Dentistas atenderem emergências diversas em um pronto socorro, ou seja, o foco é diferente, assim como as aptidões necessárias.
Quando falamos em SOC, falamos de profissionais em sua maioria técnicos, altamente treinados em alguma ou algumas tecnologias que permeiam, monitoram e controlam todo um ambiente corporativo computacional, e nesse ponto podemos incluir: Firewalls, Filtros de Conteúdo, Anti-Spam, DLP, Analisadores de Vulnerabilidades de SO, controladores de link, entre outras soluções.
Como todos sabem, um sistema de gerenciamento de segurança da informação(SGSI), é muito mais do que a parte técnica computacional, estamos falando de cultura, tecnologia, treinamentos e até mesmo caráter dentro do ambiente corporativo. No entanto, todos os pontos mencionados acima, assim como sua respectiva monitoria, ajudam a complementar tomadas de decisões estratégicas dentro da empresa, principalmente para os gestores e tomadores de decisões relacionados à segurança da informação.
Vamos exemplificar para ficar mais claro para alguns:
Todo mês é recebido pela gerência os 10 usuários que mais utilizaram a Internet, assim como os sites acessados, tempo de permanência na web, volume de tráfego, entre outros pontos Com estes dados, conseguimos analisar se todo o ocorrido é pertinente, e SE não o for, que medidas devem ser adotadas para que determinado procedimento não repita-se no ambiente.
Com isso posto, fica bem fácil entender qual a importância de um SOC no contexto da segurança da informação, ou seja, é uma ferramenta de suma importância para tomadas de decisões, visando manter a estabilidade e segurança do ambiente computacional monitorado.
Grande abraço e até a continuação sobre classificação da informação,
Att,
Marco A. Correia
Classificação da Informação – Série II – Post .04 11 de abril de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Perdoem-me pela demora, mas estou em meio a muitas mudanças pessoais e profissionais. Vamos lá…
Daremos continuidade conforme mencionado no post anterior, com a classificação, desclassificação e reclassificação da informação.
Classificação – Atribuir um nível de classificação a uma informação. Isso faz com que a informação passe a se sujeitar ás proteções especificadas pelo nível de classificação escolhido.
Reclassificação – Alteração no nível de classificação de uma informação. Normalmente, existem procedimentos controlados a serem seguidos para reclassificação, principalmente se a reclassificação for para um nível mais baixo.
Desclassificação – Remoção total do nível de proteção. Aplicamos somente quando quando o estado “não classificado” for previsto. Importante ter muito controle nesta ação para não haver comprometimento do sigilo da informação mencionada.
Um ponto importante é no que diz respeito a duração da classificação da informação, é a duração. Raramente uma informação precisa ser protegida depois de dez anos ou mais. No setor privado, podemos diminuir esse período a um tempo bem mais curto.
Contudo, dependendo do nível da informação, é necessário mecanismos que permitam classificação pro prazos bem mais extensos, como o conhecido nível ultra secreto, previsto no decreto 4.553.
Via de regra, quanto maior a sensibilidade da informação, maior o prazo a ser respeitado para manutenção dos controles.
Próximo post pessoal: Papeís e responsabilidades e proprietário da informação(bem interessante), portanto não percam.
Abraços e até a próxima,
Marco A. Correia
Classificação da Informação – Série II – Post .03 4 de abril de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Vamos dar continuidade a nossa série de post sobre a classificação da informação. Vamos abordar os conceitos para que os processos de CI(classificação da informação) tenham validade.
Política de Classificação da Informação
De forma como todos os procedimentos relacionados a segurança da informação(SI), a classificação da informação deve ser instituída através de uma política.
Existem hoje muitos materiais que podem ser utilizados como referência an hora de elaborar essa política. Para entidades esfera governamental que ainda não tenham regulamentação específica, temos o decreto no 4.553 da Casa Civil que é uma excelente fonte e consulta, no entanto para organizações particulares/privadas temos a própria ISO 27001, que trata com excelência a classificação da informação.
Need-to-Know
Este conceito define a necessidade que uma pessoa possui, devido a sua rotina de trabaho, de acessar determinadas informações.
Least Privilege
A segurança da informação não tem como objetivo criar complicadores para o funcionamento da empresa. Por isso, o conceito de least privilege determina que as pessoas tenham os devidos acessos para executar suas fuções diárias, no entanto sempre com o mínimo necessário.
Amanhã vamos iniciar o post sobre a Classificação, desclassificação e reclassificação da informação. Muito interessante, e muito próximo a nossa realidade.
Abraços,
Marco A. Correia
Classificação da Informação – Série II – Post .02 2 de abril de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Dando continuidade a nossa série de posts sobre a classificação da informação, vamos hoje falar um pouco sobre os benefícios da correta eficaz classificação da informação.
Conforme mencionamos no post anterior, podemos destacar como benefícios:
- Conscientização – O efetivo e correto programa de classificação da informação necessita do envolvimento de todos da empresa, com isso as pessoas começam a ter um entendimento maior das dificuldades de se proteger os ativos de informação e da infinidade de situações que podem comprometer essa proteção.
- Responsabilidades – Como sabemos(ou deveríamos saber) a classificação da informação necessita de uma divisão a atribuição de responsabilidades para poder trabalhar.As responsabilidades dizem respeito a quem deve classificar as informações, quem deve proteger, cuidados dos usuários entre outros detalhes.
- Níveis de Proteção - Com os itens acima bem aplicados e alcançando um nível de maturidade, aumentamos consequentemente os níveis de proteção por já entendermos quais informações devemos proteger e a melhor forma de alcançar este objetivo.
- Uso de Recursos – Tomemos como exemplo o uso da VPN(Virtual Private Network). Seu custo é associado diretamente a quantidade de informações que processam e protegem.Com uma correta classificação da informação, não desperdiçaremos recursos direcionando e otimizando acessos da VPN(para o exemplo em específico), aumentando assim o nível de segurança, e otimizando os recursos hoje tão escassos.
No próximo post, vamos dar exemplos de como efetivamente podemos(e devemos) classificar as informações.
Não percam e mantenham-se ligados!
Abraços e boa semana a todos!
Marco A. Correia
Classificação da Informação – Série II – Post .01 31 de março de 2012
Posted by Marco Correia in Uncategorized.add a comment
PessoALL,
Já temos um post sobre a classificação de ativos, que não termina o assunto, no entanto iremos iniciar mais uma série de posts sobre o assunto com uma abordagem mais profunda e mais específica sobre a classificação da informação.
Conto como sempre com a colaboração de todos via email ou comentários, pois a participação de todos tem sido muito boa.
Obrigado pelas dicas, ajudas e agradecimentos.
Como já é de nosso conhecimento, ou quem ainda não sabe, a classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam, e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção necessários a cada uma delas.
É importante salientar que o processo de classificação após iniciado, deve ser ” aceito” por todos na empresa, e que se faça o usuário ter curiosidade em agir dessa forma.
Seguindo essa linha de raciocício, algumas informações irão demandar maior nível de proteção, e com isso pode acarretar dois(02) cenários não tão agradáveis, que podem ainda assim serem evitados. São eles:
- Informações críticas ou sensíveis sem níveis de proteção adequados, gerando altos índices de incidentes de segurança, podendo comprometer(e sempre comprometem) a eficácia das operações da empresa;
- Informações que não precisam de proteção, sendo protegidas de forma excessiva, consumindo recursos de forma desnecessária.
Para entender um pouco mais onde devemos chegar, vamos nos aprofundar em alguns conceitos básicos.
PROTEÇÃO:
A informação de propriedade da organização passa por diversos processos e toma diversas formas ao longo de suas atividades. Nos atermos somente as ameaças e vulnerabilidades de um local e/ou sistema, corremos um grande risco de não estarmos realmente protegendo as informações mais críticas e sensíveis ao longo de todo ciclo de vida.
ECONOMIA:
Esse é um exemplo clássico e muito “palpável” sobre avaliação e classificação de uma informação. Pense que quanto maior o nível de proteção que um controle oferece, via de regra, maiores serão os custos financeiros em termos de aquisiçaõ e manutenção. Devemos considerar os custos indiretos que os controles costuma trazer indiretamente como perda de produtividade e outras intempéries.
BENEFÍCIOS:
O processo de classificação da informação traz inúmeros benefícios para uma organização, como: Conscientização, responsabilidades, níveis de proteção, tomada de decisões, uso de recursos entre outros.
Vamos no próximo post analisar dentro do contexto cada item mencionado acima. Contribua com sua participação, sempre é bem vinda.
Bom final de semana e até o próximo post.
Marco A. Correia
Segurança Física e Operacional – Parte 4 17 de março de 2012
Posted by Marco Correia in Uncategorized.1 comment so far
PessoALL,
Peço desculpas pela demora, no entanto vamos dar continuidade ao nosso tema.
Hoje gostaria de falar sobre os serviços essenciais de suporte e abastecimento em uma empresa. Então você me pergunta: Isso é segurança da informação? Sim, é sim e vamos falar um pouco sobre.
Como o próprio nome já menciona, para que qualquer organização possa operar corretamente, seja ela pequena ou grande, há demanda em uma série de serviços básicos, e eles recebem este nome porque são, justamente, essenciais ao negócio. Sem estes, o ambiente físico pode ficar seriamente comprometido, acarretando parada nos negócios.
Vejamos abaixo alguns mais comuns:
- Energia Elétrica – Fundamental em praticamente todas as organizações, e aqui poderíamos linkar uma série de subítens, como: Piscada, sobrecarga, interrupção e blackout, entre muitos outros.
- Água – Fundamental em todas as organizações, de uma forma ou outra;
- Gás – esencial para algumas organizações como fábrica de alimentos. Paralelo ao fornecimento, temos os riscos de vazamentos e/ou explosões.
- Ventilação, aquecimento e ar-condicionado – Hoje são essenciais para todos os negócios, com preocupações específicas de proteção e continuidade do negócio.
Com isso terminamos essa micro apresentação sobre segurança física e operacional, e importante relembrar que mais do que ter jogo de interesse nas empresas para disputar hierarquia e cargo entre segurança da informação e segurança física, deve-se fazer com que ambas se complementem, e nada mais plausível do que ver a indicação da ISO 27001:2006 referenciando a segurança física como parte e papel determinante para a segurança da informação.
Abraços e até a próxima e bom resto de final de semana.
Marco A. Correia
