O risco da falta de maturidade com relação a segurança da informação

A maturidade intelectual na questão de tecnologia da segurança da informação são itens necessários para qualquer tipo de empresa, de qualquer ramo ou segmento.

Estas necessidades básicas de como determinar quem e o quê as pessoas podem ou não ter acesso, muitas das vezes são faladas e são compreendidas como algo abstrato e entendido como cultura da empresa, e muita das vezes estas não tem controles e a falha maturidade tecnológica faz expor a empresa a grandes riscos, no qual uma brecha pode fazer quem mesmo criou a regra, a quebrá-la.

A segurança é imposta, mas é quebrada.

Existem regras, aquelas mesmas concebidas como cultura da empresa, seja regras para organizar a sala em determinado horário, ou não deixar papel na mesa ao se ausentar, entre outras, toda regra existe em uma empresa para evitar algum risco.

Todos nós temos medo de alguma coisa, este medo vem por causa de algum risco de algum evento ou ameaça acontecer de fato, por isto muitas das vezes ao andar na rua, não andamos com o celular à mostra por exemplo, e, na empresa, nem sempre temos estes cuidados.

Ter um caderno com senhas, um papel com usuário e senha na tela do computador, é a mesma coisa que deixar a chave de casa na frente da casa fechada. Qualquer um pode ir lá, pegar a chave e entrar, e fazer o que quiser, não é mesmo? Existem controles, como porta, câmeras, mas não são eficazes.

O ideal é cada funcionário ter sua credencial, seu acesso, e isto não é luxo, isto é item obrigatório e deveria ser seguido por todo tipo de empresa, e com acesso intransferível, e caso haja compartilhamento de acesso, ambos tem que ser cancelados imediatamente, afinal, quem está fazendo o quê?

Implantou a segurança, mas o gerente quer ter acesso ao que não pode.

Sempre é assim, chegou a limitação, restrição, regras, existem pessoas que não suportam isto, e não adianta alguém querer implantar a regra sem sequer ter hierarquia suficiente para tal implementação, pois pessoas com níveis hierárquicos superiores, irão dizer "quebra esta, faz isto por mim" ou recebe ameaças em casos mais graves.

Chegou um novo computador na empresa, não faz parte do domínio, e lá vem o gerente tentando acessar o servidor da empresa sem sequer o computador ter passado por auditoria, e reclama de não funcionar determinados itens, e diz que não quer ter problemas como estes.

Ora, se existe um controle para evitar que máquinas estranhas acessem a rede, obviamente não irá funcionar, mas de nada adianta, o especialista de segurança está de mãos atadas se ao menos não for sócio da empresa, senão, o risco é dele ser mandado embora.

A culpa sempre é do "cara de segurança".

Não, isto é totalmente equivocado. O profissional da área de segurança deve manter os controles aplicados e em funcionamento, inclusive monitoria e auditoria, além de também procurar encontrar novos riscos e ameaças nas tecnologias atuais e novas, e também assim os controles para mitigar os seus riscos.

Se algo na empresa não está de acordo, algo elementar que faz parte da maturidade não está funcionando. O mínimo dos mínimos é ter documentação do escopo que rege a segurança da informação, sem isto, não há segurança, e isto não é o "cara de segurança" que faz, são os sócios, proprietários, investidores, ou também chamados "stakeholders". De nada adianta colocar um administrador de redes ou um especialista formado na Harvard, se o mínimo não é estabelecido por quem deve estabelecer.

A falta da política de segurança da informação para um controle, quebra o controle.

Foi implantado determinado controle, agora todos devem seguir este controle. Agora vem um dos sócios da empresa com um pen-drive no bolso, celular, câmera fotográfica, e todos os controles vão por água abaixo simplesmente porque ele é o sócio que possui 80% dos investimentos na empresa. Tenta logar com sua credencial em uma máquina que trouxe de algum lugar e quem é o "cara de segurança" por mais que seja outro sócio capaz de pedir para inspecionar a máquina, pen-drive, celular, e etc? 

Onde está a Política de Segurança da Informação alinhada entre todos os sócios e especialistas no dia da reunião? É para todos seguirem, certo? Todos assinaram o termo, não é mesmo? Se todos estão de acordo, o "cara de segurança", fará seu trabalho tranquilamente, sem ter receios em perder emprego por falar com quem quer que seja.

O culpado da ameaça ter ocorrido é do "cara de segurança".

Ou será da política que foi mal planejada junto aos stakeholders? O especialista da segurança da informação irá procurar e aplicar controles mediante a política, e, em reuniões mensais ou no mínimo reuniões anuais com todos os stakeholders presentes, apresentar ideias de melhorias para complementar a política, e apenas se aprovado, fará parte do escopo. 

Sendo assim, dentro do escopo, será tratado.

Nunca ninguém me disse que levaria uma semana para recuperar isto!

Isto é a desculpa para um risco que acabou de acontecer com um ativo da informação, mas, onde está a planilha e/ou documento apresentando o apetite de risco para determinada ameaça? Lá possui também o Recover Point Object, item onde diz que pode esperar determinado prazo sem afetar a empresa. Os controles foram desenvolvidos para atender ao prazo.

Faltou o documento novamente? Sei, mas imagine uma empresa que mal sabe o que é login em domínio ou computadores que fazem parte do domínio e/ou não? Por mais ridículo que seja: muitas empresas desconhecem totalmente isto.

O roubo da senha na falta de maturidade.

Chegou um computador na empresa, colocou na rede, é um computador que está sempre na rua, não se sabe onde está, e alguém faz login e gera erro. O administrador de redes chega e olha o domínio da máquina e a pessoa estava digitando seu login em um domínio local (própria máquina).

E, se a máquina infiltrada era justamente um cavalo de troia pronta para pegar a senha deste ou daquele funcionário e enviar por e-mail? A pessoa infelizmente não soube ver o domínio e culpará todos por não fazer a máquina funcionar, sem ter sequer ideia do que acabou de fazer.

O perfil da segurança da informação

A segurança da informação tem crescido nos últimos anos em várias empresas, mas ainda devido a falta de maturidade de muitas, é impraticável a implementação e configuração de controles, e impraticável mitigar riscos, deixando-os expostos por argumentos dos mais diversos por parte de quem deveria promover a segurança e uma política forte, e escopo bem definido.