|
Engenharia Social Artigo publicado em 15/julho/2010 O principal fator de risco de segurança nas empresas são as pessoas. Altos investimentos são realizados em ferramentas de segurança para controlar e garantir a continuidade das operações das empresas, porém muitas com enfoque em tecnologia. O foco da engenharia de segurança deve ser as pessoas. Isso vale para funcionários, fornecedores e clientes. As práticas de segurança devem estar integradas as atividades e grupos da empresa. Uma avaliação prévia dos fornecedores deve ser realizada antes da contratação. Para otimizar os investimentos em segurança deve-se adotar um modelo de referência de mercado. O modelo deve garantir o crescimento do nível de maturidade em segurança das organizações. O retorno do investimento em engenharia de segurança é garantido. Muitas vezes as pessoas não têm noção dos riscos de algumas atitudes triviais. Por exemplo, fazer comentários sobre o trabalho em ambientes públicos. Lembro que uma vez conheci todo o plano estratégico de um concorrente direto em um vôo entre Porto Alegre e São Paulo. É da natureza das pessoas se procurar se valorizar em conversar com outras pessoas. Essa característica as leva a divulgar informações confidenciais para demonstrarem que estão em posições importantes dentro da organização. Lembro que em uma auditoria de sistemas um colega demonstrou um potencial risco de segurança para os auditores sem ser questionado, apenas para mostrar o seu grau de especialização no assunto. Pessoas que por revanche divulgam informações para concorrentes e clientes para prejudicar a imagem da empresa. Lembro que um analista de segurança de uma importante empresa nacional que enviou um e-mail para todos os clientes e imprensa das vulnerabilidades de segurança da informação de seus maiores clientes. Isso gerou exposição negativa da empresa no mercado e vários cancelamentos de contratos. Todos foram demitidos, porém a empresa quase fechou. Senhas escritas em agendas são ainda comuns e de fácil acesso durante o horário de almoço. Por essas razões deve-se investir em pessoas. As empresas têm realizado altos investimentos em software e serviços de monitoração de segurança, porém pouco investimento em processos para conscientizar as pessoas dos riscos de segurança, conhecido como engenharia social. O processo de conscientização inicia no processo de recrutamento. Os testes e entrevistas sobre aspectos comportamentais sobre segurança devem ser investigados antes da contratação, lembrando que a avaliação de desempenho dos funcionários é baseada na entrega e no comportamento. Para as empresas garantirem sua sustentabilidade é necessário que as coisas sejam feitas corretamente dentro de parâmetros comportamentais politicamente corretos. Proteger os dados da empresa é um comportamento requerido para os profissionais nesse mercado altamente competitivo. Não estou dizendo que não exista necessidade de investimento em software e serviços. Eles são necessários para evitar ataques externos e internos, incluindo procedimentos equivocados das pessoas por desconhecimento. A equipe de engenheiros de segurança deve possuir um arsenal de ferramentas e processos para garantir a confidencialidade, integridade e disponibilidade dos processos de negócios da empresa. Com a terceirização dos processos nas empresas, incluindo os BPO – Business Processes Operations – o processo de seleção e controle devem ser mais cuidadosos. No BPO, a empresa terceiriza todo o processo de uma atividade de negócio. Normalmente, são áreas operacionais tais como logística, processamento de notas fiscais, produção e o RH. Vamos tomar o exemplo do BPO de RH oferecido por várias empresas no Brasil. Como a empresa terá a garantia que os dados de seus funcionários estão protegidos. Nesse caso, deveria ter sido realizado uma forte avaliação da área de engenharia de segurança da empresa para avaliar métodos, processos e políticas do provedor dos serviços. Se terceiriza o processo e não a responsabilidade. Uma falha de segurança com dados de funcionário o responsável é a empresa e não o provedor de serviços. E como fica a computação em nuvem? A idéia de comprar serviço computacional na nuvem (Cloud Computing) é atraem, principalmente pela escalabilidade e custos. Mas como saber se seus dados estão seguros? As empresas de Cloud Computing devem apresentar evidências que possuem processos robustos de segurança. Uma das evidências é o certificado SAS-70 - Statement on Auditing Standards no 70 – que realizado por empresas certificadoras avaliam as práticas e riscos dos provedores de serviços. Mesmo assim, a equipe de engenharia de segurança deve realizar sua própria avaliação. A melhor prática para implantar, operar, controlar e avaliar o desempenho da segurança nas empresas é adotar um modelo de referência internacional. Um dos modelos de referência é a norma ISO/IEC 27002 que estabelece a diretriz e os princípios para iniciar, manter e melhorar a gestão de segurança da informação nas empresas. Outra norma é a ISO/IEC 21827 baseada no modelo do SSE-CMM – Systems Security Engineering Capability Maturity Model. Essa norma capturou as melhores práticas do mercado para a gestão da segurança nas empresas. O SSE-CMM tem um documento que descreve um método de avaliação de segurança da informação nas empresas – Appraisal Method. A gestão da segurança da informação deve adotar processos estruturados de avaliação de risco e integração com outras atividades e grupos da empresa. A gestão deve ter as seguintes características:
A adoção de um modelo de gestão melhora a previsibilidade de
acontecimentos, melhora os controles da empresa e melhora a
eficiência dos processos e projetos. Pode-se classificar as
empresas em cinco níveis de maturidade:
Transformar a cultura de uma empresa leva tempo. Deve ter o comprometimento da alta direção. Deve existir disciplina e tolerância zero para desvios de conduta. São os exemplos que demonstram o compromisso da empresa com a segurança. Os resultados financeiros e de sustentabilidade das organizações são garantidos.
|
 |