No post ele comenta sobre falhas comuns em PSI (Políticas de Segurança da Informação), não esperem uma avaliação técnica, mas sim um apanhado de coisas óbvias e simples que muito profissional de segurança sênior não é capaz de evitar quando desenvolve uma PSI. Recomendo a leitura, mas segue alguns pontos.

"Tranque tanto a infra-estrutura, que trabalhar se torne complicado demais. Complemento do comentário acima. E há um risco adicional: os usuários vão encontrar “jeitinhos”, como o uso de cópias locais, versões antigas e mídias não-autorizadas." Isso aqui é comum entre profissionais de segurança que só viram as coisas nos livros.

"Diga “não” sempre que lhe solicitarem alguma aprovação. Assumindo que você tenha força suficiente para sustentar um comportamento deste tipo, aí quem vai encontrar jeitinhos serão departamentos inteiros, filiais, e outros agregados." Esta é hilária, quem nunca viu aquele cara do comercial, executivo, soltando pérolas: "Segurança é o escambal eu quero é vender".

"Imponha requisitos de segurança sem as ferramentas e treinamento adequados. Vira letra morta, e ainda por cima custa caro. Segurança precisa ser praticada por todos, o que pressupõe ferramentas e educação." Exatamente isto, a maioria das PSI são "compliance" e nunca aumentaram em nada a segurança das organizações.

"Espere que o SSL resolva todas as questões de segurança de seus aplicativos web. SSL é só o mínimo necessário, e o “cadeadinho fechado” no rodapé do navegador não protege contra as falhas na programação ou na arquitetura." Cadeadinho é ótimo, engraçado que até hoje eu vejo "especialista" falando do cadeadinho na televisão.

"Proíba o uso de pen drives, sem delimitar o acesso à Internet. Os mesmos arquivos que podem entrar ou sair via pen-drive podem fazê-lo via uma grande variedade de sites na Internet. Pen drives são uma
ferramenta, mas o que deve ser restrito é trazer ou levar os arquivos não autorizados que se queira impedir. Só proibir os pen drives é incômodo e ineficaz." Esta é para aqueles que querem implementar todo tipo de controle de end-point e acham que estão seguros.

"Adote novas tecnologias antes que elas tenham maturidade suficiente. Folders, livretos, exposições e as conversas dos vendedores devem ser tomados em conjunto com doses saudáveis de consideração" Bota dose de consideração nisso.

"Contrate alguém só porque ele tem um monte de certificações." Ah, não esqueça de pedir os certificados impressos.

"Exija que seus usuários troquem de senha com muita frequência. …e eles adotarão esquemas fáceis de lembrar (e quebrar), ou escreverão as senhas em algum lugar de fácil acesso." Falar sobre política de senhas merece um post a parte, mas no geral é só um copy-paste de uma política pra outra, a senha tem que ter no mínimo trocentos caracteres...Hum o mainframe só aceita 4 e numérico, F&^&^*&^$&^%^%.

"Ignore requisitos legais. Não é razoável: proibir o que uma norma superior permite, permitir o que a lei proíbe, atribuir a si mesmo o poder de realizar verificações ou praticar ações que potencialmente
violem direitos alheios. Mesmo assim muita gente tenta, todos os dias, e se dá mal na hora de colocar em prática." Isso, monitora, coloca keylogger, as máquinas são da empresa e está na política que vai ser monitorado.

"Assuma que os usuários irão ler a política de segurança porque você pediu a eles. Eles só o farão se precisarem muito. Publicar pode ser o suficiente para que eles venham a conhecer as linhas gerais, eventualmente distorcidas pela Rádio Corredor. Para que os usuários conheçam uma política
detalhadamente, é preciso recorrer a outros meios de educação. Na prática, você não pode assumir nem mesmo que toda a equipe de TI, ou que a maioria dos executivos, vá ler a norma." Se você não vai fazer nada para implementar a política, nem escreva, salve algumas árvores.

"Crie políticas de segurança que você não poderá fazer cumprir. Uma norma cujo cumprimento não é (ou não pode ser) exigido pode ser até mesmo pior do que a ausência de normatização, e acaba servindo apenas para punir culpados depois que a porta já estiver arrombada e as vacas
tiverem fugido do estábulo." Quanto mais diretrizes melhor, é mais compliance.

"Assuma que as políticas não se aplicam aos executivos. Se houver exceções, elas devem constar na norma, e não podem comprometer sua eficácia. Pouco adianta todo o restante do esforço se um gerente puder trazer um pen drive de casa para instalar um programa ou compartilhar um arquivo em uma máquina da rede local. Uma variante do mesmo erro: “Assuma que as políticas não se aplicam ao pessoal de TI”." Executivos? Geralmente nem a área de segurança cumpre as diretrizes por eles impostas.

"Deixe seu anti-vírus, IDS e outras ferramentas rodando no piloto automático." Ué, paguei uma grana nas ferramentas pra que?

"Tente aplicar o mesmo rigor a todos os ativos de informação, independente do seu perfil de risco. Fica
bem mais caro do que deveria, atrapalha processos sem necessidade, e prejudica bastante a adoção e internalização pelas pessoas envolvidas" Hum, gestão de riscos? Mas eu já tenho uma PSI.

"Dê a alguém o título de Gestor dos Riscos, mas não lhe dê o poder de tomada de decisões correspondente. Ele terá que optar entre se omitir, ou ser o chato que fica apontando
riscos nas atividades alheias podendo ser ignorado, ou ainda saber que está lá só para levar a culpa" Quem está nesta situação deixa um post no blog. Hum melhor não, vai encher meu blog de conteúdo inútil.

"Ignore o quadro geral, e se concentre nas análises quantitativas. É mentalmente desafiante e muito interessante aplicar os modelos matemáticos de quantificação de riscos, mas eles não podem substituir a visão do todo, e sim complementá-la." ROSI, ROS, uhuhu

"Classifique todos os seus dados como “top secret”. Nivelar por cima, nesse caso, tem praticamente o mesmo efeito que nivelar por baixo." É classificação da informação e não "rotulação" da informação.

Recomendo a leitura, você vai dar boas risadas e ainda pode aprender um pouco sobre PSI. Só não vai ficar deprimido caso se enquadre em muitas das coisas listadas.

Vários projetos foram desenvolvidos para se alcançar a conformidade com a resolução. Muitos destes projetos foram de Continuidade de Negócios. Eu tive a oportunidade de trabalhar em alguns destes projetos e consequentemente estudar bastante sobre risco operacional.

O objetivo deste post é esclarecer um equívoco que esta sendo cometido relacionado a métodos de alocação de capital. Em um bom projeto de Continuidade de Negócios a BIA (Business Impact Analysis) é um dos estudos que saltam os olhos, acredito que, por este motivo muitos associaram o BIA (Business Impact Analysis) com o BIA (Basic Indicator Approach) que é um dos métodos de alocação de capital.

Segundo a Resolução 3.380 todas as instituições tem que estabelecer uma metodologia para alocação de capital, as mais utilizadas são:

• BIA (Basic Indicator Approach)
  
  Consiste no método mais simplificado e tem a seguinte fórmula: Calcula-se a média do resultado bruto nos últimos 36 meses e aplica-se o fator de 15%.

• STA (Standardized Approach)

  Este método é semelhante ao anterior mais separa os resultados em linhas de negócio da instituição financeira.

  1. Corporate Finance: 18%
  2. Retail Banking 12%
  3. Commercial Banking 15%
  4. Trading and Sales 18%
  5. Payment and Settlement 18%
  6. Agency Services 15%
  7. Asset Management 12%
  8. Retail Brokerage 12%

• ASA (Alternative Standardized Approach)

  Esse método tem abordagem semelhante ao anterior mais com foco diferenciado nas linhas Commercial e de Retail.

• AMA (Advanced Measurement Approach)

  Este método é o mais complexo e exige maturidade da instituição. Ele adota métodos qualitativos e quantitativos. A vantagem em adotar o AMA está na possibilidade de alocar menos capital para risco operacional.

Não sou nenhum especialista no mercado financeiro, a idéia é tentar esclarecer este equívoco entre os profissionais que nunca passaram por esta situação. Uma boa fonte para quem deseja se aprofundar é o próprio site do Banco Central.

O IBTRM (Internet Banking and Technology Risk Management) está disponível para download no site do MAS.

A ferramenta chama ConfigCheck.

E não sentido horário como é o tradicional.

Os serviços vão de antivírus a gerenciamento de conteúdo e tem o valor de $ 36,00 ao ano.

Eu acredito que o tiozinho não tenha nada a ver, mas o seu método com certeza pode ser útil em muitas situações. Na minha humilde e questionadora opinião, não é possível responder a muitas das questões relacionadas a gestão de riscos com um checklist, ai que entra o barbudão. Sócrates utilizava um método para tirar as respostas de pessoas que achavam que entendiam algo, mas na verdade eram ignorantes no assunto.

O método socrático consistia em um dialogo onde ele ia fazendo perguntas simples, perguntas quais ele se mostrava estar concordando com as respostas dadas. Ao decorrer do diálogo ele ia fazendo perguntas mais complexas com base no entendimento que ele tinha das respostas dada anteriormente. Ao final do diálogo ele fazia a pessoa entrar em contradição e com argumentos dados por ele ela chegava a conclusão adequada do assunto proposto. Para a parte final Sócrates de o nome de maiêutica, ele fazia nascer as idéias. O nome é homenagem a profissão de sua mãe que era parteira.

Portanto, sempre que você se encontrar em situações onde alguem não tem uma visão clara de assuntos relacionados a gestão de riscos, use o método socrático para faze-la chegar a conclusão e conseguir atingir seus objetivos. Em entrevistas para entendimento de processos ou desenvolvimentos de planos e procedimentos funciona muito bem.

Mas cuidado, tenha pleno conhecimento do tema, como Sócrates tinha e não dê uma de Schopenhauer que quer ter razão a qualquer custo.

"PETROBRAS: Tinha reservas estimadas em 14,4 bilhões de barris, o que colocava o Brasil em 24º lugar no ranking das maiores reservas mundiais. Isso até as descobertas de Tupi - a partir da bacia de Santos. Supõe-se que o Brasil salte agora para a 8ª ou 9ª posição neste ranking.

A Petrobras é a quinta empresa do mundo entre as que têm grandes reservas e operam em Bolsas de Valores. Com as descobertas recentes deve saltar para o terceiro lugar.

O lucro da Petrobras em 2006 foi recorde: R$ 25,9 bilhões, um aumento de 9% em relação aos R$ 23,7 bilhões em 2005.

HALLIBURTON: é tida como a maior empresa de serviços em campos de petróleo mundo afora.

Com a Petrobras a Halliburton já assinou um contrato de US$ 2,5 bilhões, considerado, à época, o maior do mundo no setor.

Entre outros itens, o contrato previa a entrega de dois navios-plataforma para exploração de petróleo na Bacia de Campos.

Houve desentendimentos e o banzé foi bater na Comissão das Nações Unidas para Lei do Comércio Internacional (Uncitral), mas a questão foi resolvida e essa é outra conversa. É aqui relatada de passagem apenas para que se tenha uma dimensão da parceria e dos atores.

Certamente tudo caminha bem, uma vez que, em agosto passado, Petrobras e Halliburton fecharam novo contrato, este na ordem dos US$ 270 milhões."

Fonte: http://terramagazine.terra.com.br/interna/0,,OI2430297-EI6578,00.html

Lições:

1 - Como diria Marcus Ranum, segurança é transitiva. Toda a cadeia deve ser protegida;
2 - Incidentes podem acontecer por mais que todos os controles estejam implementados. Como responder a incidentes destas proporções?
3 - Segurança da Informação é mesmo coisa para ser tratado por tecnologia?

O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.

Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.

Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.

Série 28000 - Security management systems for the supply chain

Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?

ISO/PAS 22399 - Guideline for incident preparedness and operational continuity

Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.

Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!

Todo profissional de segurança adora falar coisas como estas:

• Não existe segurança 100%
• Segurança é equilibrio

Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?

Na minha atuação eu consigo rapidamente listar três sistemas:

1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).

Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.

Os sistemas de gestão geralmente são estruturados da seguinte forma:

1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.

Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:

1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;

Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).

O que é o PAS 99?

O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).

De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.

A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.

O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.

A estrutura do documento é a seguinte:

1 - Introdução

2 - Information Security Testing Overview

3 - Review Techniques

4 - Target Identification and Analysis Techniques

5 - Target Vulnerability Validation Techniques

6 - Information Security Test Planning

7 - Security Testing Execution

8 - Post-Testing Activities

O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.

Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.

A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.

A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.

O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:

• Projetos
• Desenvolvimento
• Comercial
• Diversos

Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:

• Projetos
• - Projeto x
• - Projeto y

Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:

• Desenvolvimento
• - Projeto x
• - Projeto y

Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security

Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.

Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development

O guia auxilia as organizações a garantir a efetividade dos controles internos. O COSO é o framework utilizado pelas organizações para implementar controles internos e estar em compliance com a Sarbanes Oxley.

Se pensarmos em uma máquina de um PowerUser, são vários softwares e você acaba negligenciando uma atualização ou outra. A microsoft deu um passo importantíssimo atualizando não só o sistema operacional, mas sim outros produtos fabricados por ela.

Para aqueles softwares que não possuem uma ferramenta de atualização confiável, eu achei interessante a solução apresentada pelo InterNey.Net. A ferramenta chama Update checker.

A ferramenta chamada Wikipedia Scanner ficou muito comentada após a divulgação de que, foi encontrado alterações questionáveis por empresas como Wal-Mart, CIA e Diebold.

Para pesquisar as alterações você pode informar o nome e localização da organização ou escolher entre as opções já cadastradas no site.

As alterações são atribuídas por IP da organização, ou seja, se um funcionário de uma organização escrever qualquer bobagem o IP da organização é que vai estar na alteração. Além das reclamações sobre a qualidade/veracidade das informações incluídas na wikipedia, agora você corre o risco de ter o nome da sua empresa associado a informações de caráter duvidoso.

A ferramenta chamada Evolution faz um search em vários serviços na internet.

O documento está organizado em quatro capítulos:

1 - Introduction;
2 - Storage Security Overview;
3 - Storage Encryption Technologies; e
4 - Storage Encryption Technology Planning and Implementation.

Leitua indispensável para quem gerencia, utiliza dispositivos móveis.