Arquivo mensais:outubro 2008

Você é o Dr. House da Segurança da Informação?*

Sinto muito! Como não implementar medidas de segurança da Informação.

Não é de hoje que discutimos com os alunos acerca de um novo modelo de gestão de SI, baseada no elemento central: Pessoas! Dentre todas as vulnerabilidades que se possa mapear em uma empresa, nenhuma atinge com tanta contundência os objetivos da segurança da informação (confidencialidade, integridade, disponibilidade) do que pessoas! Pessoas são o elo fraco de qualquer ativo informacional, e por mais que nos preocupemos com ameaças físicas e lógicas, se as humanas não tiverem a devida gestão, a probabilidade do risco é enorme.

Já dizia o velho lema de segurança da informação: “Não há patch que resista à burrice humana”. E a reflexão começa a fazer sentido quando um belo dia você pergunta para a Gerente de Finanças de sua empresa onde ela salvou a planilha de pagamentos, e ela, assustada, lhe responde “Ah, está na minha máquina, no Excel!” Boom! A pessoa não tem sequer a noção de sistema de arquivos, hierarquia entre pastas e arquivos, imagine se ela não clicaria naquele “pishing” e-mail com erros de português para verificar “As últimas fotos da vítima do seqüestro” antes de ser assassinada. Você tem dúvida?

A solução é assistir, monitorar, implementar medidas de segurança, e surge uma nova discussão, como implementá-las sem causar a revolta dos membros do operacional e gerência intermediária? A discussão é longa eis que muitos profissionais de TI culpam os usuários “desobedientes” pela falha dos planos! Mas será que a culpa é dos usuários e demais colaboradores ?

O problema pode estar com você, profissional de Segurança da Informação! Mesmo depois de muitos anos de existência, a área de SI ainda é considerada coisa para poucos do ponto de vista técnico. Ela seria algo como o “fronteira final” em termos de aprendizado. Para poder compreender a segurança de uma tecnologia, você precisava dominá-la totalmente. Por conta disso, ela sempre atraiu muitos profissionais de alta capacidade técnica. Quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico trabalhando há anos na empresa. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de SI? O problema é que nem sempre esses profissionais têm um perfil exatamente adequado para a posição.

A Ti sempre foi conceituada como a profissão do “Eu”. Jamais questione um projeto de outro técnico! O jogo de empurra-empurra na TI é presente até hoje: O técnico do servidor leva a senha root para casa, como se fosse DEUS, e não deixa a equipe implantar o ERP. A equipe de ERP diz que o problema na lentidão no sistema é por culpa do DBA. E o DBA? “Ah, o problema é do link, ligue para o 0800 da Telefonia…” Jogo de cobras, ninguém assume erros ou colabora! Este perfil deve mudar, pois a TI perdeu muito com isso! Durante anos o técnico de TI foi conhecido como o “Naufrago do CPD”, um ser isolado dentro de uma caixa que matinha relações apenas com seu “Wilson”, diga-se, seu computador. Resultado, quanto mais técnico e isolado, mais técnico e isolado será. Me respondam… Na empresa em que trabalham? O CIO tem formação em TI ? Ou foi “importado” da Administração, do Direito, etc…? É…preocupante não ?

Costumamos brincar que muitos profissionais de Tecnologia da Informação (TI) escolheram esta área justamente para não precisar lidar com pessoas. É um paradoxo curioso que eu chamaria de Complexo de House. Para quem não conhece, House é um seriado médico de grande sucesso, com um personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI. Se nós pudéssemos resumir a personalidade de House, poderíamos dizer que: É um brilhante médico, mas que não gosta de pacientes! Fica fácil entender porque o seriado é amado pelos profissionais e Estudantes de TI. Assim como o Dr. House, na maioria da vezes, em maior ou menor grau, profissionais de TI não gostam de usuários.

Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial! Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam.

Para elucidar, deve-se destacar um famoso estudo de sociologia feito na Alemanha na década de 70 em um presídio desativado. Voluntários foram chamados a fazer o papel de policiais e presidiários em uma espécie de brincadeira de “faz de conta”. Os pesquisadores observaram que, independente do perfil, aqueles que se passavam por policiais desenvolviam uma tendência ao autoritarismo. Já os presidiários se dividiam entre os resignados (que fingiam cooperar, mas não aceitavam a situação) e os rebelados. O estudo é bastante famoso, foi transformado em documentário, e não pôde ser acabado, porque a influência que o ambiente exercia sobre os atores era tamanha que as coisas começaram a fugir do controle.

Nas organizações ocorre uma situação bastante similar. Alguém é promovido a “policial” e, a partir de então, passa a ser exorcizado (ou tratado com falsidade) pelos “presidiários” (se nunca mais te chamaram para um happy hour depois da sua promoção, você sabe bem do que eu estou falando). Numa tentativa de mostrar poder e exercer a sua autoridade, o profissional passa a entrar em embates e tomar medidas de eficácia duvidosa ou de prioridade questionável. Ou seja, ao invés de trabalhar para azeitar uma relação que é inerentemente conflitante, trabalha no sentido oposto. Não é difícil imaginar o resultado disso. Alguém na empresa deverá tomar a decisão de demiti-lo, independente de sua capacidade profissional. O trabalho de um gestor de SI é servir como um agente de mudanças, é ser um facilitador no processo de implementação de medidas que de certo modo privam a liberdade dos colaboradores. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor de SI, não é difícil imaginar qual a melhor decisão a ser tomada.

Existe uma verdade que precisa ser aceita. Ninguém gosta de medidas de segurança, a não ser aqueles que estão na posição de defini-las e cobrá-las dos outros. Quando se está sujeito às medidas de segurança, todos a detestam. Porém, num belo dia, a área de segurança é “promovida”, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc. Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação. Aí é que reside toda a eficácia da separação. Medidas de segurança geram trabalho e desconforto e ninguém gera isso para si mesmo. Se assim o fizer, não estará recomendando aquilo que é necessário, e sim aquilo que dará menos trabalho.

Para alguns, essa sutilezas podem parecer óbvias, mas conhecemos profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las, criando um porno de discórdias e desavenças. Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmos não seguem. Se você questioná-los, ouvirá algo do tipo “eles não podem usar o MSN, ou ORKUT porque não sabem amenizar os riscos, mas eu sei”. Ridículo!

Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante, em termos de postura. Técnicos que não gostam de usuários costumam pensar que são seres superiores. Deuses com todos os poderes nas mãos. Podem criar e apagar fatos incriminadores a qualquer momento. Seguem um estereótipo muitas vezes atribuído a padres: “faça como eu digo, mas não como eu faço”. Quando o padre diz “vivam juntos para sempre” soa meio caricato, pois ele nunca casou com ninguém! Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todos dias.

E para a Cúpula estratégica aqui vai nosso recado. Você tem controle dos ativos informacionais de sua empresa? Confia no seu “Gestor de SI” ? Conhece as senhas, processos e técnicas adotados pelo mesmo ? Se ele sair amanhã, tudo continua? É, trilhas de auditoria de Gerência podem ajudar! Se algum dia você precisar ligar para seu Gerente para ter acesso a alguma informação na Empresa, saiba, você está nas mãos dele! Aliás, a TI é uma profissão de poder, e poder corrompe! Confiar piamente no seu técnico promovido à Gestor seria entender que Gerentes de TI seriam todos heróis incorruptíveis que em nenhum momento tomariam um café com um funcionário, onde poderíamos ler seus lábios dizendo “Sua batata assou, quero metade em troca de um delete!” Audite a Auditoria, mas não seja “Policial”!.

Se você conseguiu visualizar claramente o problema, ótimo! Faça uma auto-crítica e avalie seu comportamento dentro do seu ambiente de trabalho. Você está mais para Dr. House ou para Dr. Wilson? O primeiro sem dúvida é mais brilhante, mas não é ético, e só não foi demitido porque tem o segundo para segurar a barra quando a coisa estoura de verdade. E se você pensar bem, eles têm muito mais semelhanças do que diferenças, o que significa que não é tão difícil assim ter uma postura correta e equilibrada, mesmo que você tenha algumas excentricidades. Lição do dia: Não são pessoas que devem se adaptar à TI, mas a TI que deve considerar pessoas na adoção de medidas de segurança da informação. Se você achar que é um “Policial”, terá dois tipos de presidiários: Funcionários Rebelados e Funcionários Resignados. Então, prepare-se para o pior!

* NOTAS:

1) Artigo Derivado Segundo Licença Creative Commons: Artigo Orignal de Anderson Ramos, “Como não implementar medidas de segurança – Parte 1”, publicado em 07-02-2008 em http://aramos.org/2008/02/como-nao-implementar-medidas-de-seguranca-parte-1/#more-133

2) Leia a Licença aplicável ao Artigo em Tela:
http://creativecommons.org/licenses/by-nc-sa/2.5/br/

Palestra Anhnanguera – Gestão da Segurança baseada no Peopleware


Você profissional de SI, tem o Complexo de House? Talvez seja por isso que o seriado é tão apreciado por pessoas da área de TI: Assim como o Dr. House não gosta de pacientes, ainda temos profissionais de TI que buscam a área porque não gostam de usuários, de pessoas! No dia 29-10-2008 palestramos às turmas de Ciências da Computação e Gestão de SI da Anhnaguera, onde pregamos nossa tese de que a maior vulnerabilidade é humana, e que gestão de segurança deve considerar seres humanos para adoção de medidas! Ficamos contentes em rever alunos do Curso de Perícia Forense Computacional agora fazendo SI. Particularmente tenho a dizer que sou admirador da Anhanguera, não porque estudei na casa ou porque hoje a casa me absorve na docência (o que por si só já seria motivo de sobra), mas pelo modelo de gestão arrojado, invoador, atento às evoluções sociais e necessidades dos alunos. Agradeço ao Prof. Ricardo Veronese, Profa. Marta Cafeo, Prof. Leonel, coordenadores de curso, pelo honroso convite. Não poderia deixar de agradecer aos meus amigos de MBA, Richard (ganhou um celular), Nicolas, Brumatti e Fábio..Alunos, Professores e Profissionais de Primeira! Estamos aí!

http://www.jcnet.com.br/editorias/detalhe_geral.php?codigo=142588

Palestra ITE: Pericia Forense Computacional

Administração Bauru – No próximo dia 24, às 21h, na Sala do Júri, será realizada a palestra “Perícia forense computacional”, com o Prof. José Antonio Milagre. Com MBA em Gestão de Tecnologia da Informação (TI), o palestrante é perito computacional, advogado especializado em Direito de TI e um dos pioneiros no segmento forense computacional no Brasil. O evento tem como público-alvo acadêmicos dos 2.º, 3.º e 4.º anos de Sistemas de Informação, mas é aberto para demais interessados.

http://www.ite.edu.br/

FIAP: 18-09-2008: Conisli reune as principais cabeças da TI do Brasil

Dito e feito! A Vila Mariana ferveu. A comunidade SL Brasil teve conhecimento dos calabousos sombrios existentes por trás de “anúncios de liberação de APIs” sob o manto do Creative Commons! Tive a honra de contar com Rubens Queiroz que enalteceu nossa palestra, o Pai do SL no Brasil. Gostei muito da exposição da Sulamita da Intel sobre o Moblin, que vai agitar o desenvolvimento Mobile no segundo semestre de 2009. Me revoltei com a causa de Leandro Chemale, da UNE, sobre a exigência de determinados professores “Doutores” em exigir arquivos no E-learning em plataforma proprietária (nítidos agentes BlumpSoft), que virarão em um futuro em “hiroglifos digitais” onde ninguém mais conseguirá abrir os arquivos! Querem um exemplo, tente abrir um DocX no seu velho Word 2003. Mais pegue um arquivo Office 97 e tente abrir no Office 2007! Pense nisso: SE VOCÊ NÃO PODE ABRIR, VOCÊ NÃO É PROPRIETÁRIO!.

Copyleft x DRM: A proteção técnica e a liberação de Bibliotecas é uma farsa


José Milagre, Rubens Queiroz da Unicamp, e Fabio Berbert CEO do Viva o Linux

A Fraude do DRM: O que nasceu para proteção ao patrimônio Intelectual, sendo usado para criar incompatibilidades e para a concorrência desleal

Palestra Senac Santo Amaro: SUCESU SP


Estivemos na segunda-feira 13/10/2008 no Senacão (Faculdade Senac) em Santo Amaro-Capital, onde tivemos a honra de sermos convidados para tratar sobre a atual consultoria que realizamos em TI VERDE HSPM 080000, no primeiro congresso TI Verde de SP. Agradeço ao amigo Brito do Bradesco, ao Noroestino Nelson Cabral e ao Presidente de SUCESU-SP Jairo! Estou muito contente em estar neste time! GU TI Verde!

Site do evento: http://www.sucesusp.org.br/tiverde/

Palestra Professor Fernado Capez

Foi com satisfação que recebemos no sábado dia 11/10/2008, na sede da OAB o Deputado Estadual e Promotor Fernando Capez, que à convite da Coordenação do Curso de Direito da Anhnaguera Educacional em Parceria com a Comissão de Propriedade Intelectual da Ordem Local, apresentou brilhante palestra sobre “O Direito Penal no Século XXI”, bem como ofereceu ao público seus livros em sorteio. Fica a referência aos alunos de uma excelente aula e de um profissional que lutou para conquistar seu espaço.

Sorocaba: Lei Municipal Cria Semana de Combate à Pedofilia

Não podia deixar de consignar minha admiração pela Gestão Publica Realizada em Sorocaba, município de 600 mil habitantes há 127 km daqui de São Paulo! Em um evento pioneiro, promoveram a Semana de Combate à Pedofilia, que virou Lei Local. Fica meu abraço à Diretora da Vigilância Sanitária, Secretário de Saúde e em especial ao Mantenedor da Ong Pacin Rogério Bizarro, um lutador em prol da erradicação da violência infantil!


http://www.diariodesorocaba.com.br/noticias/not.php?id=29936

Palestra FIB – Faculdades Integradas de Bauru

Foi com satisfação que recebemos o convite para Palestrar na semana do Tecnólogo nas Faculdades Integradas de Bauru (FIB), no dia 10/10/2008. Vai um grande abraço à Chiara Ranieri, ao Meu Eterno Professor e Amigo Claudines Torres, Coordenador do Curso de Sistemas de Informação, e ao Professor Carobino, pela excelente trabalho junto aos alunos de TI.

Site do evento: http://www.fm94.com.br/fib_promove_cursos_de_tecnologia

Resolução da Presidência Regulamenta Interceptação Telefônica!

É impressionante como no Brasil, quando a água bate… todas as forças convergem para criar mecanismos que dificultem a atuação de quem realmente trabalha, diga-se, a Polícia Federal. Uma vez meu professor me disse, o que não pode ser provado, pode ser deduzido, com base em indícios! E a edição da tal resolução 59/2008 pela Presidência da República, para mim, é um indício de que o Governo Federal teme os grampos da PF. Seria talvez uma pressão feita pelo nosso STF ? Vamos trabalhar por exclusão! Que nem se argumente que tal resolução vem da “necessidade do povo de ter segurança diante da invesigação estatal”. Verdade seja dita, isto é para proteger peixe grande!

Lamentável Brasil!

Baixe a Resolução no Site do CNJ:
http://www.cnj.jus.br/images/stories/docs_cnj/resolucao/rescnj_59.pdf