|
BLOG - Edison Fontes |
|
| |
31/08/2010 |
|
|
|
|
|
Pode compartilhar a identificação e senha?
|
Em função dos recentes acontecimentos em órgão do governo onde uma gerente de unidade e dona de uma identificação e senha, indica que compartilhou a senha (e identificação) com outra funcionária em função de carga de trabalho, vem a questão: pode-se compartilhar senha? Considerando as recomendações da Norma NBR ISSO/IEC 27002:2005 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação, não se deve emprestar a senha, permitindo que outra pessoa execute tarefas como o usuário dono da identificação. Porém, depende de como a organização definiu as regras para o acesso e uso da informação. Os regulamentos (políticas e normas) definidos pela organização precisam ser comunicados formalmente aos funcionários e prestadores de serviço que utilizam o ambiente computacional da organização. Para garantir que o usuário tomou conhecimento do que pode e não pode fazer, é recomendado que o usuário assine um termo de conhecimento de uso da informação. Nas regras é recomendado que esteja explícito o que é proibido e o que é permitido. Se não puder emprestar a senha, mesmo sob forte demanda de serviço, deve estar escrito no regulamento da organização que é proibido o compartilhamento de senhas. A definição de regras sobre o uso da informação e dos recursos de informação é um requisito de segurança fundamental. Com esta definição é que podemos dizer se o comportamento de um usuário foi ou não foi adequado. Evidentemente o caso que está na mídia ainda vai ter um longo caminho, pois muitas informações ainda faltam ser fornecidas e esclarecidas. Em relação ao uso de senha, cada organização deve definir se a informação a ser protegida deve ter apenas este controle ou merece controles complementares como uso de cartão, cartão inteligente, dispositivo de números aleatórios ou biometria. Cada organização sabe o valor da informação. Mas, vamos considerar o mais importante: a sua organização. Ela possui regras (políticas e normas) para o uso e acesso da informação e recursos de informação? Se sim: verifique se todos os usuários tomaram conhecimentos desses regulamentos. Se não: é hora de correr e definir como se quer que as pessoas se comportem no acesso à informação. Não espere sua organização virar notícia! Edison Fontes, CISM, CISA
Consultoria em Políticas e Normas de Segurança da Informação
edison@pobox.com |
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
30/08/2010 |
|
|
|
|
|
Informação: erro, crime e dúvida
|
Informação: erro, crime e dúvida!
ERRO: “Estamos prestes a cair!” Foi esta mensagem automática de alerta que 275 passageiros da British Airways de um vôo de Londres para Hong Kong, ouviram nesta terça feira passada, quando o avião voava sobre o Mar do Norte. A tripulação da cabine percebeu o erro tratou de acalmar os passageiros. A empresa divulgou uma nota pedindo desculpas pelo inconveniente.
Haja coração! Além do erro (humano ou dos equipamentos) precisamos atentar para a imprecisão da mensagem. Se estamos prestes a cair é porque ainda não estamos caindo. Se não estamos caindo, poderia algo ser feito? Quando uma mensagem dessas deve ser dada: ao começar a cair? Prestes a cair? Após cair? Ou nunca precisaria ser dito. Poderia em vez de soltar uma mensagem dessas (como terá sido a voz que falou esta mensagem), começar a tocar uma música.
Felizmente foi tudo um engano. Mas, eu fico pensando: que outras mensagens gravadas (e em quantas línguas) a Bristish Airways possui? Se o avião for ficar sem ar, será que tem uma mensagem específica? Pessoalmente penso como é uma sessão dessas de gravação dessas mensagens. Tem que ser tudo muito sério. Não se pode brincar no estúdio, afinal se estar gravando uma mensagem anunciando a morte de quem vai ouvir.
Empresas: testem melhor suas aplicações e suas mensagens automáticas.
CRIME: Os acessos para uso não profissional de dados de pessoas em órgãos do governo volta à tona. Não quero entrar no mérito de quem é acusado de mandar fazer e quem seria a pessoa prejudicada. Através de identificação e senha de funcionário autorizado, foram feitos acessos, não necessários para tarefas profissionais, aos dados de Imposto de Renda de pessoas ligadas a um candidato à presidência da república.
Muitas vezes se questiona a fragilidade da proteção técnica das informações armazenadas em grandes bases de dados. É importante esta preocupação, mas hoje se o profissional técnico fizer “o dever de casa”, essas bases de dados terão uma boa proteção. O que é fundamental é o rigor para se manter atualizado quem pode acessar o que e garantir uma rápida identificação de acessos sem se relacionar a uma tarefa profissional. Não é fácil, mas é o custo de se trabalhar com informações que requerem um rigoroso grau de sigilo.
DÚVIDA: A moça do Censo passou lá por casa. Meu filho deu as informações. O Brasil precisa conhecer o Brasil, porém, em todas as propagandas sobre a realização do Censo eu não identifiquei nenhum comunicado indicando a política de privacidade das informações fornecidas, tipo: os dados serão sempre utilizados em conjunto, nunca de maneira individual. Registro que eu acredito (ou quero acreditar) que é assim. Mas, seria bom que isto ficasse explícito, correto?
Tomara que sua organização trate a informação profissionalmente: não erre nas mensagens, não disponibilize indevidamente informações de sigilo e propague a sua política de segurança no tratamento da informação.
Edison Fontes, CISM, CISA Consultoria em Segurança da Informação. edison@pobox.com |
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
23/08/2010 |
|
|
|
|
|
Idade: 3 anos. Já recebe proposta cartão credito!
|
O Jornal Estado de São Paulo, na sua edição de 20 de agosto passado, relata o fato de Juliana, três anos, filha do editor de fotografia do jornal, recebeu uma proposta de uma das maiores redes de cartões de crédito do Brasil, para ser possuidora de um cartão de crédito. Afinal, como diz a proposta “são muitas contas a pagar e sempre há coisas a comprar”.
A Juliana foi tratada pelo seu nome completo.
O pai de Juliana indica uma possível falha onde ocorreu vazamento de informação e uma invasão de privacidade: Juliana tirou passaporte para viajar e tirou CPF, pois o pai criou uma conta para uma previdência privada.
Não precisa ser especialista em segurança da informação e possuir certificações internacionais para entender que os dados da pequena Juliana já foram entregues, sem a sua permissão ou sem a permissão de seus pais, para o mundo dos cadastros virtuais onde todas as violações de dados pessoais são cometidas.
Este é um dos riscos que convivemos diariamente.
Ah! Nossos dados, nossas informações! Como sociedade, nós precisamos exigir regras rígidas para este assunto. Já que estamos em momento eleitoral, pergunte aos seus candidatos quais são as propostas deles para este tema.
Juliana: bem vinda ao mundo (virtual) adulto!
Edison Fontes, CISM, CISA Consultoria em Segurança da Informação. edison@pobox.com
|
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
17/08/2010 |
|
|
|
|
|
Testes para a continuidade do negócio
|
A realização de teste simulando a ocorrência de uma contingência é uma ação concreta que explicita que a organização, através da sua direção, trata a segurança da informação de maneira profissional. Prepara-se, desta forma, para uma situação que ninguém deseja que ocorra, mas que, tem possibilidade de ocorrer. E acontecendo essa situação, ela acarreta prejuízos financeiros, de imagem e de perda de mercado, podendo até inviabilizar o negócio, comprometendo o investimento dos acionistas e o emprego de cada funcionário. Muitas vezes nos vem à mente que participar de uma atividade dessas é algo bobo e sem muita importância. Isto é conseqüência de que não temos no Brasil uma cultura de desastres e simulação de situações críticas. Afinal "Deus é brasileiro" diz o ditado. Eu acredito que Ele seja brasileiro, como é mexicano, francês, português, holandês, norte americano e de todas as nações. Ele faz a parte dele e nós devemos fazer a nossa. E a nossa parte, do ponto de vista da organização, é cuidar da informação para que ela esteja disponível para a realização do negócio. Treinar para a continuidade de negócio através das atividades de simulação de contingência é uma atividade profissional tão importante como as tarefas do dia a dia pelas quais somos responsáveis. Para um melhor entendimento, devemos ter claro alguns aspectos, como por exemplo: a) O objetivo do teste
- O objetivo de um teste é permitir que as ações planejadas sejam avaliadas em relação a sua eficácia e eficiência. Conseguiremos na prática realizar cada atividade no tempo previsto? b) O que é um bom teste?
- Identificar falhas nos procedimentos previstos não quer dizer que o teste não teve sucesso. Um bom teste é aquele que permite que o próximo teste seja melhor do que o atual. Por isso é importante registrar as ações, problemas e ocorrências. Esta documentação nos permite fazer uma avaliação do que pode ser melhorado e aperfeiçoado para o próximo teste. c) Não se busca culpados
- O espírito de um treinamento para situações de contingência é preparar a organização como um todo para superar adequadamente um desastre. As falhas existentes devem ser identificadas e ninguém será punido por isso. O que deve acontece é para cada falha ou problema identificado deve ser designada uma pessoa que será o responsável pela solução. Alcançar o patamar de proteção adequada para situações de contingência pela organização não acontece da noite para o dia. É um longo percurso e é semelhante a uma escada: temos que subir cada degrau. O primeiro teste de simulação de contingência não contemplará todas as situações e todos os cenários, mas permitirá que para uma determinada situação e cenário definidos, a organização tenha a sua recuperação em um tempo aceitável. Você que vai participar deste primeiro teste colabore profissionalmente, mas antes de tudo, colabore de coração aberto. Afinal, esta organização faz parte da sua vida e lhe permite que sua vida seja vivida. Ao elaborar com a organização a primeira versão do plano, concluimos uma longa tarefa, da mesma maneira como um navio chega a um porto. Porém, este porto não é um porto de chegada, mas um porto de partida! Boa viagem para todos os que participam de testes de planos de continuidade de negócio. Edison Fontes, CISM, CISA
Consultoria em Segurança da Informação.
edison@pobox.com |
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
04/08/2010 |
|
|
|
|
|
Enem: dados de 12 milhões vazam na internet!
|
Tenha santa paciência! Diria o Santo Papa. Pelas barbas de Netuno! Diria Robin para o Batman. Sr. Dirceu! Que maqueavelismo é esse? Querem prejudicar minha campanha para governador! Diria Odorico Paraguassú, personagem do Mestre Dias Gomes. PQP! Diria o Tonico da padaria da esquina.
Pois é! Pela segunda vez em poucos meses o Enem foi reprovado em segurança da informação! Na primeira vez foi um caso de fraude. Nesta segunda vez, pelas notícias da mídia, um caso de falta de gestão e falta de tratamento de todos os aspectos do processo de segurança da informação.
Segundo o Jornal Estado de São Paulo:
Uma falha do Instituto Nacional de Estudos e Pesquisas Educacionais (Inep) permitiu acesso livre aos dados pessoais de 12 milhões de inscritos nas últimas três edições do Exame Nacional do Ensino Médio (Enem). O que é mais grave é que, ao ser avisado pelo Jornal o Inep afirmou que os dados seriam acessados apenas pelas instituições de ensino, mediante identificação e senha. Isto é, aparentemente, não foi feito nenhum teste. Pois, se tivessem feitos testes básicos, a falha teria sido facilmente identificada. Evidentemente um fato como este merece ser melhor investigado para que se esclareça o que aconteceu, ou melhor, o que não aconteceu. Quando se fala em segurança da informação, sempre chega alguém e lembra que não existe segurança 100%. É verdade. Porém para situações que podem ser facilmente previstas a segurança tem que ser 100%. O risco desses dados terem alimentado os bancos de dados dos golpistas e criminosos é grande. Conforme o titular da Delegacia de Estelionato do Departamento de Investigações sobre o Crime Organizado (Deic), Eduardo Gobetti, declara ao Jornal Estado de São Paulo, esse é um prato cheio para a ação criminosa. “Tudo que um golpista quer são informações pessoais como essas!" Solução: tratar a segurança da informação como um processo, considerar todas as dimensões e ter um profissional com experiência em segurança da informação na equipe do projeto. Porém, este profissional de segurança da informação precisa ter autonomia e autoridade adequadas. Ao Enem só resta estudar para fazer bem feito e não ser reprovado novamente. Não é uma tarefa fácil. É difícil, trabalhosa, mas possível! Edison Fontes, CISM, CISA
Consultoria em Segurança da Informação.
edison@pobox.com |
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
03/08/2010 |
|
|
|
|
|
É preciso ensinar privacidade!
|
Quando falamos de privacidade o que nos preocupa de imediato são as milhares de câmeras que nos seguem onde quer que estejamos, é o sinal do celular que registra em que regiões da cidade nós estamos, é o acesso indevido aos nossos dados armazenados no órgãos do governo, nos bancos e nas diversas empresas com as quais transacionamos e tudo onde tem nossa informação. Porém, precisamos aprender que privacidade começa com a atitude de cada pessoa. Nestes últimos dias têm sido divulgadas notícias onde as pessoas não cuidam da sua privacidade e sofrem consequencias. O primeiro caso conta que um adolescente e uma adolescente, de livre e espontânea vontade, se colocaram à frente da câmara do micro, se conectaram na TwitterCam e começaram a trocar carícias íntimas e se mostrando em cenas próximas ao sexo explícito. Em pouco tempo, além dos assistentes on line, milhares de pessoas viram as cenas em site de divulgação de filmes. Com são menores vão ser chamados atenção, mas, em função das regras da nossa sociedade a garota é quem está sofrendo mais e segundo reportagens a família pensa em mudar de cidade. Outro caso acontece com profissionais que ganham salários que poucos executivos ganham, conversam com torcedores, brigam, falam mal e depois pedem desculpas. São jogadores do Santos Futebol Clube. Os meninos da Vila. O mundo vai continuar girando, o Brasil continuará com seus problemas e suas soluções e esses dois casos pouco influenciará na vida das pessoas. Porém na vida dos envolvidos, terá consequencias. Pouca ou muita, mas terá. Estamos falando de adolescentes que têm uma vida pela frente e de profissionais que tem (ou deveriam ter) um passado a preservar. Chego à conclusão que precisamos ensinar privacidade. Precisamos ensinar às pessoas que não podemos colocar a culpa nos outros e na imprensa por divulgar notícias que foram geradas pelas próprias pessoas.
Família precisa ensinar aos filhos, empresas aos seus empregados, governos aos seus servidores e empresários de famosos aos seus famosos. Privacidade começa com a sua atitude. Mantenha a privacidade da sua vida! Sua vida, sua pessoa, sua imagem são elementos preciosos de difícil construção e de fácil destruição!
Edison Fontes, CISM, CISA
Consultoria em Segurança da Informação.
edison@pobox.com
|
|
| |
postado por Edison Fontes |
| |
|
|
|
|
|
|
|
|
|
|
|
RSS
