Quem foi o responsável por vazar os dados críticos?

Quem foi o responsável por vazar os dados

críticos?

Foi a recepcionista, o vendedor ou o porteiro? Entenda como a experiência dos cassinos podem ajudar à gestão de segurança.

Por Computerworld, EUA

22 de abril de 2008 – 07h30

página 1 de 1

Talvez você saiba proteger os dispositivos de rede e os data centers. Agora, você consegue manter a inteligência corporativa em segurança. Mas será que você sabe ensinar seus funcionários a se defender de ataques com base no trabalho que eles realizam e não de uma maneira genérica?

Segundo especialistas, um plano de segurança bem construído envolve treinamento personalizado para a função. Você precisa dizer ao pessoal de RH para gerenciar arquivos pessoais que residem em diferentes locais; ao pessoal da administração para fiscalizar quem entra no prédio com identidades falsas; e à equipe de vendedores para controlar o acesso ao sistema CRM da companhia.

Veja aqui as principais ameaças à segurança e as dicas de especialistas sobre o tema para descobrir as táticas mais comuns de impostores que se dedicam a extrair dados de funcionários inocentes.

E, para concluir, pergunte a si mesmo: até onde você é capaz de ir para defender a privacidade dos seus clientes e os dados pessoais dos seus funcionários?

Segurança: A lição dos cassinos
Autorizar o acesso de um funcionário a sistemas de missão crítica ou confidenciais é uma aposta arriscada, mas inevitável. Vamos encarar os fatos: pessoas são uma incógnita.

Assim como os cassinos fiscalizam e impedem a permanência de trapaceiros em cada mesa de jogo, os executivos de TI podem personalizar os planos de segurança para funcionários individuais em cada setor de suas empresas, eliminando vulnerabilidades.

As práticas adotadas nos cassinos podem ser aplicadas no mundo da TI corporativa para a criação de uma lista sensata do que fazer e do que não fazer, com base em quem executa qual trabalho, a fim de redobrar a segurança.

As mesas de jogos de dados e ‘vinte e um’ ensinam que nunca é prudente confiar todos os ativos mais valiosos ou vulneráveis do negócio a um único funcionário. Compartimente o acesso onde for possível e jamais hesite em olhar sobre os ombros dos funcionários.

Acima de tudo, siga a regra de ouro dos cassinos: avalie o nível de risco e aplique trilhas de auditoria incontestáveis, enfatiza Bruce Schneier, especialista em segurança que escreveu vários livros sobre segurança de computador e rede, entre eles Applied Cryptography (Wiley, 1996).

Schneier costuma usar a metáfora do cassino para comprovar aspectos importantes da segurança individualizada. “Se você prestar tenção em um cassino, verá, imediatamente, pessoas vigiando pessoas”, diz. “Há muito dinheiro circulando e circulando muito rápido.”

Gerentes de cassino rigorosos costumam considerar todo e qualquer indivíduo uma ameaça em potencial. Postura idêntica deve ser adotada por líderes de segurança de TI corporativa em relação aos funcionários. “As pessoas são o elo mais fraco na segurança. Sempre foram e você nunca mudará isso”, afirma Schneier. “Mas a realidade é que você precisa lidar com as pessoas e elas vão cometer erros.”

Segurança não é responsabilidade de um único gerente de segurança ou mesmo um departamento de segurança. Na década de 80, por exemplo, a qualidade passou a ser encarada como responsabilidade de cada individuo na organização. A segurança também é responsabilidade de todos.

Cada indivíduo cria, trabalha com, transporta e armazena informações e ativos físicos valiosos. E cada funcionário tem a responsabilidade de protegê-los. Infelizmente, com muita freqüência, a organização não ensina aos funcionários quais são seus deveres e como podem gerenciar riscos eficazmente ao mesmo tempo em que executam seu trabalho.

A idéia de que as empresas precisam proteger-se contra atividade nefanda do pessoal interno não é nova. “Os programas de segurança mais eficazes abordam o elemento humano, e qualquer função com acesso a recursos ou ativos valiosos é um risco”, explica Kent Anderson, managing director da Network Risk Management.

Ele cita uma ampla gama de funcionários que podem representar risco – desde guardas a profissionais de TI e executivos de nível mais alto com autoridade para desativar controles de segurança.

O que é interno? O que é externo?
O problema humano continua se agravando, já que agora é mais difícil diferenciar entre ameaças internas e externas. “A diferença entre interno e externo deixou de ser clara”, justifica Anderson.

Ele alerta as corporações para os meios pelos quais fabricantes, fornecedores, outsourcers e parceiros, entre outros, podem obter acesso a dados corporativos confidenciais – seja acidentalmente ou pelo próprio projeto dos sistemas.

Detectar riscos é suficientemente complicado, quanto mais resolver vulnerabilidades, diz Anderson. Os programas de treinamento de segurança, por exemplo, às vezes são ineficazes. Muitos funcionários negligenciam conselhos continuamente e não prestam atenção às histórias de advertência contadas em monótonos seminários sobre segurança.

“A visão do funcionário mediano é unidimensional. Este indivíduo não vê a segurança da perspectiva da responsabilidade de prestar contas para a organização. Ele vê a questão apenas quando diz respeito ao seu nível de responsabilidade”, observa Norris Roberts, diretor de tecnologia do distrito escolar da cidade de Jennings, no Missouri.

Um seminário trimestral de conscientização de funcionários pode funcionar como uma checagem em um programa de segurança voltado a compliance. Porém, se ficar a cargo dos funcionários descobrir como aplicar controles de segurança às suas funções cotidianas, a coisa toda se torna ineficaz, de acordo com Anderson.

Roberts tem uma lista de medidas de segurança que os funcionários tendem a ignorar. “Práticas de senhas fortes não estão sendo aplicadas. O compartilhamento de senhas prossegue. Boas práticas de e-mail são desprezadas. E, no geral, direitos e privilégios do usuário impróprios continuam sendo um grande problema.”

“O erro mais comum na conscientização dos funcionários usuários em relação à segurança é apresentar o treinamento de uma maneira draconiana, que não os incentiva a cooperar com as políticas que estão sendo implementadas”, observa Eddie Zeitler, diretor executivo da International Information Systems Security Certification Consortium (ISC)2.

“A conscientização sobre a segurança não tem que ser tediosa”, diz Zeitler, acrescentando rapidamente que não é só uma questão de embelezar as iniciativas de treinamento.

Para engajar mais os funcionários, as instalações de TI precisam convencê-los de que as medidas de segurança são impostas em prol tanto do empregador quanto do empregado.

“Se os funcionários conseguirem perceber que podem perder seus empregos por causa de alguma coisa que poderia ter sido evitada através de medidas de segurança sensatas, têm um incentivo a mais para obedecerem às regras do jogo”, diz Zeitler.

Obedecer às regras do jogo é inegociável em cassinos, onde as apostas são altas. As empresas que têm muito a perder precisam transmitir a mesma mensagem continuamente. Somente assim a concessão de privilégios de acesso deixará de ser uma aposta.

April 24, 2008 Posted by iberelrj | Management | Information Security Management | No Comments Yet

April 2008

S M T W T F S

Sep »

1 2 3 4 5

6 7 8 9 10 11 12

13 14 15 16 17 18 19

20 21 22 23 24 25 26

27 28 29 30
Archives
Blogroll
- WordPress.com
- WordPress.org
Recent Posts
Pages
- Artigos

April 2008
S	M	T	W	T	F	S
		Sep »
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

Archives
- January 2009 (4)
- December 2008 (1)
- November 2008 (2)
- September 2008 (1)
- April 2008 (1)
Categories
RSS
Entries RSS
Comments RSS

Information Security

Personal blog about Information Security