Mente Hacker

Voce terceiriza sua senha?

Publicada em 07/10/2009 15:34

No mês passado, durante um almoço com dois amigos especialistas em auditoria interna,  discutimos o fato de as empresas terceirizarem suas aplicações e processos de tecnologia da informação (TI), incluindo a segurança da informação. Ao final da conversa, um dos meus colegas explicou que alguns serviços de TI são executados por colaboradores externos. Assim, a “chave-mestra” passa a ser administrada pelos prestadores de serviço.

O tom dramático do meu colega auditor não foi excepcional. Logo lembrei que, nas organizações, os “terceiros” ou prestadores de serviços possuem a senha de administração do ambiente computacional. Porém, os funcionários da organização, responsáveis pela segurança da informação, auditoria e controles internos, são mantidos longe da chave-mestra.

Quais são as ameaças?
Em abril de 2009, desenvolvendo atividades relacionadas à análise de risco em uma organização, detectei que não havia uma cláusula de confidencialidade nos contratos de prestação de serviços. Ou seja, todos os terceiros poderiam divulgar as informações da organização que foram disponibilizadas para o desenvolvimento das suas atividades,
incluindo a senhas de administração do ambiente computacional.

O problema encontrado, apesar de ser comum a muitas organizações, não havia sido detectado pelo departamento jurídico. As principais questão foram: a) existia uma cláusula de confidencialidade entre a organização e o fornecedor que estava alocando os prestadores de serviços. Mas os profissionais indicados para o serviço não eram funcionários do fornecedor. A verdade é que esses profissionais abriram uma empresa para emitir notas fiscais referentes aos serviços prestados. O fornecedor aloca seu prestador de serviços para o desenvolvimento das atividades no cliente.

Neste caso, deixou de ser uma terceirização para ser uma “quarteirização”; b) o prestador de serviços não assinou o termo de confidencialidade entre a sua empresa e o fornecedor; c) algumas organizações solicitam que a pessoa externa contratada para o trabalho assine um termo de responsabilidade, que, por sua vez, não tem validade jurídica. O correto é a organização criar o “Termo de Sigilo”  para todos os prestadores de serviço. O “Termo de Responsabilidade” é válido apenas para funcionários.

Equipe

No momento em que o fornecedor recebe a aprovação da proposta de terceirização das aplicações e processos de TI, inicia-se o processo de contratação da equipe que será reservada ao cliente. Quanto mais rápido as pessoas forem contratadas e alocadas para o cliente, mais rápido o fornecedor recebe. Mas, quando se trata de contratar profissionais
de TI, há uma vasta diferença de perfil e conhecimentos entre os candidatos.

O fornecedor não tem tempo para avaliar os níveis de habilidade dos candidatos e seleciona de acordo com o perfil básico e pretensão salarial. Muitos clientes comentam comigo que alguns terceirizados estão aprendendo a trabalhar administrando os processos de TI da organização, trazendo novas ameaças aos negócios da empresa.

O fornecedor não oferece treinamento aos profissionais que serão alocados em uma empresa. O primeiro passo, e talvez o mais importante, é o terceiro receber uma cópia da política de segurança da informação e treinamento sobre as diretrizes e normas da empresa, incluindo o código de ética e conduta.

Conclusão

As organizações devem criar diretrizes e normas para manter a segurança da informação das aplicações e processos de TI gerenciadas por terceiros. A análise de risco deve cobrir os acordos com terceiros para evitar “quarteirizações” sem a cláusula de confidencialidade.

Convém que o departamento de recursos humanos e o jurídico criem termos específicos para funcionários e prestadores de serviço. As organizações devem solicitar um resumo do currículo do profissional que será alocado para a prestação de serviço. É recomendado que todos os colaboradores externos recebam treinamento sobre a política e normas de segurança antes de iniciar suas atividades. Mantenha a “chave-mestra” da sua empresa sob a responsabilidade dos funcionários (CLT).

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.