Mente Hacker

Quem são os Cavaleiros do Zodíaco da segurança da informação na empresa?

Publicada em 15/12/2010 11:35

Antes de você começar discutir a segurança da informação na sua empresa, faz-se necessário entender quem são os Cavaleiros do Zodíaco da sua companhia. Deve contextualizar em que local a segurança da informação se situa no organograma, o que permitirá entender melhor onde as atividades relacionadas a ela se localizam, incluindo os papéis e responsabilidades.

Como tudo começou

O “Cavaleiros do Zodíaco” é uma série japonesa (anime e mangá) de grande sucesso no mundo na década de 1990. A série exibida na TV conta a história de jovens guerreiros guiados pelas constelações, protetores da deusa da sabedoria, da paz e da guerra.

A primeira fase da série apresentou a Guerra Galáctica, torneio que premiará o vencedor com a Sagrada Armadura de Ouro de Sagitário. Porém, nem todos os seus competidores se apresentaram.

O mesmo fato ocorreu no Brasil e no mundo com a segurança da informação na década de 1990. As organizações começaram a discutir sobre segurança da informação, mas nem todos os departamentos se apresentaram para ver quem ficaria com a “Sagrada Armadura de Ouro de Sagitário”. E foi neste momento que o departamento de Tecnologia da Informação (TI) conquistou a “Armadura de Bronze de Pégasus”, ou melhor, ficou responsável pela segurança da informação. Mas será que essa “armadura”, em poder da equipe de TI, conseguiria ajudar a proteger a organização?

Qual é o signo da segurança da informação?

O poder da segurança da informação se origina dos objetivos estratégicos da organização, incluindo uma lista de requisitos de contratuais, regulatórios ou legais. É óbvio que este poder não surge do departamento de TI.

Mas antes de continuarmos, o que são signos?

Segundo o dicionário, signos são “cada uma das doze partes em que se divide o zodíaco e cada uma das constelações respectivas” ou “a presumida influência de uma dessas partes sobre a vida das pessoas, e, por extensão, de outras influências: nasceu sob o signo da fortuna, da beleza etc.”.

Algumas pessoas acreditam que os signos possam influenciar o modo de pensar e agir das pessoas. O mesmo fato ocorre nas organizações. Cada departamento pode interferir na maneira de pensar e agir dos gestores de outras áreas.

Departamento Jurídico

Este setor é responsável por identificar que leis relativas ao tratamento do risco ou à segurança da informação se aplicam à companhia. Também é responsável pelos temas relacionados à propriedade intelectual, direito autoral, termo de sigilo, de confidencialidade, acesso remoto ao ambiente computacional, contratos com terceiros etc.

O departamento jurídico é quem deve ser responsável por identificar quais são os requisitos de armazenamento (incluindo os períodos de retenção) para a guarda dos dados da sua organização. A distribuição geográfica da empresa também irá influenciar diversos fatores porque para cada região existe um tipo de legislação.

Marketing e/ou Publicidade
São áreas chaves para o desenvolvimento das campanhas de conscientização. Mas a realidade não é bem essa.

A todo o momento observo o departamento de TI tentando desenvolver campanhas de educação dos colaboradores sobre o tema segurança da informação. Só que as áreas especializadas no planejamento, propaganda, comunicação com o público interno e externo, entre outras, não são envolvidas – ou não querem ser – nesse tipo de trabalho.

O pessoal de TI entende de tecnologia, e não de endomarketing. Então por que a empresa insiste em atribuir esse papel à área de TI, fazendo com que esses profissionais parem de trabalhar no que são bons – trabalhar com tecnologia – para tentar fazer uma campanha de publicidade sobre segurança da informação?

Recursos Humanos (RH)
É o departamento responsável pela integração de novos colaboradores. Também é responsável pela organização das turmas que irão participar das campanhas de conscientização e pela criação da norma sobre Medidas Disciplinares, entre outras.

Veja só que interessantes esses dois cenários:

Quando o gestor de RH procurou algum especialista em segurança da informação para perguntar sobre quais são os requisitos de segurança da informação antes, durante e depois da contratação de um colaborador?

Fora que o departamento de TI precisa quase que implorar para que o RH informe quando um colaborador está de férias ou foi desligado da empresa. Não podemos esquecer aquela situação em que o funcionário é transferido para outro setor e ninguém avisa a área de TI. Dessa forma, o colaborador continua a acessar informações da área antiga.

Auditoria interna ou externa

Esse departamento transformou-se em alvo de diversas piadas na maioria das empresas. Para entender melhor a situação, vou fazer uma analogia com um fato real que aconteceu comigo recentemente.

O meu filho de oito anos queria um sorvete. Entreguei R$ 2,00 e ele foi até o quiosque de sorvete do shopping. Após ele escolher o sabor e entregar o dinheiro para a atendente, ela simplesmente perguntou: “Você quer CPF na sua nota fiscal?”. Na hora o meu filho começou a rir porque ele não tem CPF.

Muitos auditores estão fazendo a mesma coisa, mas com assuntos relacionados à segurança da informação. Por exemplo, questionam sobre segurança no processo de e-commerce para empresas que não possuem comércio eletrônico.

A maioria dos auditores desconhece a diferença entre uma política de segurança da informação e uma norma ou procedimento. Acreditam que um documento recheado de termos técnicos – que nem mesmo os auditores sabem o significado – é uma política de segurança. Colocam o código de prática da segurança da informação (NBR ISO/IEC 27002) debaixo do braço e saem para caçar evidências. Coitado do departamento de TI que sofre a pressão toda, incluindo assuntos não-TI.

De quem é a responsabilidade?

É muito importante observarmos que a culpa não é dos profissionais que atuam na auditoria interna ou externa. A responsabilidade de tudo isso é de quem contratou esse profissional. Estou comentando isso porque você não pode criticar uma pessoa que não recebeu treinamento ou não sabe o que está fazendo. O departamento de recursos humanos, em conjunto com as áreas de apoio que desenvolvem atividades de segurança da informação, deve reavaliar o perfil de quem atua como auditor em temas relacionados à segurança da informação.

A auditoria é um departamento de apoio que ajuda no monitoramento dos controles internos. Ou seja, pode identificar desvios nas normas internas e reportar isso para que seja feita a melhoria continua do processo.

Tecnologia da Informação (TI)

As atividades do dia-a-dia de um departamento de TI podem ser similares às atividades dos profissionais responsáveis pela coordenação da segurança da informação em alguns momentos. Vai ver que é por isso que ganharam a “Armadura de Bronze de Pégasus”. Por exemplo, as duas áreas tratam de resposta a incidentes, gerenciamento de mudanças, contingência, gerenciamento das operações e comunicações no ambiente computacional etc.

Na prática, o departamento de TI é responsável pela operação dos firewalls, antivírus, anti-spam, sistema de detecção de intrusos, criptografia, gerenciamento de identidades (usuários/senhas/permissão de acesso), dispositivos móveis (notebook, celular, pen drive, CD-Rom etc), controle de conteúdo, aplicação de correções de segurança, gestão de vulnerabilidades técnicas, teste de invasão etc. Por isso o departamento de TI não ganhará a “Sagrada Armadura de Ouro de Sagitário”. Esse departamento deve ficar apenas com assuntos relacionados à Tecnologia da Informação. Segurança da Informação oferece suporte para Pessoas, Processos, Tecnologia e Estratégias. TI é TI, não dá para inventar mais coisas.

Respectivas competências

As organizações insistem em fazer com que os departamentos de TI deixem de fazer o que são bons para fazer algo que não são de competência deles. Vejo quase que semanalmente a alta direção “empurrando” o tema Plano de Continuidade de Negócios para a equipe de TI. Nesse momento, a turma da tecnologia, pressionada pela alta direção e pelos auditores, começa a ligar para os amigos perguntando se alguém tem um Plano de Continuidade de Negócios para “emprestar”. Dai o amigo fala: “Se você conseguir esse plano com alguém, envie para o meu e-mail porque também estou precisando”.

Outro tema que aterroriza os departamentos de Tecnologia da Informação é a “Classificação da Informação”.

Primeiro, o departamento de TI não é responsável por classificar informações. Quem classifica a informação é o dono da informação. TI é o custodiante da informação, ou seja, só guarda as informações. Não precisa nem ter acesso ao conteúdo da informação.

Segundo, o departamento de TI não é responsável por criar uma norma sobre classificação da informação. A área de TI administra tecnologia, não é uma área para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da empresa. TI não é a polícia da empresa e nem escreve “as leis” (diretrizes).

Terceiro, é muito comum encontrarmos o departamento de TI respondendo para o diretor financeiro. O diretor financeiro entende do demonstrativo de resultados, orçamento, financiamentos, redução de custos etc.

Segurança patrimonial

A NBR ISO/IEC 27002 está recheada de boas práticas de segurança da informação para os profissionais que atuam com a segurança patrimonial ou física. Mas esse departamento desconhece a existência de um documento rico em informações sobre segurança da informação para a segurança física. Por exemplo, como a segurança patrimonial protegerá contra acesso indevido as imagens gravadas no circuito fechado de TV?

Participei de um projeto de gestão de risco em 2004. Durante a minha visita ao departamento de segurança patrimonial percebi que o alarme disparava a todo o momento e ninguém verificava o que ocorria. Os seguranças não estavam preocupados em saber se alguém havia pulado o muro da empresa. O fato ocorria porque no muro existia um sistema contra invasões baseado em tecnologia de infravermelho. Porém, quando um caminhão passava pela rua, o muro tremia e o infravermelho saia da posição, disparando o alarme. Por isso que ninguém verificava o ocorrido. Tratava-se de um caminhão passando na rua. Mas e quando for o bandido pulando o muro?

O pessoal da segurança patrimonial também é responsável pelo registro de visitantes, gerenciamento dos crachás etc. Eu nunca fui questionado sobre a possibilidade de alguém clonar o crachá de algum funcionário ou acessar indevidamente os registros dos visitantes. Será que vale a pena incluir essa turma nas discussões sobre segurança da informação? Claro que sim!

Segurança da Informação

Na maioria das organizações não existe um departamento responsável pela coordenação da segurança da informação. Sendo assim, essas companhias não conseguem responder às seguintes questões:

* Que controles adicionais de segurança da informação convém contemplar para fornecer vantagem competitiva à organização?

* Quais são os requisitos míninos de segurança da informação definidos pelo mercado?

* Por quanto tempo a organização pode aceitar interrupções para cada processo crítico do negócio?

* Quais são as exigências para a gestão da segurança da informação, definidas pela direção e quais são as obrigações impostas externamente à organização?

* Como podemos classificar nossas informações?

* Como podemos desenvolver um Plano de Continuidade de Negócios?

* Quais são os relacionamentos entre os sistemas de gestão existentes, regulamentações, conformidade e objetivos da organização?

Gosto sempre de dizer durante minhas palestras que a área de segurança da informação “não faz muita coisa”. Vou explicar melhor.

As medidas/padrões disciplinares são desenvolvidas pelo RH. A integração de novos colaboradores, incluindo a coleta da assinatura do termo de responsabilidade, também é feita por esse departamento, assim como o controle de participantes e a qualidade das campanhas de conscientização.

Já a campanha de conscientização é desenvolvida pelo departamento de Marketing e/ou Publicidade, enquanto a responsabilidade pelas câmeras de vídeo, das áreas restritas, catracas, salas cofre, investigação de fraudes internas fica com o departamento de segurança patrimonial.

O gerenciamento dos dispositivos técnicos (backup, firewalls, antivírus, anti-spam etc) recaem sobre a área de Tecnologia da Informação.

O monitoramento das atividades do dia-a-dia, buscando sempre o alinhamento estratégico e atendimento as regulamentações e leis, é realizado pela equipe de auditores.

O jurídico, por sua vez, tem a responsabilidade pelos contratos com terceiros, termos de sigilo, confidencialidade, acesso remoto, direito autoral e propriedade intelectual.

Os profissionais responsáveis pela coordenação das atividades de segurança da informação precisam do apoio da alta direção para fazer com que todas essas áreas de apoio trabalhem em conjunto. As empresas precisam alinhar os conhecimentos sobre segurança da informação entre seus diferentes departamentos.

Conclusão
A equipe de segurança da informação deve existir para buscar o alinhamento estratégico, desenvolver avaliações do nível de maturidade, gerenciamento de riscos, gerenciamento de recursos, medição de desempenho através de indicadores e apresentar à alta direção a agregação de valor que aperfeiçoe custos.

As organizações, por meio de suas áreas de apoio, devem implementar um modelo de qualidade para os controles e processos baseado na Governança da Segurança da Informação, contribuindo para alcançar o alinhamento estratégico das atividades nessa área com objetivos de negócio e atribuindo responsabilidade e capacidade de tomada de decisão, bem como o respeito às leis e regulamentos.

  • Pingback: blog.dennyroger.com.br » Quem são os Cavaleiros do Zodíaco da segurança da informação na sua empresa?

  • Pingback: Quem são os Cavaleiros do Zodíaco da segurança da informação na sua empresa? « EPSEC – Governança da Segurança da Informação

  • http://www.facebook.com/luiz.gustavo.ribeiro Luiz Gustavo Ribeiro

    Ahhha gora sim entendi!!! Basta associar o assunto com cavaleiros do zodíaco que fica muito mais fácil…

  • http://twitter.com/aureliodinf Marco Aurélio

    Muito interessante

  • Tec_fernando

    Muito infeliz o exemplo que você usou para a auditoria, assim como a definição que deu a ela não é objetiva e não diz qual o seu papel (avaliar controles internos é muito pequeno perto do que a auditoria realmente faz). Não se sinta sozinho, é comum entre gestores de TI, SI processos desconhecerem o verdadeiro papel da auditoria, assim como também é comum seu desconhecimento entre a diferença de políticas, normas e procedimentos. No geral, auditores conhecem muito bem do assunto e o difícil é encontrar gestores capacitados a aplicar a teoria no mundo corporativo. O que se encontra no mercado são políticas e procedimentos misturados, assim como gestores de Segurança da Informação que no lugar de gerenciar segurança orientada a riscos são orientados a responder a eventos adversos. Faça uma enquete, envolva os gestores de Riscos e de Segurança da Informação e pergunte quais deles possui uma matriz de riscos detalhada de seus negócios, indo além, veja com eles quais deles utilizam essa matriz para a tomada de decisão e priorização de investimentos em segurança da informação!

  • Carlos_CISA

    Realmente o autor foi leviano ao falar da Auditoria e fez generalizações, o que na maioria das vezes é uma forma preconceituosa e injusta de nivelar por baixo as pessoas. Em todas as áreas há bons e maus profissionais. Alguns por exemplo, deveriam investir mais tempo estudando ou trabalhando ao invés de ficar assistindo desenhos. Talvez ao falar dos auditores ele tenha se baseado na própria experiência, prestando serviços em alguma empresa boca de porco que não tem nem um responsável pelo segurança de informação, como ele menciona no texto, quando alega ser este o caso da maioria das empresas. Lamentável!

  • http://twitter.com/AcessoTI T.I ::.Acesso T.I.::

    Não e que devemos associar ao desenho, e sim que segurança da informação esta direcionada aos especialistas da área de TI, devemos da valor pois e uma geração nova de jovens que precisa ser respeitada assim como outro departamento dentro da empresa. cada qual no seu cada qual!

    By: Bruno Jorge

  • Mauro_CISA_Cobit_ITIL

    Sem comentários!!! Como é que deixam um cara desses escrever tanta besteira em público?

  • Marcos Paulo Reis

    Infelizmente o mercado é repleto de profissionais amadores como este cidadão. As áreas de Auditoria e Segurança da Informação exercem um papel importantíssimo nas questões de riscos e estragérica das empresas.

    Marcos Paulo Reis

  • Zabeu

    Extretamente Infeliz o comentário sobre o papel da auditoria, acredito que antes de comentar sobre algo o autor deveria conhecer e se aprofundar sobre as atividades e os benefícios que uma boa auditoria pode trazer para uma empresa e não fazer comentários preconceituosos sobre um ou outro mal profissional que encontrou pelo caminho…

  • Marcos Cabral, CISA

    Caro! Será que você sabe o que realmente é um trabalho sério de auditoria? Será que você mesmo entende que existem auditores e auditores? Acredito que você não tenha sequer experiência profissional relevante para escrever tamanha besteira. Deveria se embasar melhor. Deveria saber que existem organizacionais sérias como ISACA, Audibra, ACFE. Será que você sabe o que é isso? Acho que não. Então seu “artigo” não é para nós. Deve ser para algum amigo seu que se formou com você e se diz auditor.

  • CISA

    Não é de agora que a IDGNOW publica informações incorretas. O mercado já se deparou com outras centenas de casos anteriores. A forma mais democrática de manifestação é continuar não acessando, lendo ou confiando nas informações emitiadas por eles.

  • Flavio CTO

    Esse cara nunca deve ter trabalhado com um time competente, como a maioria das instituições grandes possuem. Lamentável escrever tanta besteira sem conhecimento de causa.

  • Lars

    Artigo preconceituoso, mal escrito e com uma analogia absolutamente non-sense. Acredito que o autor estava em uma bad trip ouvindo o cancioneiro infantil do Balão Mágico quando elaborou essa peça cômica.

    Agora entendo porque o Migraine Hacker cita tanto este moço aí da foto.

  • Fernando – ITIL,COBIT

    Comparar o nível profissional dos auditores a um seriado infantil? Além da infeliz analogia feita pelo autor, acho inadmissível um profissional que se julga especialista em assuntos correlatos com Segurança da Informação e Riscos escrever tanta besteira em um artigo. É claro que para escrever tamanha bobagem o autor deve ter tomado como base apenas o seu reduto de amigos profissionais, que assim como ele devem passar a maior parte de suas vidas assistindo seriados e desenhos infantis ao invés de adquirir e/ou aperfeiçoar os seus conhecimentos.
    Dizer que auditor realiza os seus trabalhos tomando como base apenas uma ISO, deixa claro que a visão e o conhecimento desse autor é extremamente limitado a uma pequena fração de informações que nós auditores nos utilizamos no cotidiano.
    Ahh…já ia me esquecendo…..sr. Denny Roger, recomendo que da próxima antes de escrever outra besteira como essa, certifique-se de suas fontes e procure conhecer melhor sobre o assunto ao invés de denegrir os profissionais de auditoria com péssimas analogias.

  • Renata

    Esse artigo generalizado, sem informação coerente e tosco é que está sendo alvo de diversas piadas na maioria das empresas e por profissionais compententes!! Lamentável autor que se diz especialista….só se for em desenho animado (dos anos 80 ainda) e de falar bobagens!!!

  • Dani

    Sera que de fato vc possui conhecimento suficiente para dar esse tipo de opiniao? É um tanto questionavel pos nao sei de onde vc tirou a informacao de que auditor coloca uma ISO debaixo do braco e sai “canetando” seus auditados!!!! Com certeza seu nome esta sendo bem questionado neste mercado!!!! Mas garanto que seria pela sua qualidade de informacao!!!!

  • http://www.epsec.com.br/blog/ Denny Roger

    Prezado Carlos_CISA, obrigado por acompanhar os artigos e enviar os seus comentários.

    Voce já pode começar a celebrar os progressos alcançados nos programas de auditoria do Sistema de Gestão da Segurança da Informação (SGSI), sem cair na ilusão de que a estrada já está pronta. ;-) O Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization) e do qual sou um dos membros, está trabalhando no desenvolvimento de duas novas normatizações que tem como objetivo:

    – Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento às àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);

    – Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.

    Voce está mais do que convidado a fazer parte Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000) e aproveitar para conhecer os nossos trabalhos, conforme descrito acima, aproveitando também para compartilhar as suas experiências. Venha colaborar no desenvolvimento de padrões internacionais sobre auditoria do Sistema de Gestão da Segurança da Informação (SGSI).

    Espero que voce continue sempre acompanhando os artigos e as notícias do IDG Now!.

    Um feliz ano novo para voce, leitor do IDG Now!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Marcos Paulo Reis, obrigado por acompanhar os meus artigos e enviar seus comentários.

    Tenho boas novas para voce. As equipes de auditorias devem, muito em breve, começar um processo de reciclagem de suas competências especificas em segurança da informação. As organização estarão desenvolvendo um planejamento prévio para criar um plano diferenciado de treinamento para os envolvidos com o processo de auditoria. A aquisição de conhecimentos inicia-se formalmente através da formação de auditores líderes no Sistema de Gestão da Segurança da Informação (ISO/IEC 27001) e continuará evoluindo, muito em breve, através dos futuros padrões internacionais ISO IEC 27007: Guidelines for ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS controls. É importante ressaltar que estes dois documentos estão em fase de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000) da qual sou um dos membros.

    Venha fazer parte desse grupo de profissionais que está criando novos padrões para a área de auditoria. Sua experiência e contribuição serão bem vindas.

    Um ótimo ano novo para voce e continue acompanhando os meus artigos.

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Tec_fernando, obrigado por acompanhar os meus artigos e enviar os seus comentários.

    Fico feliz em saber que voce comenta sobre essa mistura entre políticas e procedimentos. Mas não se preocupe! Estamos trabalhando para ajudar as organizações a padronizarem seus processos internos, principalmente no estabelecimento e implementação de um Sistema de Gestão.

    Acredito que vale a pena voce conhecer a ISO/IEC 27003. A ISO/IEC 27003 (Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação), projeto elaborado pela Comissão de Estudo de Segurança da Informação (CE-21:027.00) do Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), foca nos aspectos críticos necessários para implantação e o projeto de um Sistema de Gestão da Segurança da Informação.

    Segundo a própria ISO/IEC 27003 “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005”.

    O processo descrito na ISO/IEC 27003 serve como um apoio a implementação da ABNT NBR ISO/IEC 27001:2005, tendo como objetivo, por exemplo, auxiliar a organização na elaboração de um plano para a implementação do Sistema de Gestão da Segurança da Informação, definindo a estrutura organizacional do projeto e obtendo a aprovação da direção.

    A ISO/IEC 27003 também apresenta exemplos de como atender aos requisitos da ABNT NBR ISO/IEC 27001.

    O projeto contou com o apoio meu apoio. ;-)

    Vale a pena voce entrar em contato com a ABNT e adquirir a norma agora mesmo. Pode ajudá-lo muito no desenvolvimento das suas atividades no dia-a-dia.

    E fique atento que em breve uma revolução deve surgir no processo de auditoria no Sistema de Gestão da Segurança da Informação. ;-)

    Um forte abraço e feliz ano novo!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Olá CISA, muito obrigado por continuar acompanhando os artigos e notícias que são publicados pelo IDG Now! Também quero agradecer voce ter disponibilizado seu tempo para comentar um dos artigos de um dos maiores portais de Tecnologia da Informação no Brasil.

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Marcos Cabral, CISA, muito obrigado por acompanhar os meus artigos e por enviar seu comentário.

    Atualmente, o Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization) e do qual sou um dos membros, está trabalhando no desenvolvimento de duas novas normatizações que tem como objetivo:

    – Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento às àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);

    – Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.

    As duas normas estão em fase de desenvolvimento e o cenário traçado para o futuro do programa de auditoria parece claro. Espero cada vez mais colaborar com o desenvolvimento desses novos padrões e quero convidá-lo a fazer parte deste time (não remunerado) que conta com alguns dos principais especialistas em segurança da informação do Brasil.

    Aproveito a oportunidade para deseja um feliz ano novo e espero que continue acompanhando os artigos.

    Forte abraço!!!!!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Mauro_CISA_Cobit_ITIL, fiquei muito feliz em saber que voce acompanha os meus artigos e também que enviou seu comentário.

    Aproveitando a oportunidade quero convidá-lo a conferir um outro artigo meu “The immortals and mortals of information security”.

    Por favor, acesse:
    http://www.myinfosecjob.com/2010/02/the-immortals-and-mortals-of-information-security/

    Aguardo voce nas minhas próximas palestras sobre o assunto e caso voce ministre palestra ou publique artigos, por favor, compartilhe conosco.

    Feliz ano novo e um abração!!!!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Olá Zabeu, obrigado por ler os meus artigos e por enviar seus comentários.

    Estamos trabalhando para melhorar as atividades e os benefícios de uma auditoria focada no Sistema de Gestão da Segurança da Informação.

    O Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization) e do qual sou um dos membros, está trabalhando no desenvolvimento de duas novas normatizações que tem como objetivo:

    – Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento às àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);

    – Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.

    Voce está mais do que convidado a fazer parte Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000) e aproveitar para conhecer os nossos trabalhos, conforme descrito acima, aproveitando também para compartilhar as suas experiências.

    Espero que voce continue sempre acompanhando os artigos e as notícias do IDG Now!.

    Um feliz ano novo e um forte abraço!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Fernando – ITIL,COBIT, muito obrigado por ler os meus artigos e participar ativamente dos comentários.

    Tenho uma notícia boa para voce. Como voce comentou que é auditor tenho certeza de que irá ficar muito feliz com a novidade. Vai facilitar muito o seu dia-a-dia. ;-)

    As equipes de auditorias devem, muito em breve, começar um processo de reciclagem de suas competências especificas em segurança da informação. As organização estarão desenvolvendo um planejamento prévio para criar um plano diferenciado de treinamento para os envolvidos com o processo de auditoria através dos futuros padrões internacionais ISO IEC 27007: Guidelines for ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS controls. É importante ressaltar que estes dois documentos estão em fase de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000) da qual sou um dos membros.

    Um excelente ano novo para voce e continue acompanhando os meus artigos.

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Olá Dani, obrigado por acompanhar os meus artigos e enviar seu ponto de vista sobre o assunto.

    Tenho boas novas para voce. As áreas de auditoria estarão passando por um reposicionamento.

    Esse reposicionamento da auditoria, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), exige uma capacidade maior de analisar informações técnicas cada vez mais complexas. O fato ocorre porque as ameaças e os controles de segurança da informação evoluem constantemente. A segurança da informação e a tecnologia da informação são muito dinâmicas. Os livros, os cursos e as faculdades, não conseguem acompanhar essa evolução. Por essa razão que a maioria dos profissionais que atuam na área de segurança da informação possuem um perfil autodidata. Os criminosos que atuam na internet também são autodidatas, inclusive são essas pessoas que desenvolvem novos golpes quase que diariamente.

    Os auditores precisam desenvolver cada vez mais sua capacidade de analisar informações complexas em profundidade suficiente para identificar eventuais riscos e oportunidades de melhoria no processo de segurança da informação.

    As áreas de auditoria também deverão atualizar suas metodologias para auditoria do Sistema de Gestão de Segurança da Informação, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), incluindo uma série de passos a serem seguidos para garantir a aplicação correta de uma comparação da situação atual da organização com os resultados esperados.

    A atualização da metodologia pode contar com o apoio dos departamentos Jurídico e de Compliance, que explicarão como obter informações derivadas de obrigações de conformidade legal e normas pertinentes ao setor de atuação da organização. As equipes de Segurança da Informação e Tecnologia da Informação podem fornecer informações sobre boas práticas adotadas pela organização e como são estabelecidos os controles.

    Gostou? ;-) Continue acompanhando os meus artigos e conheça as novidades que devem chegar ao mercado em breve sobre auditoria focada em segurança da informação.

    Aguardo voce e seus colegas para as minhas próximas palestras sobre o assunto. Será uma excelente oportunidade para a troca de experiências. Também aguardo um convite seu ou de seus colegas para alguma palestras que voces realizem sobre o assunto.

    Um ótimo ano novo!!!!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Olá Lars, fico muito contente em saber que voce está acompanhando os meus artigos e também seguindo as publicações no Twitter.

    Continue assim, vou publicar novos artigos sobre o assunto e novidades sobre o que está acontecendo no processo de auditoria do Sistema de Gestão da Segurança da Informação.

    Forte abraço caro leitor e um feliz ano novo para voce.

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Flabio CTO, obrigado pelo seu comentário e por acompanhar os meus artigos.

    Tenho boas notícias para voce que como CTO (Chief Technical Officer) serão de grande utilidade.

    Muito em breve, a expectativa é de que as organizações realizem a reestruturação da área de auditoria trazendo uma atualização no conhecimento dos auditores e também no uso de novas metodologias. Essa evolução será necessária para sinalizar o compromisso dessa área com as metas de segurança da informação e gestão de risco da organização. Mas para isso, é preciso olhar para um horizonte mais amplo, buscando orientação de outras áreas de apoio na organização para a avaliação da adequação e efetividade dos controles estabelecidos e implementados, incluindo uma abordagem baseada na Governança da Segurança da Informação e nos riscos operacionais.

    Um abração para voce e um feliz ano novo!!!

    Denny Roger

  • http://www.epsec.com.br/blog/ Denny Roger

    Prezada Renata, obrigado por seu comentário e por acompanhar os meus artigos.

    Os auditores precisam desenvolver cada vez mais sua capacidade de analisar informações complexas em profundidade suficiente para identificar eventuais riscos e oportunidades de melhoria no processo de segurança da informação.

    Fico muito feliz em saber que a minha experiência tem sido aproveitada e reconhecida no Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization). Também estamos trabalhando no desenvolvimento de duas novas normatizações que tem como objetivo:

    - Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento às àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);

    - Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.

    Continue sempre acompanhando os meus artigos e enviando seu comentários.

    Um feliz ano novo para voce!!!!

    Denny Roger

  • Auditor

    Caro Denny Roger, você deveria pesquisar antes de sair falando bobagens, o ISACA e The IIA já estabeleceram diretrizes para a educação continuada de auditores. Quanto a Segurança da Informação, as ISO são muito fraquinhas pesquise sobre CISM do ISACA, lá tem um bom material que seria muito útil para um auditor elaborar um plano de trablaho. De nada adianta a ISO fazer um plano de trabalho de as empresas não seguem as normas. A IDG deveria ter vergonha do seu anúncio e tirar do ar depois de todos esses comentários negativos, assim como você deveria estudar mais um pouco para falar com propriedade sobre o assunto!!!

  • Leonardo Soares

    É preciso separar o joio do trigo. Vivemos na era da informação, do wikipedia, dos blogs, do twitter, e, nessa onda, vieram centenas de milhares de dados que são lançados na Web sem qualquer critério ou fonte confiável. Sim, estamos todos nós correndo o risco de nos depararmos com esse caos digital. Cabe a nós, leitores, sabermos a hora de trocar de canal, mudar de página, apertar o “power-off”, escolher uma boa leitura e referências sólidas para nossas atividades profissionais. Algumas das possíveis técnicas para despejo de conteúdo na rede com o objetivo de obter “fama” são várias: – cause polêmica, – fale mal de alguém, – critique, – fale, por exemplo, de desenhos e cruze com assuntos do universo corporativo etc. Pior ainda são os casos de tentativas de venda de treinamento e palestra na rede, em que o desastre é ainda maior. Mas, para nossa sorte, não há técnica que resista sem fundamentação teórica convincente e consistente. As generalizações, as opiniões abertas, a ausência de dados concretos (números, estatísticas etc) tornam a informação vaga o suficiente virando assim demagogia. Aliás, no clima de desenhos, personagens infantis e tecnologia proposto pelo autor do artigo, quando me deparo com essas “fantasias virtuais” divulgadas na rede, me vem na mente os gnomos, o pinóquio, e principalmente o cavalo de madeira de Tróia que propõe algo e revela outro. É como um programa de computador que parece ser útil, mas na verdade causa danos. A liberdade de expressão está prevista na Constituição Federal e o seu limite deveria terminar quando começasse a liberdade de expressão do outro. Infelizmente a permissividade aliada à publicidade da internet faz com que essa tal expressão vire na verdade um grande expressionismo monocromático da realidade que ao invés de impulsionar e multiplicar determinado assunto, profissão ou área acabam causando sim um retrocesso de idéias. Não é preciso ser Auditor ou Security Officer para compreender e logo em seguida descompreender a estranheza causada pelo artigo ao relativizar temas importantes, já que se trata de alguém que assina como membro de Comitê Brasileiro de GSI. Mas, parafraseando as palavras do autor, “não deve ser culpa dele, a responsabilidade de tudo isso é de quem contratou esse profissional”. Nesse vai e vem da informação, notícias faraônicas chegam até os internautas em velocidade “supersônica”, jamais imaginada na época de Tróia, e, é com essa mesma velocidade, que nós devemos aplicar os filtros do bom e do ruim para que possamos tirar o melhor proveito do joio e do trigo virtual. E por favor, não precisamos de “Control+C” e “Control+V” nas respostas, nesse caso é melhor a abstenção.

  • JP

    Muito tosco seu artigo. Esta matéria demonstra seu total desconhecimento das áreas de auditoria e segurança da informação. Usando sua analogia, você merece um “Meteoro de Pégasus” na orelha!

  • Hamiltonpg

    Caro Denny

    Li seu artigo e confesso que não consegui ir até o final. Minha vó dizia que para falar que sua casa é bonita você não precisa esculhambar a do vizinho. Sobre o artigo, a única vertente correta nele, ao meu ver, é que A SI realmente não deve ficar sob TI pela própria importância que a área merece, devendo, sim, ter vida própria dentro das empresas e respondendo direto ao CEO.
    Com muita experiência tanto em TI como em auditoria de TI, me sinto à vontade para não criticar, mas compartilhar algo que acho justo, perante as críticas por você apresentadas. elas não estão de todas equivocadas, é que voc~e generalizou e quando faz issso, torna seu artigo leviano. Em algumas empresas, principalmente nacionais e menores você pode observar esse quadro. Entendo que seu comentário pssoal foi baseado em experiência desagradáveis. Se você pesquisar mais a fundo poderia observar que muitas empressas possuem ótimas áreas de Auditoria interna de tecnologia, que não se utilizam apenas das normas citadas por você, mas também de metodologias como ITIL, Cobit, Coso, auditores com certificações CISA e outras,enfim… Também não podemos negar que no Brasil a importante área de auditoria de TI,está sub-julgada na hierarquia da própria auditoria, então não recebeu ainda a tal da “armadura sagrada” proposta por você. Essa situação da auditoria de TI é quase idêntica à da segurança da informação. O que precisa ser feito é colocar os pingos nos I's. E sobre a área de segurança estar sob TI, posso dizer é para poder fazer o que quizer na hora que bem entender, sem dar satisfação a ninguém. Nesse aspecto pode estar havendo falha da auditoria por permitir, não monitorar essas ativdades da maneira adequada. Mas jamais generalize, pois isso invalida qualquer artigo.

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Leonardo Soares, obrigado pelo contato e pelo envio dos seus comentários. Obrigado também por avaliar as demais respostas ao artigo.

    A internet e a segurança da informação são terrenos que precisamos avançar muito. A reciclagem dos conhecimentos contidos em diferentes temas (por exemplo, classificação da informação, cloud computing, perícia forense etc) ocorre com mais freqüência, graças ao crescente número de novas ameaças e regulamentações. Ao mesmo tempo que aumenta o número de ameaças e controles relacionados a segurança da informação e TI, são lançadas publicações que permitem aos profissionais reciclarem seus conhecimentos.

    As publicações apresentam estratégias do setor, retratam com muita nitidez o estabelecimento da melhoria continua e revelam informações que são amplamente utilizadas por organizações que investem em seus atributos competitivos.

    Forte abraço!

    Denny Roger

  • Nader Santos

    Porque voce recorta e cola a mesma resposta para colocações e perguntas completamente diferentes?

  • http://pulse.yahoo.com/_R6SDN7I7JUG4AZIRZVNUBM5APA Joao

    Olá a todos!

    Li muitos dos comentários e apenas faço uma pergunta: o autor está errado? Na minha opinião, claro que não.
    Vivenciamos diariamente empresas negligenciando a segurança da informação, ou como é explicado no artigo, empurrando tudo referente ao plano de segurança da informação para o departamento de TI. É fato. Bem lembrado o caso do RH nunca avisar sobre a transferência ou demissão de um funcionário. Esse erro torna-se um agravante à quebra da seguança. O elo mais fraco. O ser humano. O funcionário. Não há nada de errado com o que o autor escreveu. Muito pelo contrário, o artigo é claro e ele apenas utilizou-se de algumas poucas comparações com um seriado juvenil dos anos 90, que, para quem assistiu, sabe do que ele está falando e teve boas lembranças!

    Abraços

    João Luis

  • http://pulse.yahoo.com/_R6SDN7I7JUG4AZIRZVNUBM5APA Joao

    Olá a todos!

    Li muitos dos comentários e apenas faço uma pergunta: o autor está errado? Na minha opinião, claro que não.
    Vivenciamos diariamente empresas negligenciando a segurança da informação, ou como é explicado no artigo, empurrando tudo referente ao plano de segurança da informação para o departamento de TI. É fato. Bem lembrado o caso do RH nunca avisar sobre a transferência ou demissão de um funcionário. Esse erro torna-se um agravante à quebra da seguança. O elo mais fraco. O ser humano. O funcionário. Não há nada de errado com o que o autor escreveu. Muito pelo contrário, o artigo é claro e ele apenas utilizou-se de algumas poucas comparações com um seriado juvenil dos anos 90, que, para quem assistiu, sabe do que ele está falando e teve boas lembranças!

    Abraços

    João Luis