Belo Horizonte 2013 Paolo Bordoni Caldeira gestão de risco

6CONSIDERAÇÕES FINAIS

As entrevistas mostram a percepção das empresas e das áreas de tecnologia quanto o assunto é segurança da informação e considerando os objetivos propostos no primeiro capítulo deste trabalho:

• 
  Identificar quais empresas tem consciência sobre gestão de risco.
  
• 
  Identificar se através dos questionários para quais ataques as empresas estão mais suscetíveis.
  
• 
  Identificar quais empresas conseguem quantificar o valor do bem informacional.
  
• 
  Identificar quais empresas apresentam evolução e melhoria contínua na área de segurança.
  

Conclui-se, que das empresas entrevistadas, segurança da informação é um assunto tratado com diversas perspectivas e prioridades. Dos empresários entrevistados, a maioria não entendem os riscos para o negócio e adoptam somente práticas, procedimentos e ferramentas básicas para prevenir e promover o mínimo de segurança, nenhuma das entrevistas possuem gestão de risco ou qualquer plano de continuidade de negócio.

As empresas possuem uma preocupação, muito grande, somente em ter um meio de voltar os dados em caso de perda, assim o primeiro ponto abordado pela maioria foi o backup como procedimento primário e somente depois vem a preocupação de prevenir o acesso à informação por meio externo. Somente a Phoenix, que tem a preocupação em manter e desenvolver procedimentos que garantam a continuidade do negócio e foi somente ela que trata a área de TI como uma área estratégica enquanto todas as outras tratam como suporte.
A Análise de Impacto no Negócio (BIA) admite que a análise seja realizada somente tendo em vista os stakeholders internos da empresa em não os externos, partindo da premissa que empresas de grande porte adotam análise de risco e procuram direcionar-se através das melhores práticas e que em um cenário globalizado empresas de grande e pequeno porte podem compartilhar de informações sigilosas, a omissão das empresas de porte menor sobre a importância de se fazer uma análise de risco e principalmente adotar procedimentos seguros pode colocar em risco todo o projeto de segurança realizado por grandes corporações. O inverso também é verdadeiro quando pensamos que grandes corporações podem ignorar os cenários encontrados em empresas de menor porte, pelo simples fato que metodologia como a Análise de Impacto da Empresa (BIA) enumera que deve centralizar a análise internamente.
Seguindo a linha de raciocínio que o elo fraco na gestão de segurança é o fator humano e que nas empresas entrevistadas este fator não faz parte de decisões quando adoptado algum método de segurança e que só foi possível ver o uso de estratégias tecnológicas é possível concluir que as empresas de pequeno e médio porte são o elo fraco dentro da cadeia de gestão de segurança da tecnologia da informação. Sabendo deste fato e que a informação é volátil e que pode estar disponível em vários lugares ao mesmo tempo, nos remete a um ambiente interessante. Um projeto de segurança de uma grande empresa pode ter sérias falhas de segurança se não for levado em consideração quais informações estarão de posse de seus parceiros e quais os níveis de segurança de estes possuem.
Das empresas entrevistas todas elas possuem rede wireless visível e nunca alteraram o SSID, os rádios usados são domésticos e fecham conexão em WPA/ WPA2, permitindo que o atacante gerasse uma Rainbow Table e acessasse a rede local pela radio. Dentro da rede ele poderia executar o método Man In The Middle para redirecionar os pacotes para seu computador e então obter informações como senhas. O ataque de Man in The Middle também seria possível executá-lo associado com técnicas de Engenharia Social se passando por fornecedores ou possíveis clientes, tendo acesso as redes cabeadas ou wireless. Isto se dá porque nenhuma das empresas possuem redes separadas de visitantes e permitem que visitantes acessem a redes corporativa para usufruir da internet. Podemos concluir que todas as empresas entrevistadas possuem redes locais vulneráveis.
Novamente somente a empresa Phoenix sabia o real valor da informação dentro de sua organização e conseguia contabilizar isto, ao ponto de definir que era mais prudente tirar de dentro as organização a gestão destas informações críticas e deixá-las para gestão de uma equipe qualificada, esta estratégia vai além do valor dado a sua informação esta vinculada a continuidade do negócio. As demais empresas não tem mensurado o valor da informação e acreditam estar promovendo continuidade TI através de simples estratégias de backup e não promovem continuidade de negócio. Não existe continuidade de TI sem continuidade de negócio e esta falsa sensação trazem grandes prejuízos a estas empresas quando um incidente ocorre.
Alguns dos entrevistados conheciam os ataques e as possibilidades na teoria, somente a empresa Phoenix possuía um comitê de segurança desenvolvido, as demais deixavam por conta da área de TI ou não possuíam, assim concluo que a Phoenix que estava preparada para responder de forma efetiva a algumas ameaças, mas as demais tinham respostas somente reativas.
A reação reativa é algo que se percebe em vários cenários, mesmo quando o risco é conhecido, esta atitude está atreladas a um fator cultura, seja da empresa ou da região, não é comum vermos empreendedores brasileiro de pequeno e médio porte adotando medias preventivas.
É um fato que empresas de menor porte não estão preparadas para garantir a segurança de sua informação e principalmente de parceiros maiores. Isto acontece, nem tanto pela tecnologia adotada, mas pela postura empresarial e consciência do micro empreendedor em relação à importância dada à informação. Metodologias de Gestão de Projetos, especificamente a Gestão de Risco, não fazem parte do cotidiano e cultura do pequeno empreendedor e esta postura podem impactar diretamente na eficácia dos resultados de projetos de segurança que não levam ou levantam possibilidades nos cenários dos Stakeholders por onde as informações iram transitar.
Neste contexto, as entrevistas demostram que as empresas de pequeno e médio porte são vulneráveis quando o assunto é manter suas informações seguras, os resultados corroboram com outras experiências empíricas vividas com outras empresas visitadas ao longo da minha vida profissional e que não fizeram parte das entrevistas.

A formação do comitê de segurança permite que todas as áreas, ou pelo menos as mais importantes para o negócio, estejam presentes permitindo que o processo de segurança seja desenhado sem engessar a organização e torná-la improdutiva.

A adoção de firewall, acesso por nível de usuário, antivírus, isto é mínimo que se espera de qualquer empresa, mas pesquisas mostram que a maioria dos ataques vem no ambiente interno, assim é necessário que as empresas quebrem a crença de investimento em tecnologia é somente para grandes corporações porque não e na verdade elas estão totalmente vulneráveis.
Empresas de grande porte, principalmente as do mercado financeiro e alta tecnologia, possuem a cultura de sistematizar e implantar comitês de segurança para gerir os acessos às informações sejam eles acessados de forma física quanto de forma eletrônica, porém a mesma informação pode estar disponível em vários formatos e em vários lugares ao mesmo tempo e é devido a esta característica, que mapear os caminhos percorridos pela informação é uma tarefa extremamente difícil; dando à gestão de risco e procedimentos de segurança um maior nível de importância a estes planejamentos.
O estudo visto de um do ponto de vista da metodologia de gestão de projetos junto com as metodologias de segurança da informação mostrou um caminho que Gestão Risco remete a segurança. A gestão de risco, tanto em projetos quanto em segurança da tecnologia da informação, visa trazer segurança ao bem, no caso de projeto é na maior parte das vezes a conclusão dos pacotes de trabalho dentro do escopo, prazo e custos planejados.
No auxílio à tomada de decisão o método do Cynefin torna-se uma ferramenta de extrema utilidade auxiliando o gestor a classificar melhor o cenário. Desta forma a estratégia de resposta e até mesmo as estratégias de gestão podem ser melhores direcionadas. Um exemplo de uso do Cynefin seria classificar o ambiente das empresas de menor porte colocando-os em cada quadrante, com isto o gestor tem um embasamento teórico para dizer que determinadas empresas não tem uma solução aparente a ser tomada, sendo estas as empresas classificadas nos quadrantes da esquerda, complexo e caótico.

Neste sentido é importante que empresas de menor porte comecem a conscientizar que as informações sigilosas e importantes de seus clientes e parceiros trafegam em suas redes e segurança da informação vai além de equipamentos eletrônicos e computadores, conhecer o bem informacional e seu valor é crucial para que se dê a devida importância a sua gestão e consciência que na cadeia que a informação percorre empresas deste porte tão importantes quantos as grandes corporações.

As grandes corporações por sua vez são convidadas e refletir em seus projetos levando em consideração não somente o ambiente em que elas estão expostas, mas também as que seus Stakeholders também estão. Seguindo o raciocínio que Gestão de Risco em projetos promove a segurança no projeto deixando-o mais preparado a responder as ameaças. Em projetos de segurança da informação o ambiente no qual os stakeholders estão expostos é matéria de gestão por parte do GP, sendo que neste tipo de projeto a exposição dos stakeholders pode interferir diretamente em seu sucesso.
.

REFERÊNCIAS

BRITO, Osias Santana. Gestão de Riscos: Uma abordagem orientada a riscos operacionais. São Paulo: Saraiva, 2007.

DAYCHOUM, Merhi. Gerência de Projetos: Programa Delegacia Legal. 1ªEd. Rio de Janeiro: Brasport, 2005.

DINSMORE, Paul C. AMA: Manual de gerenciamento de projetos. 1ªEd. Rio de Janeiro: Brasport, 2009.

DIÓGENES, Yuri ; MAUSER, Daniel, Certificação Security + Da Prática para o Exame SYO-301. Rio de Janeiro: Novaterra, 2011.

DULANEY, Emmet. Comptia Security + Study Guide. 5ª Ed. Canada: Wiley Publishing, 2011.

GALVÃO, M. Análise Quantitativa de Riscos com Simulação de Monte Carlo. Mundo PM. Curitiba, 2005. Disponível em: Acesso em: 17 fev. 2013.

LAUDON, Kenneth C. e LAUDON, Jane Price. Gerenciando Sistemas de Informação. Rio de Janeiro: Ed. LTC, 1999.

KEZNER, Harold, Gestão de Projetos. 2ª Ed. Porto Alegre: Bookman, 2006.

MAGALHAES, Ivan Luizio e PINHEIRO, Walfrido Brito, Gerenciamento de Serviços de TI na Prática, São Paulo: Novatec, 2007.

MITNICK, Kevin D. e SIMON, Willian L. A Arte de Enganar. São Paulo: Ed. Makron Books, 2005.

OFFICE GOVERNMENT COMMERCE. Managing Successful Projects with PRINCE2. 6ª Ed. United Kington: TSO, 2009.

PADOVEZE, Clóvis Luís; BERTOLUCCI, Ricardo Galinari. Gerenciamento do Risco Corporativo em Controladoria. 2ª Ed. São Paulo: Cengage Learning, 2009.

PASSOS, Maria Luiza Gomes de Souza. Gerenciamento de projetos para pequenas empresas: combinando boas práticas com simplicidade. 1ªEd. Rio de Janeiro: Brasport, 2008.

POSSI, Marcus. Gerenciamento de Projetos: Guia do Profissional. Volume 3 - Fundamentos Técnicos. 1ªEd. Rio de Janeiro: Brasport, 2006.

PROJECT MANAGEMENT INSTITUTE. PMBoK: Um Guia do Conhecimento em Gerenciamento de Projetos. 4ª Ed. EUA: Mix Paper, 2008.

SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro: Ed. Campus, 2003.
SNOWDEN, David J.; BOONE, Mary E., A Leader's Framework for Decision Making, Harvard Business Review, 2007.

STAIR, Ralph M.; REYNOLDS George W. Princípios de Sistemas de Informação: Uma Abordagem Gerencial. São Paulo: Ed. Pioneira Thompson Learning, 2006.

TAN, Ding, Quantitative Risk Analisys Step-By-Step. Versão 1.4b. SANS Institute, 2002. Disponível em:  Acesso em: 15 fev. 2013

ANEXO 1 – Engenharia social

Certa vez esta em um restaurante com Henry e seu pai. Durante a conversa, Henry respondeu seu pai por dar o número de seu cartão de crédito como quem dá o número do telefone. ”É claro que tem que dar o número do seu cartão quando compra alguma coisa.”, ele dizia. “Mas dá-lo em uma loja que arquiva o seu número em seus arquivos – isso é burrice.”

“O único lugar em que faço isso é na Studio Vídeo”, disse o Sr. Conklin, referindo-se a mesma cadeia de locadoras de vídeo. “mas verifico a minha fatura todos os meses. Eu percebo se eles começaram aumentar a conta.”

“É claro”, salientou Henry, “mas depois que eles tem seu número, qualquer pessoas pode roubá-lo.”

“Você se refere a um funcionário desonesto?”

“Não, qualquer pessoa e não apenas um funcionário.”

“Você está dizendo bobagens”, retrucou o Sr Coklin.

“Posso ligar agora mesmo e fazer com que eles me deem o número do seu cartão Visa”, respondeu Henry.

“Não, você não pode”, afirmou o pai.

“Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da mesa.”

O Sr. Coklin olhou firme, o olhar de alguém que se sentia seguro, mas que não queria mostrar isso. ”Digo que você não saber do que está falando”, desafiou, tirando do bolso a carteira e jogando uma nota de 50 dólares na mesa. ”Se fizer o que está dizendo, o dinheiro é seu.”

“Não quero seu dinheiro pai”, disse Henry.

Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxílio à Lista pedindo o número de telefone e também o número da loja da região de Sherman Oaks.

Em seguida, ligou para a loja de Sherman Oaks. (...) ele rapidamente conseguiu o nome do gerente e o número da loja.

Ligou para a loja que seu pai tinha a conta. Ele usou o velho truque de se fazer passar pelo gerente, deu o nome do gerente com o seu próprio e o número da loja que havia obtido. Tornou a usar o mesmo truque: ”Os seus computadores estão funcionando hoje? Os nossos às vezes funcionam, às vezes não. ”Ouviu a resposta e continuou: ”Bem, tenho um dos seus clientes aqui comigo e ele quer alugar um vídeo, mas os nossos computadores estão fora do ar agora. Preciso ver a conta do cliente e ter certeza de que ele é um cliente da sua loja.”

Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variação da técnica, pediu para elas ler as informações da conta: endereço, número de telefone e a data em que a conta foi aberta. Depois disse: ”Ouça, estou com um fila enorme de cliente aqui. Qual o número do cartão de crédito e a data de vencimento?”

Henry segurou o celular no ouvido com uma das mãos e com a outra escreveu em um guardanapo de papel. Ao terminar a ligação, ele colocou o guardanapo na frente do pai, que ficou olhando para o número de boca aberta. O pobre senhor parecia totalmente chocado, como se todo o seu sistema de confiança tivesse do por água abaixo. (MITNICK, A Arte de Enganar, p. 36 – 37).