O (ISC)² se instalou no Brasil

Esse post está razoavelmente atrasado, mas como nem todo mundo está sabendo, convém divulgar. Há cerca de três meses me desliguei da Módulo para assumir um novo desafio profissional. Após sete anos trabalhando como Senior Lead Instructor do (ISC)², recebi o convite para assumir a dianteira de todas as iniciativas de desenvolvimento de mercado, marketing e distribuição comercial na América Latina. Nosso primeiro evento oficial foi o Interop São Paulo, onde realizamos a primeira recepção oficial do (ISC)² no continente, onde estiveram presentes diversos CISSPs e SSCPs, experientes e recém chegados, num evento de networking e confraternização. Na ocasião, estiveram presentes a Maria da Graça Bianchi e o Walmir Freitas, os dois brasileiros que fazem parte do Advisory Board das Américas. Essas recepções são normalmente exclusivas para profissionais certificados, mas como foi a primeira que fizemos, resolvemos abri-la para o público em geral, de forma que os congressistas do Interop puderam conhecer mais a respeito do (ISC)² e suas certificações. Nos próximos 18 meses estaremos anunciando uma série de iniciativas no continente, incluindo a expansão do nosso programa de revendas oficiais, de forma a levar os cursos preparatórios para as certificações do (ISC)² para diversos países latino-americanos, incluindo uma cobertura melhor no Brasil. Maiores informações estão disponíveis no press release oficial que soltamos durante o evento.
Read More
Blog, ClippingAnderson RamosCarreira Comments
Excelente material sobre PCI DSS em português

O Eduardo Camargo Neves, sempre ele, publicou uma excelente referência em português sobre o padrão PCI DSS, uma iniciativa de comformidade que afeta praticamente todas as empresas que aceitam pagamento via cartão de crédito, de postos de gasolina a lojas virtuais. Se você andava procurando uma fonte única sobre o tema e anda meio sem tempo, mas gostaria de saber mais sobre o assunto, lá é o lugar certo. Entendendo o PCI DSS.
Read More
BlogAnderson RamosGestãoComment
Dan Kaminsky fez certo

dan2.jpg

Não seria um exagero dizer que a Internet inteira (ou pelo menos a parte que consegue entender o problema a seguir) não fala de outra coisa desde que Dan Kaminsky divulgou que havia descoberto uma séria vulnerabilidade estrutural no serviço de DNS. Na ocasião, ele informou que vinha trabalhando numa solução com os fabricantes de software e a comunidade DNS há meses e implorou para que todos atualizassem seus servidores em caráter de urgência. Em virtude da criticidade do problema, ele decidiu só revelar detalhes durante uma palestra que faria no próximo Black Hat. Ele queria que os administradores tivessem um prazo adequado para aplicar a correção. Além disso, escolheu o próximo evento de destaque onde falaria para colher a merecida publicidade como retorno pelo seu trabalho. Apesar da boataria que começou a rolar especulando sobre qual seria o problema, apenas ontem, por conta de um vazamento teoricamente acidental pelo pessoal da Matasano, é que ele se tornou oficialmente público. Os detalhes técnicos apenas enaltecem a conduta de Dan. O caso é uma séria vulnerabilidade estrutural que permite ataques de DNS cache poisoning, afetando a maioria dos servidores existentes. Fica difícil imaginar a quantidade de dinheiro que seria possível roubar com uma vulnerabilidade dessas, mas uma coisa é fato: seria possível vendê-la por muito, muito dinheiro. O próprio blog que vazou os detalhes estimava centenas de milhares de dólares. Após o comunicado oficial sobre o assunto, Dan foi atacado de todos os lados. Alguns o acusavam de estar tendo este tipo de conduta apenas para se promover. Outros argumentavam que gostariam de conhecer os detalhes do problema antes de aplicar a correção. Muitos tentaram desqualificar a descoberta, argumentando que ela não passava de problemas estruturais conhecidos há pelo menos uma década. Ao descobrir a vulnerabilidade, Dan entrou em contato de maneira extremamente reservada com os fabricantes e a comunidade que, desde então, vinham trabalhando na surdina para resolver o problema o mais rapidamente possível. Após o lançamento dos patches, Dan recusou-se a se vangloriar dos detalhes técnicos em primeira mão, priorizando o benefício de muitas pessoas que sequer o conhecem. Para vencer o ceticismo e angariar mais vozes na campanha do "atualize já", ele explicou pessoalmente os detalhes do problema para alguns especialistas, e foi justamente um deles que publicou "sem querer" os detalhes em seu blog (uma cópia do descritivo do problema está aqui), numa história difícil de colar, que lembra o e-mail enviado por engano por um funcionário da Casa Civil ao senador Álvaro Dias. Em épocas de democracia digital, onde a Internet permite que todos tenham voz, as discussões freqüentemente caminham para o relativismo, onde fica difícil defender qualquer tipo de posição em virtude de todas as perspectivas possíveis pelas quais podemos olhar para uma dada questão. E é precisamente por este motivo que o que Dan fez será lembrando por muitos anos, pois ele fez o certo. A pesquisa de vulnerabilidades tem uma importância inestimável para nossa indústria. Muitos a fazem, e pelas mais diversas razões, sejam elas nobres ou não. Alguns fazem porque gostam, outros porque, além de gostar, precisam da publicidade que as descobertas geram. Em outras palavras, gastam dinheiro em pesquisa ao invés de gastá-lo em marketing ou publicidade. Outros fazem por pura vaidade, e quando a publicidade espontânea não é compatível com o tamanho do ego e do sentimento de inferioridade do pesquisador, eles divulgam o problema antes que haja patches disponíveis, normalmente reclamando que "o fabricante foi notificado há dois dias e até agora não tinha feito nada". Alguns outros pesquisam as vulnerabilidades para vendê-las, seja para aqueles que as utilizam na produção de ferramentas destinadas ao crime em geral, seja para empresas idôneas que pagam por elas para notificar seus clientes em primeira mão. Neste ano eu jantei com Eli Jellenc da i-Defense, que é um dos maiores defensores, e foi um dos precursores, da política de pagar por vulnerabilidades. Eu sou favorável a este tipo de iniciativa, mas ela possui um componente perverso. Pode-se considerar, implicitamente, que a pessoa que pesquisa vulnerabilidades não se importa com uso que será feito delas e apenas com o dinheiro que ela vai receber. É quase a mesma suposição por trás da idéia de que pobreza leva a criminalidade, sem que o pobre tenha o livre arbítrio para decidir o que fazer, por mais que haja forças sociais que o empurrem para a marginalidade. Acho que os fabricantes devem pagar por vulnerabilidades descobertas por terceiros simplesmente porque é economicamente eficiente e saudável para nosso mercado. É muito barato eliminar vulnerabilidades através de um outsourcing da pesquisa. Faço, entretanto uma ressalva, pois essa abordagem pode sujeitar os fabricantes à chantagem e à extorsão: "se vocês não pagarem 10 mil dólares pela minha vulnerabilidade eu vou entregá-la para a quadrilha X, pois eles me pagam 8 mil". E aí é que está o cerne da questão. Dan poderia ter vendido a vulnerabilidade, poderia ter publicado os detalhes técnicos antes que um patch estivesse pronto, obtendo milhares de vezes mais atenção do que vem obtendo agora, e mesmo assim ele não o fez. Aos que argumentavam que queriam conhecer os detalhes antes da aplicação, sintam-se realizados, eles estão disponíveis e, neste exato, momento muitos servidores DNS já foram comprometidos e muitos ainda serão. O argumento de que a comunidade underground já tinha matado a charada poucos dias depois que os primeiros patches foram publicados, pois fizeram engenharia reversa, não se sustenta. Não temos que (e talvez nem mesmo devamos) evitar que a comunidade faça engenharia reversa dos patchs ou analise as mudanças no código fonte de aplicações abertas para entender o problema, mas o sujeito precisa ter um QI muito baixo para argumentar que o impacto trazido por isso é o mesmo que o que virá agora que o problema é amplamente conhecido e ferramentas vão permitir que até minha mãe consiga redirecionar usuários desatentos para um site falso de banco. Em épocas onde todo mundo pode falar qualquer coisa e ser atacado e acusado por todos os lados, nunca foi tão importante agir de maneira coerente com os valores nos quais você acredita. Questionado pelo Threat Level da Wired se ele estava puto com o vazamento teoricamente acidental (e, conseqüentemente, com a traição daqueles nos quais ele confiou detalhes do problema), Dan teve uma postura simples e correta: disse que isso não era importante, e que o importante mesmo era que tudo isso sirva como um alerta para que as pessoas atualizem os seus servidores DNS. Ou seja, ele foi coerente do começo ao fim. Enquanto muitos estão apenas preocupados em aparecer e matar a charada, entrando para a história como o cara que divulgou a falha, Dan está preocupado com o impacto que a Internet possivelmente vai sofrer. E ele estava desde o começo quando resolveu não divulgar a falha e trabalhar por meses junto aos fabricantes para que o problema fosse corrigido. Em tempo, você pode testar se o servidor DNS que você está usando está vulnerável no próprio site do Dan Kaminsky. Na dúvida (ou em caráter de emergência), é uma ótima oportunidade para você conhecer o OpenDNS e apontar sua estação pra lá.
Read More
Artigos, BlogAnderson RamosCarreira, Crime, Gestão, Segurança em Redes Comments
Revisão Oficial para a prova CISSP por R$1.195,00

cissp.jpg

Muitas pessoas que têm interesse em obter a certificação CISSP sentem falta de cursos oficiais de preparação a preços mais acessíveis. Estou trabalhando firme para mudarmos este cenário e o primeiro resultado concreto será uma versão especial do curso que ofereceremos no Interop São Paulo, entre os dias 11 e 13 de agosto. Por apenas R$1.195,00 será possível participar de uma versão de dois dias do seminário oficial de revisão. Este valor é quase um quarto do preço total de um curso padrão nos EUA. Além disso, aqueles que comprarem um passe completo para o evento também poderão participar sem custo adicional. Os alunos receberão material oficial do (ISC)², poderão tirar dúvidas a respeito do exame e dos conteúdos exigidos, e farão um simulado preparatório com perguntas que já caíram em provas passadas. As inscrições devem ser feitas aqui. Além disso, o exame poderá ser feito dentro do próprio evento no dia 14. As inscrições devem ser feitas diretamente no site do (ISC)². Os exames são unificados, sendo que todas as provas do (ISC)² estarão disponíveis no dia. Isso inclui, além do CISSP, exames para o SSCP e para os concentrations ISSAP e ISSMP.
Read More
BlogAnderson RamosCarreira, Gestão Comment
O melhor dos livros ficou melhor ainda

engineering.jpg

Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.

Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.

As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.

Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.

Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.

Read More
BlogAnderson RamosCarreira, Criptografia, Malware, Segurança em Redes, Sistemas Operacionais Comment
Cofre com chupa cabra

cofrecabra2.jpg

Os espanhóis inventaram as tapas e os cofres com uma propensão a clonagem de cartões de crédito. Eu já tinha visto essa engenhoca aí em hotéis de diversos países. Essa semana foi num hotel que eu estou aqui no Panamá. O princípio é bem intencionado: para simplificar o fechamento do cofre, sem criar com problemas de esquecimento de senhas, a porta abre e fecha com o cartão de crédito do hóspede. O avanço científico é fabricado por uma empresa de Zaragoza chamada BVT. A idéia é, obviamente, idiota. Um funcionário da manutenção pode colocar um clonador no cofre, contando ainda com a opção de selecionar os quartos mais luxuosos, pegando assim os cartões com os limites mais gordos. O dispositivo passaria despercebido pela operadora do cartão, já que o sistema do cofre é off-line e (provavelmente) não autorizado por ela
Read More
BlogAnderson RamosPerícia, Segurança Física Comments
20 equipamentos criptográficos pra tua lista de compras

Camargoneves.com

As histórias da criptografia e da computação nos últimos cem anos se confundem e se mesclam de uma forma muito interessante. Curiosamente, a maioria dos profissionais de tecnologia (e até mesmo muitos de segurança) desconhece essa relação. Se você nem sabia que havia relação entre essas duas coisas e ficou curioso, segue uma lista bem interessante de 20 dispositivos criptográficos, incluindo exemplares famosos e curiosos. Para quem tiver a oportunidade de um dia viajar para Londres ou Washington, ambas as cidades possuem museus interessantíssimos sobre o assunto. A uma hora e meia de Londres fica o famoso Bletchey Park, onde funcionou durante a segunda guerra o escritório do serviço de inteligência britânico que quebrou o Enigma nazista e muitos outros códigos. Trabalharam ali pessoas ilustres como Alan Turing, um dos pais da computação moderna. Já perto de Washington, com um acervo mais amplo e significativo, mas sem o mesmo apelo de Bletchey Park, fica o National Cryptologic Museum, mantido pela NSA, a agência nacional de segurança dos EUA.
Read More
BlogAnderson RamosCriptografia Comment
Guia gratuito de gerenciamento de segurança em português

ca2.jpg

A CA disponibilizou para o público brasileiro uma versão traduzida de um documento bastante popular, chamado de O Guia Definitivo para o Gerenciamento de Segurança. Embora o "definitivo", neste caso, possa soar um pouco pretensioso, o material cobre muitos aspectos, principalmente os básicos, a respeito do Gerenciamento de Segurança. O material é bastante focado na segurança em TI, embora muitos aspectos de segurança da informação em geral também sejam abordados. A parte de gestão de identidades também é muito boa e imparcial, considerando as circunstâncias. Por enquanto, apenas o primeiro capítulo foi publicado em português. Os capítulos seguintes serão lançados semanalmente. Para aqueles que não quiserem esperar a tradução, pode-se buscar na Internet os guias originais em inglês.
Read More
BlogAnderson RamosGestão Comments
Wiki para mapeamento de crimes

wikicrimes.gif

O WikiCrimes é um projeto de pesquisa da Célula de Engenharia do Conhecimento da Universidade de Fortaleza, sob a coordenação do Professor Vasco Furtado. O sítio é um mashup onde os usuários podem cadastrar crimes que tenham sofrido,  gerando estatísticas que podem ser visualizadas de diversas maneiras, incluindo uma visão geo-referenciada através do Google Maps.

Como os índices de notificação de crimes para as autoridades competentes nem sempre representam a realidade por uma série de fatores, a idéia do sítio é criar uma base alternativa que possa ser contrastada com os dados oficiais.

Read More
BlogAnderson RamosCrime, Gestão, Segurança FísicaComment
[OFF-TOPIC] Nerds no dia dos namorados
Evito ao máximo escrever coisas não relacionadas à segurança. Desde que o blog entrou no ar, essa é provavelmente a primeira vez. Mas é que eu vi algo realmente divertido e achei que seria legal abrir uma exceção nesse dia dos namorados. De toda forma, espero que você tenha algo melhor para fazer no dia dos namorados do que ler esta tirinha ;-) Olha só: Os nerds também amam.
Read More
BlogAnderson Ramos Comments
Sobre os livros Security Officer 1 e 2

 Capa - Security Officer 1

Todos os dias recebo o contato de pessoas interessadas em adquirir o Guia Oficial para a Formação de Gestores em Segurança da Informação - Security Officer 1 e 2. Não me sinto à vontade para falar que os livros são bons, mas você há de convir que não há livro com um nome maior que esse no mercado nacional ;-) Falando sério agora: trabalhei como organizador e co-autor destes livros e fico muito feliz de saber que ambos estão esgotados. A Módulo, empresa que bancou a sua produção, continua entregando os livros para os alunos dos cursos da formação MCSO. Por hora, essa é a única forma de obter os livros hoje, em um pacote junto com o curso de formação. Há uma reimpressão sendo planejada para este ano ainda. Até lá, sobre a opção é tentar adquiri-los de segunda mão, em listas como a cisspBR@yahoogroups.com.
Read More
BlogAnderson RamosCarreira, Gestão Comments
Certificações Profissionais em Segurança da Informação - Parte 2B

certificates.jpg

Este é o segundo post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado, e a Parte 2A, onde as certificações de foco técnico foram analisadas. A Parte 2 do guia é destinada a detalhar as certificações. Nesse segundo post (2B), eu falarei sobre o CISSP, o MCSO e o CISM, que são as principais certificações de nível gerencial e consultivo.

CISSP

Não é exagero dizer que o CISSP (Certified Information Systems Security Professional) é a mais importante, e provavelmente uma das mais cobiçadas, certificações em SI. Principal título do (ISC)², o CISSP possui excelente reconhecimento internacional, sendo muitas vezes mencionado como um diferencial em programas de emissão de vistos de diversos países. Por isso, é a principal certificação para quem quer reconhecimento tanto no Brasil como no exterior, sendo que muitos a vêem como um passaporte internacional de trabalho. Com exceção dos EUA, onde o número de profissionais certificados beira os 40 mil, o CISSP é um título relativamente escasso na maioria dos países. No Brasil, apenas 200 profissionais possuem o título, havendo muito mais demanda do que oferta. Direcionado para profissionais de nível consultivo e gerencial, o CISSP é procurado tanto por técnicos como por gestores/consultores, embora o foco maior seja o último grupo. Se você quer um título de foco mais técnico que o CISSP, você deve procurar o SSCP, mantido também pelo (ISC)², ou o GIAC, mantido pelo SANS.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no site do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 499 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel (uma justificativa está disponível no artigo que fala sobre o SSCP). O exame possui 250 perguntas que devem ser respondidas em 6 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Apenas 225 perguntas entram na pontuação, sendo que as 25 restantes fazem parte de um processo de pesquisa de dificuldade e qualidade, mas o candidato não sabe quais são pontuadas ou não e deve tentar responder todas da melhor forma possível. O (ISC)² autoriza o uso de dicionários de tradução caso o exame seja aplicado em um idioma que não seja o nativo do candidato. O exame está disponível em inglês e em mais alguns idiomas que não incluem o português. Não existe período de carência em caso de reprovação. Os domínios que compõe o CISSP CBK (Common Body of Knowledge) são:
  • Access Control
  • Application Security
  • Business Continuity and Disaster Recovery Planning
  • Cryptography
  • Information Security and Risk Management
  • Legal, Regulations, Compliance and Investigations
  • Operations Security
  • Physical (Environmental) Security
  • Security Architecture and Design
  • Telecommunications and Network Security
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito a cada dois anos, onde profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O CISSP demanda requisitos prévios de experiência profissional. O candidato deve comprovar cinco anos de experiência em dois ou mais domínios de conhecimento dos que compõe o CBK. Como muitas vezes esse requisito gera dúvidas em relação a sua interpretação, há uma página especificando exatamente o que é aceito como experiência “direta em tempo integral”. Os candidatos que possuem diploma de mestrado ou graduação (curso de quatro anos) podem abater um ano de experiência. Esse desconto de um ano também é válido caso a pessoa possua uma certificação profissional aprovada pelo (ISC)². Dessa forma, ainda que utilize os descontos, o candidato tem que comprovar pelo menos quatro anos de experiência. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde é possível prestar o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do CISSP. Desta forma, o candidato comprova que possui conhecimentos, faltando apenas os requisitos de experiência para obter o certificado completo. Assim que experiência tiver sido acumulada, o diploma de Associate pode ser convertido no CISSP. Como no SSCP, todos os profissionais certificados pelo (ISC)² devem se comprometer com o Código de Ética do instituto e ter o seu formulário de registro endossado por outro profissional certificado. Todos os requisitos aqui apresentados são auditados por amostragem. Quem cai na malha fina deve prover documentação comprovando as informações apresentadas.

Validade

O CISSP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional e o título vai sendo renovado a cada período de 3 anos. Verifique no site do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o CISSP, a anuidade custa 85 dólares.

Preparação

Existem muitos livros disponíveis que podem ser usados na preparação para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the CISSP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros sugeridos caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Outro livro bastante utilizado em virtude da sua didática é o CISSP All-in-one Exam Guide, 4th Ed., escrito pela autora Shon Harris. Se você puder comprar os dois, eu recomendo. Se você quiser comprar apenas um, a literatura oficial é a melhor opção. Porém, encare o livro como uma literatura de referência ao invés de tentar lê-lo de capa a capa. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de cinco dias e inclui um simulado oficial de 100 perguntas ao final.

Veredicto

O CISSP é de longe o título mais reconhecido e demandado na área de SI, tanto no Brasil como no exterior. Ele é procurado por consultores e gerentes, além de técnicos querendo direcionar sua carreira para gerência/consultoria. Se você quer um título puramente técnico, o Security+, o SSCP e o GIAC são as opções mais adequadas em ordem de dificuldade e reconhecimento. A opção Associate do CISSP permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. A prova está disponível apenas em inglês. Se isso for um problema para você, a única opção é o MCSO, pois esta é a única certificação cujo exame está disponível em português.

Maiores informações

CISSP® - The International Gold Standard

MCSO

O MCSO (Módulo Certified Security Officer) é a mais popular certificação em SI do mercado brasileiro, contando hoje com 800 profissionais certificados. Criada em 2000, usando como inspiração outros títulos disponíveis no mercado, incluindo o próprio CISSP, o MCSO é uma certificação gerencial, voltada para o Gestor de Segurança da Informação. De todas as certificações aqui apresentadas, essa é a única que se encontra em português, o que acaba sendo um fator determinante para muitas pessoas. Embora a dificuldade de obter a certificação não seja tão grande quanto a do CISSP ou do CISM, sua penetração é maior, havendo profissionais certificados em vários estados brasileiros, enquanto que no CISSP há uma forte concentração no eixo São Paulo, Rio e Brasília.

Exame

A prova é composta de cerca de 200 questões de múltipla escolha, sendo que 60% são relacionadas à gestão e 40% relacionadas à tecnologia. As perguntas de gestão têm peso 2 e as de tecnologia têm peso 1. A nota de aprovação é 70% dos pontos possíveis. Os exames são aplicados pela Módulo, em geral, duas vezes por ano (cerca de Julho e Dezembro). O exame custa 499 reais, porém é gratuito para aqueles que fazem os dois cursos de formação da empresa. Existe um curso para a parte gerencial e outro para a parte técnica do exame. Caso o candidato não consiga passar, não existe período de carência para tentar novamente. Na prática, porém, ele terá que esperar cerca de seis meses, que é o tempo que normalmente transcorre entre um exame e outro. O conteúdo da prova está dividido entre assuntos gerenciais e tecnológicos:
  • Gestão
    • Conceitos Gerais de Segurança da Informação
    • Gestão de Riscos
    • Legislação, Regulamentação, Normas, Investigação e Ética
    • Política de Segurança da Informação
    • Classificação de Informações
    • Gestão de Continuidade de Negócios
    • Gestão de Pessoas em Segurança da Informação
    • Segurança Física e Operacional
    • Organização da Segurança da Informação
  • Tecnologia
    • Criptografia
    • Controle de Acesso
    • Segurança em Redes e Telecomunicações
    • Segurança em Hosts
    • Arquitetura e Modelos de Segurança

Requisitos

O MCSO possui requisitos de experiência profissional mais baixos que certificações similares como o CISSP e o CISM. Apenas dois anos de experiência profissional são demandados. Se o candidato participa de um curso de formação da Módulo, não há a necessidade de se comprovar experiência. Isso torna o MCSO um título atrativo para quem não tem muita vivência profissional, embora o custo se torne mais elevado, já que o profissional será obrigado a fazer os cursos preparatórios nesse caso.

Validade

O certificado MCSO é válido por 4 anos e renovável por períodos de quatro anos adicionais desde que o profissional participe de um programa de educação continuada similar ao do (ISC)². No geral, 160 horas de atividades são demandadas para cada ciclo. Um detalhamento completo do funcionamento do programa pode ser encontrado aqui.

Preparação

A melhor forma de se preparar para o MCSO é fazendo os cursos oficiais da Módulo. São dois curso de uma semana, cobrindo assuntos de gestão e tecnologias. Uma alternativa é tentar adquirir os livros e prestar a prova por conta própria. O problema é que os livros neste exato momento estão esgotados, havendo apenas a possibilidade de compra de segunda mão. Uma nova edição está sendo planejada para breve.

Veredicto

O MCSO é um título bastante reconhecido no mercado brasileiro, embora não conte com o mesmo prestígio de certificações como o CISSP ou o CISM. Entretanto, seu exame é o único aplicado em português, o que o torna a única opção para aqueles que têm dificuldade com outros idiomas. Seus requisitos de experiência profissional são mais baixos e podem ser descontados caso o candidato faça os cursos oficiais de formação da Módulo, embora os custos envolvidos devam ser avaliados. Seu foco é gerencial, portanto, se você procura uma certificação de nível técnico, você deve avaliar o Security+, o SSCP ou o GIAC em seu lugar (em ordem de dificuldade e reconhecimento).

Mais informações

Certificação MCSO

CISM

O CISM (Certified Information Security Manager) é um título mantido pela ISACA, instituição mundialmente reconhecida por ser a principal associação profissional voltada para o mercado de auditoria de sistemas. Entretanto, seu título de maior prestígio é o CISA (Certified Information Systems Auditor). O CISM foi criado para ser um título exclusivamente destinado a gestores de segurança da informação, ou seja, os profissionais que possuem o título devem, obrigatoriamente, possuir experiência gerencial. Isso não implica necessariamente que a pessoa deva ter coordenado equipes, mas que ela tenha trabalhado em uma posição administrativa responsável por gerir a SI dentro de uma organização. O lançamento do CISM em 2003 gerou reclamações por parte do (ISC)², que não via na certificação, segundo notas de imprensa publicadas, nada de novo sendo trazido. Argumentava que o efeito prático de uma nova certificação tão similar ao CISSP seria forçar os profissionais a longo prazo a tirarem mais de um título, o que traria custos sem muito valor agregado. A ISACA refutou essas alegações, dizendo que o título é focado apenas em gerentes, enquanto que o CISSP, apesar de ter esse foco, era muito procurado também por técnicos querendo mudar a carreira. Comparado ao CISSP, o CISM contém um escopo um pouco menor, por priorizar assuntos relacionados à gestão, enquanto que o CISSP busca prover uma formação mais abrangente. Há cerca de 50 profissionais no Brasil que possuem a certificação CISM, um número quatro vezes menor que o de CISSPs e quinze vezes menor que o de MCSOs.

Exame

A prova é feita duas vezes por ano, de maneira sincronizada, em diversas cidades do mundo, incluindo São Paulo, Rio de Janeiro e Brasília. O exame possui 200 questões e é feito em papel. O valor do exame é 505 dólares. Candidatos que se registram com antecedência recebem desconto de 50 dólares. O ISACA divulga anualmente os calendários com as datas e prazos limite para inscrição. Membros da associação também recebem desconto nas inscrições e é uma boa opção associar-se caso você pretenda fazer a prova. Caso o candidato não passe no exame ele pode fazê-lo novamente na data seguinte, embora normalmente esse espaço de tempo seja de pelo menos seis meses. A escala de nota da prova vai de 200 a 800 pontos, sendo que o candidato necessita de pelo menos 450 para ser aprovado. O exame está disponível em diversas línguas, sendo que a mais próxima do português é o espanhol. Entretanto os candidatos não podem usar dicionário de tradução como acontece no CISSP. Diferente do (ISC)², a ISACA divulga quais os percentuais de questões que são extraídos de cada um dos assuntos exigidos, o que facilita os estudos e a preparação dos candidatos:
  • Information Security Governance (23%)
  • Information Risk Management (22%)
  • Information Security Program Development (17%)
  • Information Security Program Management (24%)
  • Incident Management and Response (14%)

Requisitos

O CISM demanda pelo menos cinco anos de experiência profissional em tempo integral em pelo menos três das cinco áreas de conhecimento avaliadas no exame. Três destes anos devem ser obtidos ocupando uma posição de nível gerencial. Essa experiência deve ter sido obtida dentro do período de dez anos que antecede o exame, ou em até cinco anos após ter sido obtida a aprovação. A ISACA permite que os candidatos sentem para o exame sem ter toda a experiência necessária, mas apenas emite certificados para aqueles que fazem as comprovações necessárias. Há dois descontos possíveis para esses requisitos de experiência. Caso o candidato já possua o CISSP, o CISA ou uma pós-graduação em SI ou áreas correlatas (incluindo TI) é possível obter um desconto de dois anos. Se, além disso, o candidato possuir uma certificação técnica, como as da Microsoft ou do CompTIA, ou tiver pelo menos um ano de experiência em gestão de TI, mais um ano pode ser descontado. Combinando os dois descontos, fica necessário apenas comprovar dois anos de experiência. Porém, há um detalhe importante: nenhum dos dois descontos acima reduz a necessidade de comprovar experiência em gestão de SI. Além dos requisitos de experiência profissional, os candidatos que obtém o CISM devem aderir ao Código de Ética Profissional da ISACA.

Validade

Para manter o seu título válido, os profissionais devem participar de um programa de educação continuada, similar ao do CISSP, onde seu título é renovado a cada período de três anos. Além disso, uma anualidade para sustentar os benefícios aos profissionais certificados é cobrada, custando 75 dólares, sendo que membros filiados ao ISACA pagam apenas 40.

Preparação

A ISACA publica todos os anos um manual de revisão para as suas certificações. O CISM Review Manual é um material de extrema importância para os candidatos, porém não pode ser considerado um guia definitivo em virtude da sua superficialidade. Fora este texto básico, faltam livros de qualidade que possam ser utilizados. Uma busca na Amazon retorna apenas dois títulos específicos, com notas de avaliação vergonhosas. Outra alternativa de qualidade questionável são os livros produzidos pela SRV Books, publicados independentemente pelo próprio autor. Eventualmente, cursos preparatórios, oficiais ou não, são oferecidos no Brasil pelos capítulos locais da ISACA. O site do capítulo paulista da ISACA é o melhor local para começar as buscas.

Veredicto

O CISM é uma certificação que compete de maneira direta com um concorrente muito forte, mas que é amparada por uma associação profissional muito forte e tradicional. A quantidade de profissionais certificados no Brasil é ainda muito baixa, o que a torna menos reconhecida que o CISSP e o MCSO. A idéia da ISACA de diferenciá-la do CISSP, focando em um público mais gerencial, ainda necessita trazer resultados mais consistentes para que o CISM receba o destaque que merece, uma vez que o programa é muito bem elaborado e gerenciado. Se o seu foco é técnico, fuja do CISM completamente. Se o inglês é um problema, corra para o MCSO.

Mais informações

CISM Certification

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre certificações mais específicas, como o CISA e o GIAC. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
As Artes do Risco e os Riscos da Arte

arte2.png

O Instituto Internacional de Ciências Sociais e a Livraria Cultura organizarão um ciclo de palestras denominado As Artes do Risco e os Riscos da Arte, reunindo profissionais de diferentes perfis para discutir a temática do risco sobre diversas perspectivas. Filósofos, escritores e empresários farão um papo-cabeça sobre temas variados como O risco da informação (Bernardo Ajzenberg) ou O sentido do risco na modernidade (Rafael Ruiz). As palestras acontecerão na Livraria Cultura do Shopping Market Place em São Paulo, próximo a Av. Eng. Luis Carlos Berrini, a capital brasileira do congestionamento. Está trabalhando na região e pretende esperar o trânsito diminuir expandindo os conhecimentos sobre o risco para fora da nossa caixinha de Segurança da Informação? Aproveite a oportunidade, pois são dez datas diferentes a um preço camarada de R$25,00. De quebra, aproveite o acervo de livros de tecnologia da loja, um dos melhores do país. O local já virou ponto turístico para os profissionais do Brasil inteiro que visitam a região à trabalho. O Shopping Market Place também é facilmente acessado pela estação Morumbi da Linha 9 - Esmeralda da CPTM.
Read More
BlogAnderson RamosCarreiraComment
Lan house é punida por falta de identificação de usuários

Cyber Café na Noruega por Anderson Ramos

Uma decisão inédita na justiça mostra que é possível responsabilizar legalmente aqueles que não são capazes de proteger e controlar adequadamente sua estrutura de acesso à Internet. A Justiça de São Paulo determinou que uma lan house pague 10 mil reais de indenização a uma vítima de difamação. Tudo ocorreu porque a lan house foi incapaz de fornecer informações que ajudassem a identificar o originador de uma mensagem de caráter difamatório. Desde 2006 há uma lei no Estado de São Paulo que obriga as lan houses a identificarem seus usuários. Entretanto, a advogada responsável pelo caso, Camilla Jimene, informou que baseando-se apenas no Código Civil brasileiro é possível abrir processos similares por qualquer pessoa que se sinta vítima de uma mensagem que contenha teor que constitua calúnia, injúria ou difamação. Esse é mais um caso ganho em primeira instância pelo escritório Opice Blum Advogados, que já há algum tempo se firmou como o principal escritório do país especializado em direito eletrônico.
Read More
BlogAnderson Ramos Comments
Atravessar a rua falando no celular pode gerar multa

Crossing the streets by Jonathan Irwin

Um político dos EUA está em campanha para aprovar uma lei que multará pedestres que atravessarem a rua falando ao telefone celular. O legislador Kenneth Dunkin do estado de Illinois acredita que a sua lei ajudará a reduzir a mortalidade de pedestres. Um exemplo típico de lei polêmica, a iniciativa já está dando o que falar. Notícias satirizando ou apoiando a iniciativa têm aparecido em alguns sites e blogs por aí. E você, o que acha? Pura maluquice exagerada ou uma medida importante para conscientizar as pessoas sobre os riscos envolvidos? Fonte: The Register.
Read More
BlogAnderson RamosSegurança FísicaComment
IBM desenvolve algoritmo de resposta a desastres

ibm2.jpg

A IBM patenteou nos EUA um algoritmo cujo objetivo é aumentar a eficiência na resposta a catástrofes naturais. A técnica é chamada de Programação Estocástica, podendo ser usada para uma ampla gama de aplicações.

Na resposta aos desastres, as técnicas ajudariam a aumentar a velocidade do processo de tomada de decisões em momentos de crise. Segundo a notícia, quase 200 milhões de pessoas são afetadas todos os anos por esse tipo de incidente. Entretanto, as iniciativas governamentais estão normalmente baseadas em sistemas desconexos, sem inteligência específica para lidar com este tipo de problema.

Maiores informações na fonte original: IBM touts complex math to help handle natural disasters.

Read More
BlogAnderson RamosContinuidade, Gestão, Segurança FísicaComment
Hackers publicam impressões digitais de ministro

Fingerprint por sensesmaybenumbed

O CCC (Chaos Computer Club), um grupo de hackers alemães, resolveu publicar as impressões digitais de Wolfgang Schauble, Ministro do Interior da Alemanha, como forma de protesto contra as iniciativas do governo alemão de armazenar informações biométricas em passaportes eletrônicos. Um simpatizante do grupo capturou as impressões digitais a partir de um copo usado pelo ministro em um painel de discussões. A notícia, bem como uma explicação do método utilizado para a coleta, foram divulgadas na última edição da revista Die Datenschleuder, a principal publicação do CCC. Quatro mil edições da revista foram impressas contendo um filme plástico para ser colocado sobre os dedos dos leitores, para que estes possam se passar pelo ministro. O CCC é uma organização hacker fundada em Berlin no ano de 1981, o que a torna um dos mais antigos (e influentes) grupos da atualidade. Segundo o Wikipedia, a organização conta hoje com 1800 membros. O CCC é muitas vezes classificado com um grupo gray hat, tendo um comportamento que o coloca no limite entre o legal e o ilegal e que já lhes causou uma série de problemas. Eles são responsáveis pelo Chaos Communication Congress, um evento que seria o equivalente europeu da DEF CON, o maior evento hacker existente. A porta voz do primeiro ministro informou que nenhum tipo de ação legal será tomada contra o grupo, provavelmente por medo de dar visibilidade aos seus questionamentos que são totalmente pertinentes, embora o método possa ser condenável. A coleta indiscriminada de informações biométricas é uma prática que certamente gerará muitos problemas no futuro e os seus defensores e financiadores não estão dando a devida atenção ao problema. Via Gizmodo.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Perícia, Segurança Física Comments
Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!
Read More
BlogAnderson RamosCarreira, Continuidade, Crime, Criptografia, Gestão, Malware, Perícia, Segurança Física, Segurança em Redes, Sistemas OperacionaisComment
Como não implementar medidas de segurança - Parte 2

Manufactured Security by Kris Krüg

Na primeira parte desta série eu falei sobre como a postura do profissional de segurança pode influenciar na resistência que ele enfrentará durante a implementação de políticas e controles. Nesta segunda parte, darei um foco maior nos aspectos práticos deste processo. Toda discussão sobre redução de resistências a medidas de segurança deve, na realidade, começar por uma avaliação da autoridade que as medidas inspiram. Você até pode, eventualmente, com muita capacidade de persuasão e liderança conseguir resultados interessantes em termos de cooperação sem ter o apoio da alta administração da organização onde você atua, mas certamente terá muito mais trabalho. As medidas de segurança são inerentemente impopulares, pois, na grande maioria dos casos, elas se parecem com desperdício de tempo e recursos. Pense numa trava de carro. Você poderia simplesmente estacionar o carro, desligá-lo e trancá-lo, sem colocar a trava. Se você fizer isso, as chances de furto são maiores. Se você colocar a trava, serão menores. Entretanto é perfeitamente possível que vários anos se passem até que você possa ver a trava apresentando eficiência, ou pode ser que você nunca veja. Mas o que você vê todos os dias é que, se você perder 3 minutos por dia colocando e tirando a trava, você perde um dia útil inteiro por ano apenas fazendo isso. Algo que certamente se parece com puro desperdício de vida. A grande falta de visão aqui é achar que, porque nunca ninguém tentou roubar seu carro, a trava é algo desnecessário. Certamente uma das principais razões pelas quais seu veículo nunca sofreu uma tentativa de furto é justamente a trava. Ela também funciona desencorajando tentativas de furto. É por isso que muitas pessoas colocam as travas. No geral, elas são eficazes. Vale a pena gastar um dia útil por ano para prevenir uma perda centenas de vezes superior. Mas alguém que tem a autoridade para tal deve definir isso, pois nem todos conseguem perceber voluntariamente. Pense em 10 minutos de desperdício diários de um vendedor em uma equipe de 30 pessoas com um salário de 1000 reais. Se considerarmos que o custo real do funcionário em virtude dos encargos é o dobro disso, chegamos a um desperdício anual de cerca de R$21.500,00, o que representa cerca de 3% da folha de pagamento. Um diretor comercial jamais vai aceitar pacificamente tamanho impacto em termos de custos e resultados. Você pode até tentar convencê-lo de que no longo prazo é melhor ter os controles, pois eles estarão prevenindo perdas. Mas ele está sendo cobrado por um resultado de curto prazo, normalmente uma meta mensal de vendas, e não vai te dar ouvidos por razões óbvias. Logo, alguém acima dele deve apoiar e exigir as medidas de segurança, senão seus esforços vão custar a trazer resultados. Dependendo do tamanho da empresa, essa pessoa pode ser o próprio presidente, mas o ideal é que haja um grupo de pessoas na alta administração apoiando as iniciativas de segurança. Essa recomendação está explícita na NBR ISO/IEC 27002 (antiga 17799). As responsabilidades principais deste grupo são exigir compromisso dos colaboradores e prover recursos adequados. Em uma grande empresa de capital aberto, o ideal é que este grupo seja um comitê executivo multidisciplinar, representando os principais departamentos. Um de seus primeiros trabalhos será aprovar um conjunto de diretrizes básicas que formariam o primeiro documento de uma Política de Segurança da Informação. Essas diretrizes devem definir o escopo da SI e as responsabilidades das pessoas envolvidas. Por terem sido aprovadas pelo comitê, sua publicação é uma manifestação clara de apoio às iniciativas de segurança. Todas as normas e procedimentos que serão posteriormente definidos buscarão respaldo nessas diretrizes. Dessa forma, elas se tornam uma espécie de carta branca formal que dá poderes ao gestor de SI para definir e implementar as medidas necessárias. Porém, isso funciona apenas na teoria. Na prática, por mais que o departamento de segurança tenha crédito, ele vai enfrentar todos os tipos de resistências possíveis e imagináveis que ainda demandarão muito esforço para serem reduzidas. O passo seguinte seria buscar compreender como funcionam os departamentos da empresa de forma a sugerir controles que reduzam riscos inaceitáveis, mas que ao mesmo tempo não sejam um empecilho injustificável aos processos de negócio. Nem sempre é possível buscar este equilíbrio. Mas se você não se aproximar dos departamentos para entender como estes funcionam, sofrerá uma resistência a priori. Qualquer tentativa de elaborar procedimentos de segurança para um departamento cujo funcionamento você não conhece será julgada autoritária e prepotente. Envolver os gestores dos departamentos tem também outra vantagem importante. Uma vez que eles tenham participado do processo de elaboração, a probabilidade de haver cobrança para com os seus respectivos subordinados é maior. Dessa forma, o que faremos é preparar multiplicadores para a fase posterior ao desenvolvimento das políticas, que envolverá a conscientização a respeito delas. Nessa interação, você encontrará pelo menos três tipos de situação em termos de acordo entre a área de SI e o departamento: SI quer e o departamento concorda: Esse tipo de situação não é das mais freqüentes. Entretanto, incluímos aqui também os controles que foram aceitos a contragosto, mas que não geraram forte reação, seja porque os departamentos afetados não se importam ou porque a uma postura contrária seria injustificável. SI quer e o departamento não concorda: Essa é aquela situação que gerará discórdia e brigas políticas. Embora caiba a SI determinar os controles, isso não significa que todos serão aprovados, pois eles normalmente passam pelo crivo do comitê executivo como veremos mais à frente. Existem batalhas que não valem a pela. Outras, entretanto, têm validade, por isso você não vai querer perdê-las. Deixe para lutar por elas onde você tem mais chances de ganhar. Geralmente essa batalha seria travada dentro do comitê executivo, no momento da aprovação do conjunto completo de controles, onde você estará cheio de argumentos válidos e o seu adversário nem tanto, pois ele não poderá manifestar uma postura radicalmente contra a segurança da informação em um comitê cuja responsabilidade é justamente prezar pela proteção. Os departamentos não concordam, mas a lei exige: Esse seria uma subcategoria da situação anterior, com uma diferença importante. Se a legislação exige um controle, a sua implementação não está aberta a questionamento, pelo menos em teoria, então jogue a responsabilidade para o comitê executivo. Documente que o controle foi recomendado conforme exigência legal e traga os argumentos necessários. Caso ele não seja aprovado, você está pessoalmente protegido contra futuros questionamentos, ou mesmo problemas jurídicos. Não é possível, nem é desejável, vencer todas as batalhas. Escolha corretamente quais são aquelas que você vai querer travar. Em todas elas, acho que vale bastante um provérbio africano que se popularizou por descrever a política externa americana durante a presidência de Theodore Roosevelt: “quando visitar seu adversário, fale em voz baixa, mas leve um grande porrete nas mãos”. O porrete da área de SI é o apoio da alta administração para com as medidas de segurança. A fala mansa é a propensão ao diálogo com aqueles que serão afetados pelas medidas. Para ter sucesso durante esse processo de elaboração, é importante não perder nenhuma das duas coisas. Perdemos o apoio da alta administração quando temos dificuldade de manter a visão do negócio, ou seja, a capacidade de ter argumentos plausíveis de que aqueles controles têm uma boa relação custo/benefício. Para isso é de fundamental importância a execução de uma análise de riscos, mostrando de maneira impessoal que a ausência dos controles que você está sugerindo submetem a empresa a riscos que ela própria considera inaceitáveis. Para não perder a fala mansa, é importante ter paciência para compreender e negociar previamente os controles com as áreas de negócio. Se você perder este apoio de base, vai chegar desgastado ao comitê para aprovar os controles. Não esqueça que todos aqueles gestores têm um superior imediato, cuja probabilidade do mesmo estar no comitê é grande. Embora essa pessoa apóie a segurança, seu compromisso com os subordinados é muito mais crítico para seu trabalho. Dessa forma, nunca se esqueça de ter sensibilidade e observar os detalhes. Até aqui, eu procurei mostrar que para diminuir a resistência aos controles de segurança, o trabalho começa como uma avaliação prévia da sua própria postura profissional. Esses aspectos foram detalhados na primeira parte desta série. Aqui, eu discuti, na prática, como deve ser o ciclo de negociações e como obter o apoio necessário para conduzir este processo de maneira favorável à segurança. Por fim, mesmo a aprovação dos controles pelo comitê executivo de SI não encerra seus problemas. A última, e talvez a mais importante, de todas as fases será conscientizar os usuários a respeito da importância dessas medidas e conseguir colocar os estímulos necessários para obter os resultados esperados. Esse último assunto será tratado na última parte desta série. Por hora, você pode ler este artigo que eu escrevi há alguns anos, sobre conscientização de usuários.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
Governo prioriza proteção da infra-estrutura crítica

brasao_brasil.gif

Uma matéria publicada na Folha de São Paulo, sobre o impacto dos movimentos sociais no Brasil, especificamente o MST e similares, informa que o GSI (Gabinete de Segurança Institucional) fará um mapeamento da infra-estrutura crítica do país de forma a minimizar possíveis impactos a essas instalações. Internacionalmente, essas ações costumam receber o nome de proteção à infra-estrutura crítica. Normalmente, estão incluídas nessas atividades o mapeamento de instalações, serviços ou processos tidos como críticos, cujo impacto em seu funcionamento pode trazer sérios problemas econômicos, sociais, políticos, diplomáticos ou de segurança nacional. No próximo mês de maio será o aniversário de dez anos do início deste tipo de iniciativa nos EUA, onde o programa se encontra em um estágio bem mais maduro que o brasileiro. O programa norte-americano foi posteriormente expandido por um decreto do presidente George W. Bush, em uma das muitas respostas aos atentados sofridos pelas torres gêmeas. Maiores informações estão disponíveis no Wikipedia. O GSI está vinculado diretamente à Presidência da República, e possui status de ministério. O ministro-chefe é o Gen. Jorge Armando Felix, cujo compromisso e apoio às iniciativas de Segurança da Informação no Brasil são notórias. Sob o comando do GSI encontram-se a ABIN (responsável pelo PNPC - Programa Nacional de Proteção ao Conhecimento) e a Secretaria-Executiva da Câmara de Relações Exteriores e Defesa Nacional, que trabalha em parceria com o CGSI (Comitê Gestor de Segurança da Informação). O CGSI é um comitê multidisciplinar que assessora a Secretaria-Executiva, sendo que sua iniciativa mais conhecida é a publicação da Política de Segurança da Informação para a Administração Pública Federal, feita em 2000, através do Decreto 3.505 Acabei por fazer um resumo das principais iniciativas de SI na esfera do Governo Federal. Todas elas estão alinhadas com a visão, que para mim é cada vez mais marcante, que o Brasil precisa se profissionalizar em vários aspectos, uma vez que estamos saindo da posição de "capital mundial da simpatia" (nome de uma matéria da Exame desta semana) para um país que tem cada vez mais destaque no cenário internacional (e incomoda cada vez mais).
Read More
BlogAnderson RamosContinuidade, Crime, Gestão, Segurança Física Comment