Pages

terça-feira, 14 de fevereiro de 2012

Como você define segurança?

Excelente pergunta do Michael Santarcangelo que poucos profissionais de segurança se fazem. Minha definição é um tanto conceitual mas que gosto pois rompe com alguns mitos:
  • Segurança é a percepção de conforto frente a um cenário de incertezas
E qual é a sua definição?

terça-feira, 7 de fevereiro de 2012

Por que o negócio não é o principal motivador de um controle

Artigo interessante do Richard Bejtlich sobre como é difícil mensurar o impacto de um incidente de segurança. O artigo foca em um cenário de guerra cibernética, em particular no "furto" de informação confidencial do jato F-35. Mas este problema é recorrente em incidentes de segurança da informação nos mais diversos cenários.

Em um incidente que envolve uma negação de um serviço, é mais simples calcular o impacto, como no caso da paralisação da PSN. Contudo, se o incidente envolve o "furto" de informação confidencial, qualquer cálculo de impacto é subjetivo. Mas como essa característica afeta o processo de SI?

O fundamental em processo de SI está na escolha, na implementação e na operação dos controles de SI, o resto é resto. E sob o aspecto dos controles de SI, eu os classifico em 3 tipos:
  1. Controles puramente de disponibilidade (cluster, SGCN)
  2. Controles puramente de confidencialidade (Criptografia, DLP)
  3. Controles de disponibilidade e de confidencialidade (a grande maioria)
Nota: Para os que se perguntam "Cadê a integridade?", se eu tiver tempo, isso será um assunto para um outro post.

Voltando ao assunto, reside aí o grande dilema de SI quando tenta seguir o mantra que devemos estar alinhado com o negócio. Pois é relativamente simples demonstrar o alinhamento com o negócio nos controles puramente relacionados a disponibilidade. Mas para os demais controles, qualquer relacionamento com o negócio é subjetivo. Por isso também, é mais simples justificar investimentos em disponibilidade do que em confidencialidade.

No final da contas, decisões objetivas funcionam fundamentalmente com os controles puramente de disponibilidade. As demais decisões de controle que SI precisa tomar são de caráter subjetivo, por isso precisamos a toda hora nos respaldar com boas práticas de mercado, padrões de segurança, regulamentações, etc. em detrimento da análise pura e simples da necessidade de segurança do negócio.

GRC Meeting

Estarei no GRC Meeting no próximo dia 14.



quarta-feira, 8 de setembro de 2010

Diversos

Na falta de tempo e inspiração para escrever algo próprio, seguem enlaces interessantes:
Update
(10/09/2010) Saiu o resultado da proposta de alteração do Novo Mercado, N1 e N2.

    sábado, 6 de março de 2010

    Reínicio

    Este post marca meu reinício como blogueiro. Além de escrever sobre governança, risco e compliance, pretendo abordar aspectos como gestão, projetos, processos, pessoas e outros aspectos da cultura corporativa.