- Segurança é a percepção de conforto frente a um cenário de incertezas
terça-feira, 14 de fevereiro de 2012
Como você define segurança?
Excelente pergunta do Michael Santarcangelo que poucos profissionais de segurança se fazem. Minha definição é um tanto conceitual mas que gosto pois rompe com alguns mitos:
terça-feira, 7 de fevereiro de 2012
Por que o negócio não é o principal motivador de um controle
Artigo interessante do Richard Bejtlich sobre como é difícil mensurar o impacto de um incidente de segurança. O artigo foca em um cenário de guerra cibernética, em particular no "furto" de informação confidencial do jato F-35. Mas este problema é recorrente em incidentes de segurança da informação nos mais diversos cenários.
Em um incidente que envolve uma negação de um serviço, é mais simples calcular o impacto, como no caso da paralisação da PSN. Contudo, se o incidente envolve o "furto" de informação confidencial, qualquer cálculo de impacto é subjetivo. Mas como essa característica afeta o processo de SI?
O fundamental em processo de SI está na escolha, na implementação e na operação dos controles de SI, o resto é resto. E sob o aspecto dos controles de SI, eu os classifico em 3 tipos:
Voltando ao assunto, reside aí o grande dilema de SI quando tenta seguir o mantra que devemos estar alinhado com o negócio. Pois é relativamente simples demonstrar o alinhamento com o negócio nos controles puramente relacionados a disponibilidade. Mas para os demais controles, qualquer relacionamento com o negócio é subjetivo. Por isso também, é mais simples justificar investimentos em disponibilidade do que em confidencialidade.
No final da contas, decisões objetivas funcionam fundamentalmente com os controles puramente de disponibilidade. As demais decisões de controle que SI precisa tomar são de caráter subjetivo, por isso precisamos a toda hora nos respaldar com boas práticas de mercado, padrões de segurança, regulamentações, etc. em detrimento da análise pura e simples da necessidade de segurança do negócio.
Em um incidente que envolve uma negação de um serviço, é mais simples calcular o impacto, como no caso da paralisação da PSN. Contudo, se o incidente envolve o "furto" de informação confidencial, qualquer cálculo de impacto é subjetivo. Mas como essa característica afeta o processo de SI?
O fundamental em processo de SI está na escolha, na implementação e na operação dos controles de SI, o resto é resto. E sob o aspecto dos controles de SI, eu os classifico em 3 tipos:
- Controles puramente de disponibilidade (cluster, SGCN)
- Controles puramente de confidencialidade (Criptografia, DLP)
- Controles de disponibilidade e de confidencialidade (a grande maioria)
Nota: Para os que se perguntam "Cadê a integridade?", se eu tiver tempo, isso será um assunto para um outro post.
Voltando ao assunto, reside aí o grande dilema de SI quando tenta seguir o mantra que devemos estar alinhado com o negócio. Pois é relativamente simples demonstrar o alinhamento com o negócio nos controles puramente relacionados a disponibilidade. Mas para os demais controles, qualquer relacionamento com o negócio é subjetivo. Por isso também, é mais simples justificar investimentos em disponibilidade do que em confidencialidade.
No final da contas, decisões objetivas funcionam fundamentalmente com os controles puramente de disponibilidade. As demais decisões de controle que SI precisa tomar são de caráter subjetivo, por isso precisamos a toda hora nos respaldar com boas práticas de mercado, padrões de segurança, regulamentações, etc. em detrimento da análise pura e simples da necessidade de segurança do negócio.
quarta-feira, 8 de setembro de 2010
Diversos
Na falta de tempo e inspiração para escrever algo próprio, seguem enlaces interessantes:
(10/09/2010) Saiu o resultado da proposta de alteração do Novo Mercado, N1 e N2.
- Marcello Zillo escreveu um artigo sobre gestão de risco top-down e bottom-up.
- Termina hoje o prazo de manifestação da proposta de alteração do regulamento de listagem do Novo Mercado (ver proposta aqui).
(10/09/2010) Saiu o resultado da proposta de alteração do Novo Mercado, N1 e N2.
sábado, 6 de março de 2010
Reínicio
Este post marca meu reinício como blogueiro. Além de escrever sobre governança, risco e compliance, pretendo abordar aspectos como gestão, projetos, processos, pessoas e outros aspectos da cultura corporativa.
Assinar:
Postagens (Atom)