Rangel Rodrigues

Finalmente CISSP

2007-10-03T22:06:00.000-04:00

Após ter recebido o e-mail informando que passei no exame CISSP preparei a documentação solicitada e enviei na última sexta dia 28/09. Ontem dia 02/10 consultei o site da ISC2 e confirmei que meu nome já aparece na lista como CISSP.

Finalmente agora me tornei um CISSP.

Grato,

Rangel Rodrigues, CISSP, MCSO

Reflexão depois de passar no CISSP

2007-09-24T20:53:00.000-04:00

Reflexão:

Em 2003 descobri profissionalmente que eu queria era trabalhar com segurança da informação, na época trabalhava em banco multinacional diretamente com Internet Security, acabei fazendo um MBA em Gestão de TI na FIA/USP, fiquei algum tempo fora do mercado, precisei estudar com os recursos que tinha para fazer a prova do MCSO, estudei sozinho e passei, consegui um trabalho de consultor de SI na G&P e depois fui para CertiSign, foi onde conheci a Lucimara, era 2005, lá eu comentei com a Lucimara que tinha interesse em tirar o CISSP, ela também estava interessada e então começamos a participar do grupo de Estudos CISSP-SP, na época encontrávamos na T-SYSTEMS onde o Victor Bonomi trabalhava, o grupo começou com o Fernando Fonseca que às vezes arrumava uma sala na Faculdade Anhembi Morumbi, o Alexandre Salgado, Lucimara, Sergio Dias, Wagner Elias, Guilherme, Ricardo Giorgi, Victor, Anchises, Giovani e o Cleverson.

A partir daí comecei a estudar, comprei o All-in-One, Study Guide Sybex CISSP, PrepLogic, Material do MCSO e o Official Guide e sem contar com o material adicional que encontrava na web. Lembro que fiquei até na véspera de Natal e Ano Novo estudando. Participei do grupo de estudos SP, encontros às vezes na semana e aos sábados.

De toda forma foram 2 anos de muita dedicação, pensei em desistir, mais eu sempre voltava a decisão. Em dezembro de 2006 consegui que o banco onde trabalho atualmente pagasse o CBK Review Seminar, fiz com o Anderson, dediquei todo o tempo para curso, tirei dúvidas e no teste de 100 questões acabei até acertando 98 questões, nem acreditei, foi muito legal.

Troquei alguns e-mails com Anderson para me inscrever na prova de maio, acho que fui ansioso, até os amigos Alexandre e Paulo me pediram para deixar para setembro, fui teimoso e fiz, infelizmente não passei por pouco. Não desisti e percebi que faltavam detalhes para passar na prova, portanto continuei, sabia que tinha perdido uma batalha e não a guerra. Revisei o OFFICIAL GUIDE, me encontrei com os amigos, durante a semana, estudei, fiz simulado e desenvolvi boa parte do conhecimento que tenho em gestão de risco com os companheiros que trabalham comigo (Dimitri, Alexandre Fonseca, Reginaldo Rizato, Kenji, Sonia, Rita e Bruno Coste). Enfim, eu fui desta vez para a prova mais seguro, determinado e tinha certeza que aquilo que tinha estudado estava claro e sabia, sem mais sem menos.

Na semana antes da prova me encontrei na quarta-feira com o Viel e ajudei ele em alguns conceitos de Análise de Risco, na sexta fiquei em casa, fui andar de skate em São Bernado do Campo na nova pista, foi uma inspiração para o corpo e para a mente. Voltei para casa suave, cheguei cedo, jantei, orei a Deus e fui dormir cedo.

No sábado cheguei cedo no hotel onde encontrei o Paulo e alguns amigos, levei meu resumo, dei a última lida, refresquei a minha memória e entrei para a prova desta vez para passar. Durante a prova utilizei a seguinte estratégia, resolvi fazer 50 questões e passava para o booklet, quando cheguei na questão 100 parei para ir ao banheiro e comer alguma coisa, voltei e continuei, quando cheguei na questão 150 resolvi passar direto para o booklet, quando cheguei no final faltavam 1:30h para terminar.

Agora era hora "h" e revisar aquelas que tinha deixado para depois, acho que eram por volta de 15 questões, a última questão que respondi foi de gosto, era do Código de Ética, li, li, li e então respondi, depois fui conferi no dia seguinte que tinha acertado.

Bom, sai do exame com uma sensação que tinha cumprindo mais uma etapa e tinha chances de ter passado, a prova estava realmente mais difícil que as anteriores, mais eu creio que estava bem preparado, Eu, Salgado, Viel e o Paulo fomos a um bar refrescar a mente, conversamos sobre algumas questões e então a semana seguiu.

Confesso que não fiquei ansioso neste tempo, hoje por volta das 11:30h o amigo Ricardo Giorgi me passou uma mensagem, “temos novidades Rangel?”, fui para casa depois que terminei o due diligence, eu liguei imediatamente para o amigo Paulo Teixeira, ele confirmou que passou e o Alexandre Salgado também, infelizmente meu amigo Viel não foi desta vez, mais tenho certeza que ele irá passar em breve. Cheguei em casa, almocei primeiro, resolvi abrir o e-mail e notei que havia um arquivo em anexo, fiquei feliz e cliquei, procurei a palavra “Congratulations”, encontrei e dei um grito de alegria, foi muito bom, esperava por isso há dois anos, hoje me sinto realizado e pronto para novas conquistas!!!

A frase que tenho a dizer é; nunca desista de seus objetivos, confie em Deus, seja determinado e perseverante, se hoje não deu certo é porque Deus está preparando o amanhã para lhe conceder a resposta porque ele é fiel.

É isso galera, contem comigo para os estudos.

Obrigado a todos!

Um abração...

Rangel Rodrigues, quase CISSP

A nova visão da Área de Segurança da Informação

2006-12-08T09:15:00.000-04:00

Este artigo escrito pelo Analista de Segurança da Informação Fábio Silva da Albuquerque e certificado MCSO disponivel aos leitores do site Modulo Security, traz um assunto muito interessante sobre a nova visão que a área de SI está tendo e buscando em muitas empresas. Pelo menos na empresa onde trabalho o caminho que está sendo seguido é este:

Como já é de conhecimento da maioria, tecnologia de Segurança da Informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não está só em tecnologia, mas também no fator humano.
Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Bem como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar se atualizar e se adaptar às novas tendências de mercado. É nessa hora que os gestores de SI têm mais um custo, que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança, e sim de operação e administração, eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto; na verdade, ele precisa ser o que chamamos de ¿especialista-generalista¿, ou seja, ter sólidos conhecimentos de SI e possuir conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra-estrutura, sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões e políticas, ou seja, deve exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos vamos dar um exemplo que está presente em 99% das empresas: os usuários e seus sistemas - imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos, e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio, suporte externo, onde geralmente é uma empresa que possui um foco de análise técnico em segurança, que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados que na verdade serão demandas para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão em um setor onde o cotidiano está muito operacional não é tarefa simples. O gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.

Business and Security together

2006-10-02T13:26:00.000-04:00

Gostaria de registrar aqui dois sites ótimos para consulta em segurança da informação. O primeiro http://www.informationweek.com.br/ está em português e sempre traz em quase todas edições da revista "InformationWeek" assuntos referente a SI com foco em gestão. Obs: O conteúdo de todas edições está disponível online.

O segundo é o conhecido www.csoonline.com referência com um conteúdo risco e atualizado.

Até,

Rangel Rodrigues

Como se preparar para ocupar o cargo de CISO

2006-09-29T12:50:00.000-04:00

Esta semana saiu uma matéria interessante no site ComputerWorld. Como se tornar um CISO, confira a matéria:

Conhecimento técnico, certificações e linguagem do negócio. Esse tripé de habilidades, somado às capacidades de comunicação, apresentação e confiabilidade, formam um profissional de segurança.

Por COMPUTERWORLD
29 de setembro de 2006 - 10h33

Os executivos responsáveis pela segurança da informação, os Chief Information Security Officers (CISOs) e o trabalho importante que eles realizam são cada vez mais reconhecidos pelas cúpulas das corporações. Estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium revela que os profissionais de segurança da informação estão cada vez mais galgando posições de destaque nos quadros corporativos.

O estudo nomeado Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação (quase o dobro dos 12% que fizeram a mesma declaração em 2004) e 73% afirmaram que esta tendência se manterá.

Soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas, tornam essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Como resultado, o cargo de CISO acaba priorizando a gestão de riscos e está mais integrado às funções de negócio. Profissionais de segurança têm que aprimorar suas habilidades técnicas e de negócio para estarem aptos a executar esta função.

A validação independente de competências e experiências, além do comprometimento com a profissão de segurança da informação abrem portas para quem aspira ao cargo de CISO. Os profissionais de segurança da informação devem levar em conta a importância de obter certificações de uma associação de segurança profissional para ajudar a impulsionar suas carreiras. Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou muito importantes na decisão de contratar alguém. E mais de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos próximos 12 meses.

Existem duas categorias de certificação de segurança da informação: a dependente e a independente de fabricantes. Ambas são úteis para o desenvolvimento da carreira. As “credenciais” atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes de obter as habilidades necessárias. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Ao elaborar seu plano de carreira, procure também buscar a ajuda de associações que oferecem serviços de construção de carreira e educação continuada, além de explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

O guia Resource Guide for Today's Information Security Professional, edição global 2006, compilado pela ISC2, também é uma ótima fonte de organizações e instituições educacionais, associações profissionais, conferências e exposições, recursos online e publicações que têm como foco a segurança da informação.

Entretanto, certificação e experiência em segurança são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CISO, você também precisa saber se comunicar em termos de negócios. Para isso, procure aliar sua proficiência técnica à habilidade de transmitir o valor do negócio. Você tem que explicar os benefícios da segurança em termos de retorno do investimento (ROI), seu valor para aprimorar a capacidade da empresa de fazer negócios e as soluções práticas que ela traz para os problemas – tudo isso mesclado com o apetite da organização por risco.

Enquanto aprimora suas habilidades de segurança e negócios, você também pode trabalhar dentro de sua própria organização para se preparar para uma transição na carreira. Confira a seguir algumas dicas extraídas de um painel de discussão sobre como se tornar um CISO, realizado na Conferência da RSA que aconteceu neste ano nos Estados Unidos:

- Aprenda a colaborar com outros departamentos para integrar e avaliar outras funções. De acordo com um estudo da Universidade de Auburn, a implementação de programas de segurança da informação demanda níveis excepcionalmente altos de “interdependência de tarefas”. Os entrevistados da pesquisa da IDC confirmaram essa premissa ao admitir que 62% de suas tarefas cotidianas dependem da troca de informação ou da cooperação com outras pessoas.

- Adote a abordagem do valor agregado, aprendendo a alinhar suas atribuições e responsabilidades com as metas de negócio de cada departamento. Observe o panorama geral – as estratégias e o foco da organização. Pense no negócio como um todo, conheça o impacto que você exerce sobre ele e saiba como criar valor para a organização. Transmitir o valor da segurança da informação ajudará a fomentar o espírito de cooperação na organização inteira.

- Desenvolva seu próprio círculo de confiança dentro da organização com representantes de cada departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe. Quando um número maior de pessoas concorda com você, você ganha credibilidade. E, em algum momento, os executivos vão ficar mais bem informados sobre seu grupo e reconhecer o valor de consultá-lo.

- Mantenha conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você. Estas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.

- Ofereça treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que afetam os home offices e apresente as técnicas de prevenção. Desta forma, os executivos vêem a diferença que você fez para os computadores ou as redes que têm em casa e vão confiar na sua capacidade de fazer recomendações para as redes da empresa.

- Aprenda a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a cumprir as metas.

Diante de tudo isso, você ainda gostaria de ser um CISO? Estaria disposto a se afastar de alguns aspectos técnicos da segurança da informação? Se a resposta for sim, atualize seu conhecimento técnico e suas certificações, aprenda a linguagem do negócio e adquira habilidades de comunicação e apresentação. E trave relações com executivos para que eles se conscientizem de seu conhecimento e habilidades, comecem a confiar em você e o vejam como uma boa opção para um cargo estratégico na corporação.

Os empregos em segurança estão aumentando...

Existem oportunidades para os que querem trilhar a carreira de segurança da informação. Projeção de profissionais de segurança da informação para a região das Américas. ENTRA GRÁFICO DE COLUNAS2006 – 647.5772007 – 693.2182008 – 735.7092009 – 787.292Fonte: IDC 2005

... e os empregadores estão demandando certificação

Empregadores validam a importância da certificação para a contratação de profissionais de segurança da informação;ENTRA GRÁFICO DE PIZZAImportante: 50%Muito importante: 40%Neutro: 7%Não importante: 1,3%Sem importância nenhuma: 1,3%*Total difere de 100 devido a arredondamentoFONTE: IDC 2005

Como é a função de CISO no Brasil?
Conheça a trajetória de um profissional brasileiro da área de segurança que chegou ao cargo de CISO.

O Tenente Coronel do Exercito Brasileiro João Rufino de Sales exerce atualmente a função de Chefe do Terceiro Centro de Telemática da Área de SP, o que na prática significa que ele é o responsável por toda a segurança da corporação paulista. É isso mesmo. A função de CSO ou CISO tem atualmente espaço nos mais variados tipos de organizações, incluindo órgãos públicos, governamentais e até mesmo o Exército. Deixando de lado a formação militar, feita na Academia Militar das Agulhas Negras, o tenente coronel Rufino também se especializou em Análise de Sistemas e Processamento de Dados.

Após concluir o curso, o militar foi designado a prestar serviço no Centro Integrado de Guerra Eletrônica (CIGE), onde começou a estudar sistemas de segurança para garantir a integridade das informações manipuladas pelo centro. Depois do CIGE, Rufino foi escolhido para projetar toda a estrutura de segurança do novo portal de informações do Exército e de toda a rede associada ao mesmo.

Antes de ocupar a função atual, o militar também passou pelo Gabinete de Segurança Institucional da Presidência da República, onde participou de diversas ações ligadas à segurança da informação do Governo Federal.

“Acho que para desempenhar o cargo de CSO em qualquer organização é fundamental se manter atualizado com as últimas tendências deste mercado, além de conquistar credibilidade em sua organização. Isso só é possível com o desenvolvimento de habilidades como dedicação, responsabilidade, organização e criatividade”, afirma o militar.

Para quem começa agora, Rufino sugere, além da formação específica, o desenvolvimento de habilidades de liderança. “E é claro que o conhecimento profundo do foco de negócios da companhia é fundamental para conseguir transformar a segurança em uma facilitadora das ações da empresa”, ele conclui. (APO)

Rumo ao CISSP

2006-09-10T21:30:00.000-04:00

Já faz quase duas semanas que fiz o exame de certificação CISSP (Certified Information System Security Professional) da ISC2. O CISSP é considerada a certificação mais importante na área de Segurança da Informação, assim como CISM, CISA, MCSO, Security+ entre outras.

Dediquei praticamente mais de 1 ano nos estudos com apoio dos livros All-in-One, Study Guide Sybex CISSP, PrepLogic, Material do MCSO, material oficial do seminário emprestado pelo meu chefe, cccure.org, artigos e simulados. Claro que devo lembrar dos meus amigos do grupo de estudos de São Paulo "CISSP-BR-SP" e o pessoal da lista CISSP-br que estiverem ali do meu lado várias horas entendendo os conceitos dos 10 domains.

Acredito que a fase de estudo foi a mais importante, pois tive a oportunidade de aumentar meu networking, conhecer pessoas novas na área de SI, expandir meus conhecimentos em SI e com certeza vem me ajudando a cada dia a lidar com situações difícies na empresa onde trabalho.

Confesso que para mim a fase de estudo vem sendo um grande desafio e a principal meta neste ano é se tornar um profissional certificado CISSP. Certificar em CISSP não significa que vou conseguir um emprego com um grande salário, mais ser visto como um profissional competente e reconhecido pelo trabalho que desenvolvo.

Já tive a experiência de fazer o exame e sentir na pele como o processo é desgastante. Minha visão do exame é o longo tempo que você fica sentado na cadeira interpretando cada questão, sem falar no tempo que você tem que gerenciar para transferir as respostas para o booklet.

Nesta última prova senti mais dificuldade em manter a resistência durante às 6 horas de exame, parei 1 (uma) única vez para ir ao banheiro, beber água e comer uma maça e depois voltei rápido para concluir o exame com mais força. Na revisão e passagem das respostas para o booklet acredito que faltaram 10 e 13 questões que tive que reler e responder, aquelas que surgiram dúvidas e uma ou outra que eu não sabia.

Acredito que estava bem preparado e agora aquele friozinho bate no peito toda a vez que lembro do e-mail com o resultado que em breve estará chegando em minha caixa postal.

Bom, agora estou mantendo a calma, convicção, fé e esperança em Deus que serei aprovado no exame CISSP. I trust in God!!!

Em breve voltarei para descrever a sensação pós resultado.

A visão estratégica é cada vez mais cobrada dos profissionais de SI

2006-09-03T11:13:00.000-04:00

Esta semana foi publicado no site da Módulo um artigo interessante da mudança da segurança da informação com a visão mais direcionada ao negócio é cada vez mais cobrada dos profissionais de SI. Vale a pena dar uma olhada:

A nova visão da Área de Segurança da InformaçãoFábio Silva de Albuquerque
DATA - 31 Ago 2006
FONTE - Módulo Security Magazine

Como já é de conhecimento da maioria, tecnologia de Segurança da Informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não está só em tecnologia, mas também no fator humano.

Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Bem como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar se atualizar e se adaptar às novas tendências de mercado. É nessa hora que os gestores de SI têm mais um custo, que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança, e sim de operação e administração, eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto; na verdade, ele precisa ser o que chamamos de ¿especialista-generalista¿, ou seja, ter sólidos conhecimentos de SI e possuir conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra-estrutura, sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões e políticas, ou seja, deve exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos vamos dar um exemplo que está presente em 99% das empresas: os usuários e seus sistemas - imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos, e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio, suporte externo, onde geralmente é uma empresa que possui um foco de análise técnico em segurança, que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados que na verdade serão demandas para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão em um setor onde o cotidiano está muito operacional não é tarefa simples. O gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.

Fábio Silva da Albuquerque é Analista de Segurança da Informação e certificado MCSO

Gestor da Segurança da Informação

2006-07-03T15:46:00.000-04:00

O site NextGenerationCenter (www.nextg.com.br) criado pela Intel oferece vários cursos online. Na última semana foi disponibilizado um curso de Segurança II que aborda o Gestor de Segurança da Informação. Achei interessante o conteúdo e resolvi postar aqui para leitura para aqueles que almejam se tornar um CSO (Chief Security Officer).

A figura do Chief Security Officer (CSO)

Todas as mudanças importantes ocorridas em Segurança da Informação precisavam de um novo profissional. O gestor de tecnologia não tinha condições, muito menos tempo para assumir toda essa área que se constituía com velocidade impressionante. A resposta foi a criação de uma nova função dentro da companhia que, de maneira semelhante ao que aconteceu com as finanças sob o comando do Chief Financial Officer, organizasse e coordenasse as iniciativas em Segurança da Informação em busca da eficiência e eficácia no tema. Esse foi o berço do CSO.

Com a idéia consolidada de que segurança é muito mais do que tecnologias, o passo seguinte foi definir um profissional que pudesse abranger essa alteração de conceito. A relação com questões psicológicas, legais e físicas exige atenção dedicada e uma formação mais abrangente, ainda mais pelo fato de a Segurança da Informação estar ligada diretamente ao planejamento estratégico da companhia e, como não poderia deixar de ser, aos resultados dos negócios.

Apenas alguém que tenha grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de Segurança da Informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade.

O cargo de CSO existe há menos de cinco anos no organograma das empresas. Talvez por esse motivo, seu escopo de atuação, qualificações e as áreas as quais se reporta variam imensamente de corporação para corporação. Ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, há pouco entendimento sobre a natureza do seu cargo.

A mudança na arquitetura corporativa e o aumento na prioridade para Segurança da Informação transformaram e valorizaram a existência desse profissional emergente. Hoje não faz sentido deixar decisões estratégicas de negócios restritas aos administradores de TI, que não têm condições de avaliar riscos de negócios, não há como deixar de fora o CSO na fase de análise dos riscos de negócios feita pelos decisores da companhia com consultoria dos auditores.

A missão

A tarefa do CSO não é nada fácil. O recém-contratado CSO, ou função equivalente, precisa dirigir as tecnologias, processos e pessoas de maneira harmoniosa com as definições da Política de Segurança Corporativa. Mapear as medidas técnicas de segurança para endereçar as necessidades de negócios, ajudando aos gestores de negócios identificar o que é realmente necessário ao tema é apenas a ponta do iceberg. É preciso também levar para toda a companhia a visão da segurança como preocupação e responsabilidade de todos. Esse é o primeiro passo na tortuosa caminhada do gestor de segurança na corporação.

Depois, a melhor estratégia é aproveitar a estrutura instalada. Avaliar as políticas e processos de segurança existentes para determinar o que está funcionando e o que precisa ser mudado é fundamental. Depois disso, um novo desafio está posto: a comunicação dentro das esferas corporativas. Mais do que as alterações e mudanças, tudo precisa ser explicado claramente para a comunidade, deixando claro o motivo das mudanças estarem ocorrendo e o porquê. Só assim é possível trazer os usuários para o lado da corporação, fazendo parte do exército de defesa e, não mais, de ataque.

Outro passo delicado é avaliar a viabilidade de combinar sobre o mesmo chapéu a Segurança lógica com a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o registrado recentemente em Nova Orleans, nos Estados Unidos, ou nos países afetados pelo Tsunami, sem contar com até mesmo uma pane elétrica ou incêndio. Ainda que separadas na atuação, os dois setores precisam se comunicar e trocar idéias constantemente, já que são complementares e têm o mesmo objetivo comum: segurança.

Não desenvolver uma estratégia de proteção de dados coerente e compreensiva é um dos erros mais comuns nas empresas do mundo. Considerando que o conselho vê o gerenciamento de risco como um processo de negócios, fica difícil explicar como essas duas áreas podem existir completamente separadas e, mais ainda, como podem mitigar os riscos combinados.

A urgência para a criação de um escritório de segurança pode ser explicada de diversas maneiras. A mais confiável delas diz respeito à forma como os executivos destinaram, agradecidos, as responsabilidades sobre a segurança exclusivamente para os setores ligados à TI. Foi criada uma divisão que, na parte física, era responsável pela segurança do empregado¸ prevenção aos crimes e danos físicos aos ativos da empresa.

Já na parte lógica, a missão era cuidar do perímetro da rede, gestão de acesso e identidade, controle de invasões por fraudadores virtuais e proteção do site corporativo. Com a visão da segurança como um tema global, que gera valor agregado e é um processo de negócios, essa separação se mostra inútil. Casos de espionagem industrial ou terrorismo cibernético dão mostras claras de como as ilhas isoladas são prejudiciais para a corporação.

Responsabilidades

Resumidamente, é possível definir algumas metas gerais para os gestores de segurança. Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a segurança de dados, recuperação de desastre e continuidade de negócios; Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursos necessários de processos que envolvam pessoas ou dados; Avaliar possíveis brechas de segurança e recomendar as correções necessárias; Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos de serviços de proteção ou hospedagem de dados.

A quem o CSO está submetido? Em alguns casos, ele pode se reportar ao gestor de tecnologias, fato que é bem comum em médias empresas. Em corporações globais, a figura do gestor de segurança está normalmente sob as ordens do CFO (Chief Financial Officer) ou outros executivos de negócios, como o COO (Chief Operation Officer), já que não existe tolerância sobre os riscos de negócios. Adicionalmente, o gestor de segurança pode participar do conselho executivo da empresa, auxiliando na tomada das decisões, além de ser o responsável pela interface entre a corporação e o pessoal de segurança da empresa.

Mesmo assim, não existe uma tendência clara sobre quando a companhia deve colocar o CSO sob os domínios da TI. Não raro se encontra profissionais com título de gerentes de segurança, mas com poderes e responsabilidades de um gestor de nível médio, chegando a responder a pessoas submetidas ao próprio CIO (Chief Information Officer).

Ao contrário do que aconteceu com o setor de auditoria, que abruptamente mostrou a importância da autonomia dentro do organograma corporativo, a segurança está trilhando um caminho muito mais lento. As razões para evitar conflito de interesses ainda não serviram de convencimento completo, mas, apesar da atuação estar imediatamente presa aos computadores, isso não significa que o gestor de segurança deva estar sob o CIO.

Isso se deve ao fato de a relação entre as duas esferas ser, por si só, conflituosa. As áreas possuem inúmeras intersecções e não é difícil imaginar que isso cause problemas. Questões como orçamentos dedicados para o setor geram grandes discussões, assim como os níveis de intervenção permitidos em cada segmento. Além disso, projetos de tecnologia precisam ter a chancela dos dois departamentos e, nesse momento, um veto pode tornar o convívio insuportável.

Qual é a reação da TI quando o CSO questiona a viabilidade da nova solução de VoIP, por exemplo, tendo em vista questões de segurança? Ou vice-e-versa? A única forma de equilibrar essa disputa é colocar o gestor de segurança em plano igual ao CIO, respondendo diretamente ao gerente de operações. Caso contrário, abre-se a possibilidade para uma guerra interna que tem como front a tecnologia.

Para se preparar para essa difícil posição, certas qualificações são exigidas para os CSOs. Ainda que o mercado esteja longe de um consenso de um perfil para esse profissional, alguns pontos fundamentais precisam ser seguidos. Habilidades em questões de segurança física, para participar mais ativamente da integração entre as áreas é importante.

Assim como a familiaridade com a linguagem e os dilemas próprios da TI é um excelente pano de fundo. Experiência prévia em segurança é um destaque, se acompanhada também por conhecimento de negócios, o que leva à atuação do gestor a um equilíbrio entre os dois temas, muitas vezes contraditórios na ação.

A exigência de lidar com pessoas é outro ponto importante. Não é por acaso que algumas empresas estão transformando executivos do setor de Recursos Humanos em gestores de segurança, de tão fundamental é a relação com os usuários. Por isso, facilidade de comunicação é imprescindível para ter a desenvoltura necessária para fazer a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais dentro da companhia. Ter paciência para explicar, sem se perder em detalhes técnicos desnecessários, definir o papel de cada usuário no contexto global da segurança corporativa se faz necessário, assim como estabelecer formas de retaliação pelas desobediências aos controles internos.

O CSO pode atingir uma atuação bem-sucedida em qualquer corporação se tem capacidade de liderança e de gerenciamento de equipes. O conhecimento claro do escopo e da importância da função também ajuda o dia-a-dia na companhia e o sucesso das iniciativas de segurança administradas pelo CSO.

Ter conhecimentos maduros sobre questões como autenticação, auditoria, preservação da cena do crime real ou virtual, e gerenciamento de risco possuem grande valia para atuação em grandes empresas. E, como não poderia deixar de ser, ter experiência e conhecimento sobre as ferramentas de proteção na era da internet são fundamentais para o bom desempenho da função. Mais do que um técnico, o CSO é definitivamente um gestor de negócios.

Os benefícios da certificação digital

2006-06-20T13:08:00.000-04:00

No ano passado escrevi este artigo sobre Certificação Digital e foi publicado no site: https://ssl.porta80.com.br/fernandoferreira/artigos/artigo1137.htm

A certificação digital pode minimizar riscos de segurança nos processos de negócio. Algumas áreas e serviços como Internet Banking e Operações de Câmbio já aderiram ao uso desta tecnologia. Clique aqui e confira na íntegra o artigo do consultor de segurança Rangel Rodrigues

Obrigado,

Rangel Rodrigues

"Gestão da Segurança da Informação - CSO" - Rangel Rodrigues dos Santos, USP - FEA - FIA

2006-06-20T12:45:00.000-04:00

Este é o fruto do meu esforço nos estudos, no ano passado conclui meu MBA pela FIA/USP e após receber o diploma de conclusão resolvi publicar a monografia no site do meu amigo Fernando Ferreira. Lá você poderá fazer o download completo. Confira abaixo o texto postado no site: http://www.fernandoferreira.com.

Trabalho acadêmico: "Gestão da Segurança da Informação - CSO". Rangel Rodrigues relata em sua monografia que a segurança é um fator crítico de sucesso para os negócios das organizações. Leia sobre a visão executiva que foi desenvolvida neste trabalho.