Política de Segurança de Informação: um modelo de como não fazer

A política de segurança da sua organização é inexistente ou ineficaz, e ainda por cima dificulta que os usuários possam usar os recursos de informática para realizar trabalho legítimo? Você não está sozinho, esta é uma fonte contínua de frustração para bastante gente.

Na verdade, e para ser justo, mesmo quando ela funciona bem, é provável que muitos usuários ocasionalmente sintam que ela é um entrave ao seu desempenho. Mas quando ela não funciona, o efeito é muito mais frustrante.


Batendo na mesma tecla

As causas são bem conhecidas, e não é necessário formação em TI para entender por que as coisas acontecem assim. E a listagem abaixo é justamente isso: uma lista do que deve ser feito se quisermos que a política de segurança de TI não funcione, acompanhada de ocasionais comentários em itálico explicando ou ampliando os itens. Mas a receita oposta (a do sucesso) seja bem mais difícil de definir ;-)

Os comentários em itálico são todos meus, mas a lista original foi publicada há 2 semanas no Internet Storm Center. Eu me esforcei menos para fazer uma tradução fiel, e mais para torná-la suficientemente compreensível para poder ser entendida (com menos jargões, especialmente) por todo mundo que tem interesse no avanço da segurança das informações em suas organizações, e na redução das proibições e restrições desnecessárias ou injustificadas.

Já vai longe o tempo em que eu era administrador de redes e lia diariamente sites como o Internet Storm Center. Mas tanto naquela época como agora eu sempre acreditei que a organização só faz a política - quem faz a segurança são os usuários. E é suficientemente fácil encontrar exemplos de políticas de segurança de informação sendo mal-empregados e gerando mais prejuízos do que benefícios.

Portanto, se a lista abaixo provocar reflexões sobre a situação na sua organização, compartilhe conosco nos comentários!

Vamos à lista!

Política de Segurança da Informação: checklist do que NÃO fazer

Práticas de segurança

  • Espere que os usuários, em prol da segurança, abram mão da conveniência. Abrir mão da conveniência é algo que geralmente se faz só por obrigação imposta, por mais que se compreenda e apóie a política (e se deseje que "os outros" abram mão das suas conveniências), em especial quando as pessoas se percebem impedidas, pela própria organização, de realizar o trabalho que se espera delas.
  • Tranque tanto a infra-estrutura, que trabalhar se torne complicado demais. Complemento do comentário acima. E há um risco adicional: os usuários vão encontrar "jeitinhos", como o uso de cópias locais, versões antigas e mídias não-autorizadas.
  • Diga "não" sempre que lhe solicitarem alguma aprovação. Assumindo que você tenha força suficiente para sustentar um comportamento deste tipo, aí quem vai encontrar jeitinhos serão departamentos inteiros, filiais, e outros agregados.

  • Imponha requisitos de segurança sem as ferramentas e treinamento adequados. Vira letra morta, e ainda por cima custa caro. Segurança precisa ser praticada por todos, o que pressupõe ferramentas e educação.
  • Concentre-se em mecanismos preventivos, ignorando as tecnologias de detecção. Se você acreditar que suas barreiras são inexpugnáveis, corre o risco de perceber o inimigo já agindo livremente dentro delas, tarde demais
  • Não analise logs de sistemas, aplicações e segurança.
  • Não tenha tratamento especial e separação para seus servidores acessíveis via Internet. Se os seus servidores acessíveis via Internet ficarem na mesma rede que os demais computadores da organização, a tendência é que todos os demais computadores estejam bem mais expostos do que deveriam.
  • Assuma que seu gerenciamento de atualizações de sistemas funciona, sem verificá-lo. Basta haver um computador sem uma atualização crítica, para colocar por água abaixo todo o restante do esforço.
  • Apague logs porque eles ficaram grandes demais para ler. Configure-os de acordo, processe-os e leia! Ou arrume quem o faça, regularmente e com muita atenção.
  • Espere que o SSL resolva todas as questões de segurança de seus aplicativos web. SSL é só o mínimo necessário, e o "cadeadinho fechado" no rodapé do navegador não protege contra as falhas na programação ou na arquitetura.

  • Proíba o uso de pen drives, sem delimitar o acesso à Internet. Os mesmos arquivos que podem entrar ou sair via pen-drive podem fazê-lo via uma grande variedade de sites na Internet. Pen drives são uma ferramenta, mas o que deve ser restrito é trazer ou levar os arquivos não autorizados que se queira impedir. Só proibir os pen drives é incômodo e ineficaz.
  • Aja como se fosse superior a seus pares nas demais áreas de TI. Cooperação é muito mais eficaz.
  • Pare de aprender sobre tecnologias e ataques.
  • Adote novas tecnologias antes que elas tenham maturidade suficiente. Folders, livretos, exposições e as conversas dos vendedores devem ser tomados em conjunto com doses saudáveis de consideração.
  • Contrate alguém só porque ele tem um monte de certificações.
  • Não informe seus gestores sobre os problemas de segurança que os seus esforços evitaram. Os seus custos e as dificuldades que você gera, eles vêem. Permita que vejam claramente os resultados também.
  • Não faça treinamento cruzado nas equipes de segurança e TI. Os desenvolvedores, equipes de suporte, operação e manutenção são essenciais na segurança. E os profissionais da segurança precisam conhecer as tecnologias que estão protegendo ou restringindo.

Gestão de senhas

  • Exija que seus usuários troquem de senha com muita frequência. ...e eles adotarão esquemas fáceis de lembrar (e quebrar), ou escreverão as senhas em algum lugar de fácil acesso.
  • Espere que seus usuários lembrem de senhas sem escrevê-las. ...e eles nunca vão trocá-las, ou escolherão sempre senhas fáceis.
  • Imponha requisitos de seleção de senhas que exijam esforço demais. ...e eles as esquecerão com freqüência e pedirão ajuda a terceiros na hora de trocá-las, falando em voz alta a senha que tentaram e qual irão tentar agora.
  • Use a mesma senha em sistemas com níveis de risco diferentes.
  • Deixe de considerar a facilidade com que uma senha pode ser regerada ou zerada. Às vezes com um simples telefonema, sem verificação de identidade.

Política de segurança e adoção de padrões

  • Ignore requisitos legais. Não é razoável: proibir o que uma norma superior permite, permitir o que a lei proíbe, atribuir a si mesmo o poder de realizar verificações ou praticar ações que potencialmente violem direitos alheios. Mesmo assim muita gente tenta, todos os dias, e se dá mal na hora de colocar em prática.
  • Assuma que os usuários irão ler a política de segurança porque você pediu a eles. Eles só o farão se precisarem muito. Publicar pode ser o suficiente para que eles venham a conhecer as linhas gerais, eventualmente distorcidas pela Rádio Corredor. Para que os usuários conheçam uma política detalhadamente, é preciso recorrer a outros meios de educação. Na prática, você não pode assumir nem mesmo que toda a equipe de TI, ou que a maioria dos executivos, vá ler a norma.

  • Use modelos de documentos de segurança sem adaptá-los. E não vale adaptar só um pouquinho. A não ser que a implantação vá ser para fins didáticos.
  • Pule direto para a adoção completa das normas ISO antes de estar pronto. Maturidade, de modo geral, implica em um plano de adoção em várias etapas sucessivas.
  • Crie políticas de segurança que você não poderá fazer cumprir. Uma norma cujo cumprimento não é (ou não pode ser) exigido pode ser até mesmo pior do que a ausência de normatização, e acaba servindo apenas para punir culpados depois que a porta já estiver arrombada e as vacas tiverem fugido do estábulo.
  • Faça cumprir políticas cuja aprovação formal é incompleta ou insuficiente. Especialmente caso exista possibilidade de o caso ir parar no judiciário (mesmo que seja o trabalhista, em caso de penalidade disciplinar), ou houver interações complexas entre departamentos ou áreas da organização.
  • Siga cegamente requisitos das normas, sem criar uma arquitetura de segurança completa.
  • Crie sua política de segurança só para marcar um ponto em uma checklist. Se for só para dizer que tem, aí o melhor é mesmo cumprir apenas os requisitos mínimos e estar preparado para arcar com os resultados. Fazer pela metade sai mais caro, e pode ser tão ou mais ineficaz do que só fazer o mínimo que a norma exige.
  • Contrate alguém para escrever a sua política de segurança sem conhecer sua realidade.
  • Em um ambiente multi-idiomas, traduza a sua política sem manter significados consistentes em todas as traduções.
  • Esconda dos funcionários a sua política. Divulgue a todos, não restrinja a divulgação do que não for informação sensível, preocupe-se com a internalização e adoção na prática.
  • Assuma que se as políticas funcionaram para o ano passado, funcionarão para o próximo. Quantos prédios haviam sido atingidos intencionalmente por aviões de grande porte antes do 11 de setembro?
  • Assuma que atender as normas significa que você está seguro. Atender as normas é só o mínimo necessário.
  • Assuma que as políticas não se aplicam aos executivos. Se houver exceções, elas devem constar na norma, e não podem comprometer sua eficácia. Pouco adianta todo o restante do esforço se um gerente puder trazer um pen drive de casa para instalar um programa ou compartilhar um arquivo em uma máquina da rede local. Uma variante do mesmo erro: "Assuma que as políticas não se aplicam ao pessoal de TI".
  • Esconda-se dos auditores. Se a prioridade é a segurança, não apenas você deve dar as boas vindas a eles, como ainda se esforçar para oferecer a eles uma visão ampla, geral e irrestrita. Mas se a prioridade for apenas obter uma certificação ou atender a uma determinação da matriz, você nem precisaria estar lendo este material.

Ferramentas de segurança

  • Ative uma ferramenta de segurança como veio na caixa, sem configurá-la.
  • Configure o IDS (sistema de detecção de intrusão) para ser sensível demais, ou de menos. Se ele gerar muitos falsos-positivos, você vai acabar ignorando os verdadeiros. Se ele for muito permissivo, pode deixar de detectar alguma intrusão real.
  • Compre ferramentas de segurança sem considerar os custos de ativação e manutenção. Mesmo quando o contrato inclui a implantação e manutenção, há outros custos associados que precisam ser considerados.
  • Dependa de anti-vírus e firewalls, sem controles adicionais.

  • Adote verificações regulares de vulnerabilidades, mas não acompanhe com atenção os resultados.
  • Deixe seu anti-vírus, IDS e outras ferramentas rodando no piloto automático. O custo orçado destas ferramentas deve incluir o valor dos profissionais que precisarão acompanhá-las, gerenciá-las e resolver as situações que elas apontarem, se possível antes que se tornem em comprometimentos.
  • Empregue múltiplas tecnologias de segurança sem entender quanto cada uma delas contribui.
  • Se apresse para comprar produtos caros quando uma correção simples e barata corrigiria sozinha 80% do problema. Corrigir só 80% do problema não é suficiente, mas se é simples e rápido fazê-lo, o ideal é verificar se é possível colocar em prática e depois reavaliar a situação, para ver se a ferramenta cara é necessária para resolver os 20% restantes, ou se outros caminhos surgem.

Gestão de risco

  • Tente aplicar o mesmo rigor a todos os ativos de informação, independente do seu perfil de risco. Fica bem mais caro do que deveria, atrapalha processos sem necessidade, e prejudica bastante a adoção e internalização pelas pessoas envolvidas.
  • Dê a alguém o título de Gestor dos Riscos, mas não lhe dê o poder de tomada de decisões correspondente. Ele terá que optar entre se omitir, ou ser o chato que fica apontando riscos nas atividades alheias podendo ser ignorado, ou ainda saber que está lá só para levar a culpa.
  • Ignore o quadro geral, e se concentre nas análises quantitativas. É mentalmente desafiante e muito interessante aplicar os modelos matemáticos de quantificação de riscos, mas eles não podem substituir a visão do todo, e sim complementá-la.
  • Assuma que você não precisa se preocupar com segurança, porque sua organização é muito pequena ou insignificante.
  • Assuma que você está seguro porque não se tem notícia de que foi invadido recentemente. Será que você foi invadido e nem sabe? É mais comum do que muitos imaginam.
  • Seja paranóico sem considerar o valor do recurso ou o seu fator de exposição. Admitindo que o comportamento paranóico tem seu lugar, mesmo assim é necessário empregá-lo com critério.
  • Classifique todos os seus dados como "top secret". Nivelar por cima, nesse caso, tem praticamente o mesmo efeito que nivelar por baixo.

Leia também:

Comentar

Comentários arquivados