Publicação

LAB GSTI 2.0: Técnicas avançadas para roubar doces de crianças

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE


Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com

Segurança da Informação
Segurança da Informação


A cibersegurança é cada vez mais um tema nas agendas das Empresas, Estados e Pessoas, discutindo-se muito por estes dias o crescente valor da Informação para a criação de valor bem como o crescimento de ameaças cada vez mais sofisticadas para destruir esse valor . A complexidade do tema leva a que muitas vezes seja discutido de forma parcial, criando a sensação de que nem sempre se discute sobre um ponto de vista das necessidades dos stakeholders, mas sobretudo na sua vertente técnica e mediática. Estaremos de facto a falar de uma guerra altamente sofisticada ou, na maioria das vezes, de écnicas avançadas para roubar doces a crianças?

Desde há muito tempo que a Segurança da Informação faz parte do meu portfólio de conhecimento e atividade profissional, tendo ao longo dos anos realizado diversos projetos de auditoria, consultoria ou formação relacionados com esta área. É uma área apaixonante por diversos fatores, dos quais destacaria o crescente valor que a Informação tem vindo a ter para Organizações e Pessoas, e a complexidade dos desafios relacionados com a responsabilidade de garantir a confidencialidade, integridade e disponibilidade da Informação alinhada com os requisitos e expetativas dos stakeholders .

Quando se discute o tema da Segurança da Informação existem sempre duas equipas de adeptos que se posicionam em campo: os adeptos da Segurança e os adeptos da Informação . Não são adeptos de equipas rivais, mas por vezes ficamos com a sensação de que não é fácil os dois grupos entenderem-se. Por “defeito profissional” sempre acabei por ter uma visão mais sistémica da Segurança da Informação e é nesse plano que tento muitas vezes criar pontes para que estas duas “torcidas” se alinhem e apoiem em conjunto os verdadeiros objetivos da Segurança da Informação.

Nos últimos tempos a discussão em torno da cibersegurança tem marcado a agenda da comunidade de profissionais de Sistemas de Informação e, de certa forma, da sociedade em geral. Se em algumas situações fica evidente a compreensão da evolução e complexidade do tema (dos seus elementos e ligações dinâmicas), também são muitos os casos em que sinto que as discussões resvalam para um patamar em que parece que estamos a discutir algo totalmente novo . Independentemente de se compreender em detalhe a complexidade do tema é minha convicção que, pelo menos de um ponto de vista de risco e controlo, pouca é a novidade!

Tenho dito que “se não existem os termos Guerra-dos-paus, Guerra-das-espadas ou Guerra-do-fogo, então talvez seja apenas uma moda falar-se em Ciber-Guerra” . Com esta brincadeira procuro transmitir a minha visão de que de uma perspetiva de Risco e Controlo, o sistema de informação pouco se alterou, estando a temática da cibersegurança sobretudo relacionada com transformações em alguns dos elementos do sistema. Para se entender melhor o que quero dizer, vejamos as principais componentes de um sistema de Risco e Controlo:

Figura - Relationship and Attributes of the Risk Analysis Components [1]

Quando se fala de ciber-ameaças está-se em grande parte a falar do surgimento de novos agentes ou técnicas responsáveis por explorarem, de forma mais ou menos intencionais, vulnerabilidades existentes nos ativos cada vez mais dependentes de tecnologias de informação . No entanto, não podemos esquecer que esses ativos são os recursos responsáveis pela guarda ou gestão de Informação, e quando falamos de Informação passamos a falar de objetivos de negócio e da forma como esta pode representar valor para os stakeholders da Organização e os recursos tecnológicos são apenas uma parte do sistema de informação .

O conhecimento e entendimento deste modelo é um fator crítico para qualquer Organização ou Estado que se pretenda preparar para se defender ou combater ciber-ameaças, pois apesar de qualquer Organização partilhar o mesmo sistema conceptual, a forma como esse sistema está preparado e o valor que a Organização dá à Informação é que influencia a capacidade de uma adequada gestão de risco e controlo.

Qualquer Organização que se encontre num estado avançado de maturidade e capacidade dos seus processos de governança e gestão do sistema de informação pode, e deve, encarar estes novos fenómenos como desafios complexos aos seus ativos para os quais os seus sistemas de melhoria contínua deverão adaptar-se. Por outro lado, a reduzida maturidade e capacidade dos processos leva a que muitas Organizações sejam alvos fáceis para qualquer tipo de crime , intencional ou não, sendo a maior sofisticação das ameaças o menor dos seus problemas. Para o primeiro grupo de Organizações a palavra Ciber é chave, para as outras continua a tratar-se apenas de um tema clássico de gestão Segurança.

Conclusão

Independente da origem ou forma do ataque ou do tipo de vulnerabilidade explorada, o importante é compreender que no final, como desde sempre, o que está em jogo é o poder, o dinheiro ou a fama resultantes da posse da Informação. Se os objetivos são os mesmos, então a prioridade deverá passar sempre por uma visão integrada da segurança da informação, seja ela ciber ou não!

Antes de abordar o tema da cibersegurança deverá começar por compreender o valor que a Informação tem para a criação de valor e se a sua Organização é de facto um cofre-forte que passou a ser alvo de ataques bem mais complexos para os quais se deverá proteger e preparar para combater; ou se na verdade continua a ser uma simples criança a quem é muito simples roubar um doce!

É importante entender que nem sempre um ataque ou roubo é mérito do atacante, muitas das vezes é o desleixo ou distracção do atacado que contribui de forma direta para o sucesso ou insucesso de um sistema de segurança.

Cumprimentos desde Portugal… estamos juntos!




[1] IT Assurance Guide: Using COBIT

Comentários