Home > Gestão

O que preocupa o CIO?

Líderes de TI falam sobre as principais questões quando o assunto é segurança da informação – e como lidam com os riscos

Murilo Martino

05/12/2006 às 16h37

Foto:

CIO - Qual é a preocupação de vocês quando o assunto é segurança?
Luiz Fernando Miller, CIO da Hermes -
 Temos uma preocupação cada vez mais forte não só com a política de segurança voltada aos funcionários, mas também cada vez mais com relação à abertura dos canais de internet. A preocupação é muito forte com os acessos externos e com identificação também de fora para dentro. Este tem sido nosso foco atualmente. Estamos tomando medidas mais no sentido da proteção de fora para dentro e a identificação contra fraudes e, eventualmente, acessos à informação gerencial com preocupação mais externa. As políticas internas são mais simples. As classificações vêm basicamente da diretoria. Temos quatro ou cinco níveis de acesso que são definidos pelas diretorias. Elas não têm muita complexidade interna. Nossa preocupação ultimamente está mais voltada para o acesso externo.

Guilherme Horn, diretor da Agora Senior - A nossa maior preocupação são o gerenciamento da identidade e a política de perfis de acesso. A Ágora tem uma política extremamente restritiva em relação aos funcionários e isso começa logo na entrada na empresa. Existe um workflow de entrada do funcionário e um dos pontos mais importante é a definição dos acessos que ele vai ter. Temos um turnover muito grande entre as áreas e o desafio é conseguir manter essa política restritiva de acessos ao longo do tempo de permanência do funcionário na empresa. À medida que ele vai mudando de área, precisamos conseguir manter essa política viva. Temos também a preocupação muito grande com o acesso externo, uma vez que nosso grande negócio está na internet. Do ponto de vista interno, a questão cultural também é muito importante. Ocorreram dois casos interessantes no exterior neste semestre. As duas maiores corretoras on-line dos EUA tiveram prejuízos de 22 milhões de dólares com ressarcimento a clientes e não tiveram nenhuma invasão na rede. Foi simplesmente por vazamento de informação por funcionários.

Etienne Vreuls, gerente de TI da Jamyr VasconcellosAinda existem fronteiras que não são claras. O gerenciamento de identidade envolve a área de RH. TI ampara até que ponto? Sem uma política clara e o patrocínio que banque essa política, dificilmente você consegue o seu objetivo. O nosso objetivo não é implantar um monte de ferramentas simplesmente para dizer que temos. Então, esse objetivo tem de ser olhado com cuidado porque senão você corre o risco de não atingir o ponto que interessa.

Renato Cardoso, gerente da Icatu-Hartford - O gerenciamento de identidade era minha grande preocupação até o ano passado, porque temos um sistema que é atípico, o Mumps. Nenhuma empresa que convidamos para cotar a parte de identidade digital me ofereceu um preço convidativo por causa desse sistema. Seriam necessárias várias customizações dentro do software para atender às nossas necessidades. Como estamos substituindo o Mumps por outro sistema maior, coloquei o controle de acesso integrado ao active directory e com interação direta com a área de RH, que é a porta de entrada do funcionário. Então hoje a situação do gerenciamento da identidade deixou de ser um problema para nós. O mais importante agora é a questão do vazamento da informação.

Adrian Digilio, diretor de sistema de informação da Repsol YPF - O grande perigo que eu vejo é a mobilidade que existe hoje. A Repsol tem uma solução de faturamento no caminhão para GLP e isso até poderia trazer problema porque estamos trabalhando direto com bluetooth. Outro problema também está relacionado com os notebooks. Às vezes, temos de dar as senhas de administrador do notebook e gerenciar isso é quase impossível. Você não tem como controlar o que a pessoa faz com o notebook. Este é o grande problema hoje, porque o resto da rede da Repsol está muito protegida. Temos Firewall, temos muita coisa que é muito difícil de acessar, mas com notebooks, PDAs e Smart Phones, acho que temos um desafio importante.

Paulo Cabral, gerente de TI da Ficap - O meu desafio hoje é implementar uma política única dentro da empresa: não dê a sua senha. Temos os dois extremos: o funcionário que faz lançamento contábil no SAP e os vendedores externos contratados que ingressam pedidos no sistema. Sei que os analistas de TI têm acesso livre ao SAP que é uma coisa que teoricamente já quebra todas as regras. Então, o desafio é achar esse meio termo.

Marcelo Ribeiro, gerente de TI da Rexam - A Rexam não possui nenhuma ferramenta para controle de ID. O controle é feito através de procedimentos internos de TI, normas e auditorias periódicas. Um exemplo é que hoje temos um ERP com cerca de 700 usuários e temos em torno de 600 perfis, quase um perfil individual. Estou implementando o SAP em janeiro, tenho mil usuários previstos e 62 perfis. Esse foi um avanço muito grande, conseguimos identificar os usuários dentro do sistema e traçar perfis que antes eu não tinha.

++++

Ana Cristina de Oliveira, diretora do Tribunal de Justiça do Estado do Rio de Janeiro - Desde 2000, quando foi publicada uma primeira política de segurança, fazemos o controle de acesso indevido para desembargadores e juízes. Precisamos de um controle bem mais rígido, a nossa informação tem que ser confidencial num espaço de tempo muito curto, que o tempo que leva, por exemplo, do momento que um desembargador escreve um acordão até o instante que é publicado no Diário Oficial. Então temos sim restrições de acessos à internet, níveis diferentes de restrição, controle de acessos a servidores de arquivos, mas não temos uma ferramenta de gerenciamento de identidade, de single sign-on. Estamos começando a estudar isso.

André Lemos, gerente da Glaxo Smith Kline Brasil - Utilizamos o gerenciamento de identidade há cinco anos. É uma política que funciona no mundo inteiro. A nossa forma de gerenciamento de identidade é muito simples. Enquanto a pessoa não tem matrícula, não existe para a companhia. Então ela não tem acesso. É restritivo, mas evita exceções.  Outro ponto importante da política: TI não é responsável pelo gerenciamento de identidade, nem por segurança. A responsabilidade é de RH. TI só implementa o que está escrito na política. O maior problema é com terceiros porque não passa pelo RH e aí a gente penaliza a empresa que presta serviços.

Walter Krause – gerente da Embratel - Fizemos um benchmarking no mercado, tanto no Brasil quanto nos EUA.  Em 90% das empresas o problema de TI era acesso, identidade. Mesmo as empresas muito bem controladas tinham problemas de acesso. Esse foi um dos focos no qual atuamos bastante forte. Iniciou-se o trabalho com a questão cultural. O código de ética da Embratel já prevê questões de segurança de informação. Todos os funcionários assinaram esse código de ética. Foi um primeiro trabalho com políticas, campanhas e com ações específicas de aprimoramento dos processos de concessão e alteração. Fizemos implantação de soluções feitas internamente integradas ao RH. A partir do momento que o terceiro recebe o direito ao crachá da empresa, está recebendo também acesso à rede da empresa. Na medida em que ele perde o contrato também perde o acesso físico e lógico. Com isso tivemos um melhor controle. Mas a identidade ainda tem que evoluir mais. Um ponto complicado é saber se o indivíduo tem o perfil de acesso de acordo com aquilo que ele precisa. Quem conhece o SAP sabe que, dependendo da aplicação de perfil, o usuário tem acesso ao que não deveria ter e ninguém sabe disso. Essa é uma vulnerabilidade que existe.

Rodolfo Dantas, gerente da Shell - Esse ano foi voltado para questões de segurança no grupo Shell. O controle de entrada e saída de funcionários funciona bem, mas existem gaps quando há movimentação e troca de função e responsabilidade de funcionário. Estamos trabalhando nisso também com terceiros. Todos os perfis de ERP da Shell são definidos pela área de controladoria e a área de TI simplesmente segue essas definições e implementa esses perfis de acordo com o que é definido por função e não por funcionário.

Telma Monteiro, gerente de sistemas da LachmannA TI é responsável pela segurança, mas é um trabalho integrado com as outras áreas como RH e controladoria. Toda vez que entra um funcionário novo, preenche os dados de RH, a controladoria define o perfil e a informática faz a configuração e gestão disso. A questão de segurança é cultural, o usuário tem que ter a responsabilidade pela senha e acessos que ele tem. Esse é o grande desafio, mais que a ferramentas. Uma coisa também que sinto dificuldade é com a saída dos funcionários. Você gerencia a entrada, mas na saída não. A TI precisa ser informada que o funcionário vai sair para poder tirar os acessos, fazer as restrições, antes da saída do funcionário. Algumas vezes eu sei que o funcionário já saiu, mas ele já está fora. Não temos como impedir se deletar informação, passar a senha para outro usuário indevidamente.

Ricardo Mavigno, gerente da Vale do Rio Doce - Iniciamos há um ano e meio um projeto ligado à gerência de identidade e agora começam a aparecer os resultados. O mais complicado é justamente gerenciar os perfis de acesso. Ter uma visão unificada disso e manter de acordo é muito complicado. O pior não é você definir os perfis e sim manter e fazer as áreas de negócio acreditar que aquilo é um problema deles e não de TI. Quem diz o que é que pode ser acessado não é a área de TI, mas a área de negócios. A empresa precisa estar consciente de que quando ocorre uma reorganização, um departamento é eliminado ou criado tem que se preocupar com isso, pois está mudando o perfil. Estamos fazendo alguns trabalhos paliativos para amenizar esse problema, mas a é grande pedreira que temos pela frente.

CIO – Vocês possuem uma política forte de gerenciamento de senhas?
Horn -  Temos um tratamento bastante radical na Ágora. Tivemos casos de três demissões de pessoas que passaram senhas para outras. O RH faz campanha sistemática de conscientização, mas nada substitui uma boa punição – e somos radicais neste ponto. Temos alguns níveis de punição, que vão desde a advertência até a demissão.

CIO - E isso está claro para o funcionário?
Horn - Sim, está muito claro. Eles assinam quatro termos quando entram na empresa. Todas as ligações, e-mails e mensagens instantâneas são gravados dentro sistema. Tudo é gravado e monitorado e eles têm total ciência disso.

Cardoso - Estabeleci também na empresa um controle de seção por aplicativo. Quando você tem uma senha compartilhada a utiliza naquela seção. Você não pode ter a mesma senha aberta em outra seção. Então se estiver aberto é porque alguém está compartilhando a senha naquele momento. Minimiza o risco, mas não conseguimos controlar que uma pessoa dê a senha para outra. Mas isso já serviu para pegar alguns casos. Aplicamos uma carta de advertência.

++++

Krause - Uma das coisas que foi feita na Embratel, antes de começar a senha forte foi verificar como estava o cenário. Descobrimos, obviamente, que 70% das senhas era Embratel. Então se adotou uma política de senha forte. Pelo menos a cada 60 dias o usuário tem que trocar. A questão de uso simultâneo também já está sendo tratada. Depende das aplicações, nem todas são viáveis de bloquear. Outro tipo de falha, que também percebemos até em discussões do projeto Sarbanes Oxley, estava no help desk. A autenticação de alguém pedir a senha, o help desk não verificava se a pessoa que estava pedindo era ela mesma, então dava a senha para qualquer um. O controle tinha que estar no help desk e isso também foi implementado, o pessoal agora é treinado. Fazemos alguns testes para verificar se eles não estão dando senha para alguém que não deveria ter.

Mavigno - A troca de senhas periódicas é importante. Implementamos há algum tempo e o efeito colateral foi que as pessoas escreviam as senhas em vários papéis porque tinham sete, oito e até dez sistemas para acessar. Eles pediam para trocar senha a toda hora, mas não as memorizavam. Esse foi um dos motivadores do single sing-on. Agora não há desculpa, eles têm que ter uma senha boa, mas é única. Então não têm que escrever. Esse foi um dos motivadores para convencer o pessoal a começar a usar.

CIO - Você tocou num ponto importante: o single sign-on. Como vocês estão trabalhando nessa área? 
Mavigno -Nós implementamos single sing-on na semana passada. Vimos diversas soluções e optamos por fazer uma parte menor. Temos apenas para aplicações web. Com a Sarbanes Oxley adotamos uma política de sincronismo de senha. Temos uma página de self-service de senha. Quando o usuário entra pela primeira vez, ele responde a uma série de perguntas. São perguntas pessoais, mas não são dados. Com isso, ele pode tanto usar esta página no micro do colega, caso queira pedir o reset da senha, ou então ligar para o help-desk, que vai usar a mesma página para reprogramar a senha dele e fazer as mesmas perguntas.

Cardoso - Você tem alguma ferramenta que pode fazer uma auditoria em relação à utilização deste self-service ou à troca de senhas? Até para facilitar a expectativa do usuário não só na utilização?

Mavigno - A própria ferramenta tem logs. Isso foi uma questão importante na escolha da ferramenta. Ter as informações de tudo o que estava acontecendo na parte de gerenciamento de identidade. Que tudo fosse logado e tivesse relatórios já customizados. Buscamos experiências de empresas que já se adequaram à Sarbanes Oxley. São exatamente os mesmos resultados.

CIO - Qual é o impacto da Sarbanes Oxley na política de segurança?
Krause – A Sarbanes Oxley impulsionou todos os investimentos. Uma grande dificuldade com relação à segurança é que não agrega valor ao negócio. Temos sempre que justificar na perda e nunca em valor agregado. As soluções foram criando tantas flexibilidades que esqueceram da segurança e elas não são nativas. A Sox obriga que a segurança faça parte do negócio e com isso impulsionou muitos investimentos em termos de segurança. Isso não é só na Embratel, mas em todas as empresas que estão envolvidas com a Sarbanes Oxley. 

CIO – Algum de vocês utilizou a ISO 17779?
Cardoso -
A nossa política de segurança foi toda feita com base na ISO 17779. No início não funcionou. O pessoal não gostou porque queriam uma linguagem mais voltada para a empresa. Questionaram muito sobre o tipo de documento, porque eu quis fazer um que abrangesse os 10 domínios da ISO 17779. Ele teria que ser um documento lido por todos, então ficou algo resumido, englobando os 10 domínios. As pessoas não gostaram muito no início, mas depois se acostumaram.

Ana Cristina - A nossa política também foi com base na ISSO 17779 e o importante é que foi com o apoio do presidente do Tribunal. Quando você está de frente com um incidente ou algum problema, aquilo tem força de lei diante de um tribunal, por que é um ato normativo.

++++

Krause - Inicialmente fizemos uma política única com todos os capítulos e ai ficou muito difícil implementar. Agora estamos fatiando, dando os capítulos que são mais importantes. Com isso, vai levar alguns anos até ter toda política, mas é também a nossa referência.

CIO - A implantação de uma solução de um sistema de gerenciamento de identidade depende de um Business Project Management?
Mavigno - Se você resolver construir um sistema dentro de casa pode baseá-la em cima de um BPM.  Mas não depende. É interessante ter o BPM por outros motivos, além da segurança. Um BPM vai permitir monitorar cada ponto de um processo.
 
Ribeiro - Acho que não depende de BPM. A Rexam tem BPM e um dos processos que eu tenho no BPM é justamente a criação do usuário inicial e eu diria que agiliza muito. O BPM ajuda muito na identificação do novo usuário, pois você já sabe quando ela está entrando na empresa. Não diria que agiliza, mas ajuda bastante, fica mais transparente. Todo processo que você automatiza, na verdade você esta atualizando uma norma e ele evita que você fure aquela norma. Acho que é a grande vantagem.

CIO - Alguém sofre alguma política de restrição à implementação de agentes para identificação de identidade?
Ribeiro -
Como empresa inglesa, temos de seguir o que a matriz determina. Não posso escolher uma ferramenta deste porte somente aqui. Mas se não há uma política definida na matriz, tenho mais liberdade. Por exemplo, eu não tenho uma ferramenta de single sign-on, posso definir uma, desde que não esteja conflitando com uma que eles já estejam pensando em definir lá.

Dantas - Na Shell nós temos o mesmo problema. Não podemos implantar nada desde que não seja definido e aprovado pelo grupo e é uma coisa que me deixa muitas vezes um pouco frustrado. Uma coisa são as definições globais, as ações locais e os reflexos que isso causa na tua gestão. Aqui na Shell, por exemplo, há uma complacência na liberdade para seus funcionários em relação ao acesso a qualquer coisa. Percebemos que há um exagero de boa parte de algumas pessoas da empresa com acesso que não fazem parte dos business e fazendo até com que até com que tenha custos com relação a isso. 

Mavigno - Em relação a soluções de gerenciamento de identidade e o uso de agentes para você captar a informação o que eu posso dizer é que, no nosso processo de escolhas de ferramentas, o quanto menos a solução se utilizar deste tipo de recursos melhor é. Por que isso? Quanto mais interferência nas plataformas que você monitorar pior. Estou criando um risco, estou pegando um corpo estranho e colocando dentro de um sistema que está funcionando. Para a Vale que está com 400 sistemas rodando, você começar espalhar gente para todo lado seria muito complicado, muito arriscado. Então premiamos os que menos utilizassem este tipo de abordagem.

Cardoso - Como você conseguiu convencer o board da tua empresa sobre isso? Passei dois anos para tentar implementar o single sing-on na Icatu e devido aos valores, inclusive criação de agentes para fazer interligação dos sistemas, ficou muito caro e utilizei o Excel para fazer a integração das listas dos sistemas, dos funcionários admitidos e demitidos e fiz o controle.

Mavigno - Na verdade, fizemos um cálculo de ROI e isto tornou-se viável em dois anos. Este tempo pagava o investimento que estava sendo feito, trazendo todas as vantagens que a ferramenta tem. O interessante é que no inicio, quando começamos a calcular, o ROI não fechava. Não conseguia justificar aquilo. Quando começamos a ver os controles relativos à Sarbanes Oxley que tínhamos que implementar, aí sim o meu custo de manutenção do usuário de manter o ciclo de vida começou a subir consideravelmente, porque a quantidade de controles aumentou, com isso o meu custo aumentou.

++++

CIO – A mobilidade está gerando uma fauna de dispositivos dentro das companhias difícil de gerenciar. Como a área de TI está trabalhando a questão da segurança relacionada a esses equipamentos?
Krause -
As empresas proibiram o uso de gravadores de CD, mas a porta de USB está livre para pen drives de 1 Giga. Dá para gravar mais do que dois CDs. É um desafio bloquear a USB, pois cria um problema de mouse e outros periféricos que usam essa porta.

Mafra - No nosso caso, temos muitos consultores externos. Estamos pensando em fazer redes separadas, uma interna e outra externa wireless. E esta rede é como se ele estivesse acessando externamente pelo firewall. Ou seja, ele vai ter que dar uma volta para entrar na rede interna. É a flexibilidade que nos impõem estes desafios. O mundo será cada vez mais wireless, o pessoal trabalhando em casa. Temos que nos preparar para isso.

Dantas - A informação está na cabeça das pessoas. E no pendrive, no DVD, no CD. Para ilustrar esta discussão, participei de uma reunião e precisei usar o micro do hotel. Mexendo no computador, encontrei um arquivo que tinha todo plano estratégico de cinco anos de uma empresa de grande porte. Alguém com certeza precisou fazer uma mudança para uma apresentação e esqueceu lá. É complicado e não vejo como impedir isso. Ai é trabalho de conscientização.

Digilio - Temos funcionários trabalhando à distância. Um dos nossos problemas é que, para fazer o atendimento à distância de um notebook, temos que fornecer a senha de um administrador de notebook. A pessoa fica com esta senha permanentemente. Ou seja, ela esta incorporando programas que não são corporativos, que não são da empresa em seu notebook, e não temos como controlar este problema, além dos vírus, uso indevido de internet. Estes são problemas que estamos tendo e acho que são problemas de segurança maior.

Mafra - Hoje a palavra de ordem é flexibilidade e isso impõe para nós de TI uma adaptação muito rápida às necessidades que a empresa demanda. Estamos vivenciando coisas do tipo: nós podemos abrir o acesso ao instant messenger? Temos que liberar o acesso ao Orkut? Outra coisa que está acontecendo é que funcionários estão trazendo notebooks próprios para companhia. Estamos vivenciando um momento que temos que começar a rever um pouco as posições ortodoxas que principalmente a área de segurança toma e permitir que haja a flexibilidade e a troca de informações. Outro ponto que foi colocado que também é interessante é a parte de gestão do conteúdo. Nós, da área de TI, de repente somos obrigados a definir o que o usuário deve ou não deve ver. Isso é uma discussão que tivemos e foram criados alguns comitês internos onde o usuário e a diretoria estão definindo a gestão do conteúdo. Estamos nos posicionando como o grupo que toma conta da infra-estrutura, ou seja, se aquele acesso gera um risco operacional para a companhia, há uma atuação da área de TI. O que não cabe à área de TI é estabelecer regras como quais os sites o funcionário deve ou não visitar. Essa é uma definição que deve partir da diretoria e a quem ela determinar que seja o responsável por isso.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail