Gestor da Segurança da Informação, CSO – Chief Security Officer

Introdução

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da companhia, dentre outras, são atribuições que culminaram na criação da função de  Gestor da Segurança da Informação, CSO – Chief Security Officer.

Todas as mudanças importantes ocorridas em segurança da informação demandavam um novo profissional. O gestor de tecnologia não tinha condições nem tempo para assumir toda essa área. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em segurança da informação na busca da eficiência e eficácia no tema.

Definir um bom gestor

Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de segurança da informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade.

Além disso, ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo.

Responsabilidades

Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo uma pane elétrica ou incêndio.

Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO.

Hoje um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios.

Geralmente, o CSO possui formação em Ciência da Computação, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as consequências positivas. Infelizmente, um profissional tão completo assim não é encontrado facilmente no mercado.

No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência.
Também, estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passou de 647 mil em 2006 para 787 mil em 2009.

O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO.

Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação, e 73% afirmaram que esta tendência se manterá.

Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Desse modo, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas.

Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função.

A certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e é bem útil para o desenvolvimento da carreira. As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por exemplo, são meios importantes para conseguir as habilidades necessárias ao cargo.
No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é obter certificações de uma associação de segurança profissional para ajudar a impulsionar a carreira.

Conclusão

Ao elaborar o plano de carreira as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

É importante ressaltar, também, que certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO é necessário saber se comunicar, em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio.

O CSO deve ser capaz de explicar os benefícios da segurança, acerca de retorno do investimento (ROI), e seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas.

Monitoramento de funcionários nas empresas

Introdução

Desde que o computador passou a integrar o cotidiano de nossas vidas, sempre estivemos sujeitos a ataques de pessoas com más intenções. Algumas dessas pessoas tinham interesse apenas em se divertir, vendo como o seu ataque repercutiria no mundo da informática. Outras, por vezes, tinham interesse em furtar informações sigilosas.

Dentro de uma empresa onde o maior patrimônio são seus ativos de informação, temos nas pessoas como alvo principal das falhas de segurança, muitas das quais iniciam com o descontentamento de funcionários que acabam furtando informações relevantes da empresa.

A partir do momento em que os computadores passaram a ser mais utilizados de maneira interconectada, novas formas de ataque foram surgindo, o que levou a uma maior preocupação com a segurança, não apenas dos recursos computacionais de cada computador, mas também das informações que trafegam pelas redes de interconexão nas empresas

Visando ter um controle maior sobre qualquer atividade desempenhada pelo funcionário e ao mesmo tempo ter como identificar através de logs, as ocorrências referentes a softwares instalados e troca de informações que este pratica no seu computador, então houve uma necessidade maior de criar um monitoramento eficiente.

Quais as questões que mais preocupam as empresas?

• Quais funcionários gastam mais tempo navegando na Internet?

• Quem é o funcionário que gasta maior tempo em sites de compras, esportes ou sites para adultos?

• Quais funcionários que acessam mais bate-papo ou serviços de e-mail anônimo como Hotmail e Gmail?

• Quem envia a maioria dos e-mails com anexos?

• Quais funcionários podem estar vazando informações confidenciais da empresa através de mídia removível, como pen drives, CDs e DVDs?

• Quais funcionários estão imprimindo documentos confidenciais?

• Quem está chegando tarde ao trabalho e saindo mais cedo?

• Quem toma muito tempo em almoço?

• Quais são meus empregados pesquisando no Google, Yahoo e MSN?

Então, são questão básicas que deixam a mente dos empresários e gestores preocupados, pois tudo isso reflete no desempenho e na produtividade das empresas.

Monitoramento com Spector 360

Software que registra as atividades do computador de cada um dos seus funcionários, que alimenta as informações em um banco de dados e fornece mais de 50 relatórios personalizados que ajudam a identificar rapidamente os funcionários que são mais prováveis para prejudicar sua empresa.

Se você detectar um problema ou suspeitar que um funcionário específico é o principal culpado de abuso, você pode analisar cada detalhe do seu computador e o acesso à Internet para recolher as provas necessárias. O nível de detalhamento é tão preciso que você pode ver o que um funcionário faz a cada segundo.

O detalhe maior nessas questões de monitoramento é que aumentam a capacidade da empresa de monitorar o funcionário e acabam maximizando a performance do trabalho, como podemos notar através do vídeo extraído do YouTube:




Quais as principais razões para realizar o monitoramento?

• Aplicar a política de utilização aceitável: Os funcionários acreditam que as regras podem ser burladas quando ninguém está olhando e quando há o monitoramento percebe-se uma diminuição a incidência como os riscos de assédio sexual e racial e as ocorrências de jogos on-line e de pornografia.

• Proteção contra roubo: Vazamento de informações sensíveis e confidenciais, acidentalmente, intencionalmente ou não.

• Requisitos de conformidade: Atender os requisitos de conformidade com leis e normas da empresa.

• Aumentar a produtividade: Reduzir significativamente a quantidade de ociosidae de maneira simplória que tem crescido na maioria dos locais de trabalho.

• Realizar investigações e violação de documentos: Qualquer funcionário suspeito da prática de conduta inadequada, ilegal ou não aprovados podem ser investigados.

Para ter acesso a demonstração do software veja abaixo:

• Demonstração do produto

• Demonstração das ferramentas de gravação

• Filto de Internet e demonstração do monitoramento de funcionário

Conclusão

Mecanismos de prevenção compreendem soluções e procedimentos cujo objetivo é tomar as medidas necessárias para que um determinado evento relativo à segurança ocorra. Como você pode observar, vivemos hoje em uma sociedade baseada na informação. Cada empresa geralmente possui informações que são estratégicas para o seu ramo de atividade. O roubo de tais informações pode causar danos à imagem da empresa e até mesmo levar a sua falência. Por isso, é de suma importância a preocupação com a segurança dos recursos computacionais dentro de uma organização.

Referências:

Spector360. Disponível em http://www.spector360.com/. Acesso em 15 de outubro 2010.