Mente hacker
Denny Roger é analista de segurança de redes
Publicada em 07 de outubro de 2009 às 15h34
Atualizada em 07 de outubro de 2009 às 15h43
Voce terceiriza sua senha?
Repassar serviço de segurança para colaboradores externos poupa investimentos. Mas vale a pena?
No mês passado, durante um almoço com dois amigos especialistas em auditoria interna, discutimos o fato de as empresas terceirizarem suas aplicações e processos de tecnologia da informação (TI), incluindo a segurança da informação. Ao final da conversa, um dos meus colegas explicou que alguns serviços de TI são executados por colaboradores externos. Assim, a “chave-mestra” passa a ser administrada pelos prestadores de serviço.
O tom dramático do meu colega auditor não foi excepcional. Logo lembrei que, nas organizações, os "terceiros" ou prestadores de serviços possuem a senha de administração do ambiente computacional. Porém, os funcionários da organização, responsáveis pela segurança da informação, auditoria e controles internos, são mantidos longe da chave-mestra.
Quais são as ameaças?
Em abril de 2009, desenvolvendo atividades relacionadas à análise de risco em uma organização, detectei que não havia uma cláusula de confidencialidade nos contratos de prestação de serviços. Ou seja, todos os terceiros poderiam divulgar as informações da organização que foram disponibilizadas para o desenvolvimento das suas atividades,
incluindo a senhas de administração do ambiente computacional.
O problema encontrado, apesar de ser comum a muitas organizações, não havia sido detectado pelo departamento jurídico. As principais questão foram: a) existia uma cláusula de confidencialidade entre a organização e o fornecedor que estava alocando os prestadores de serviços. Mas os profissionais indicados para o serviço não eram funcionários do fornecedor. A verdade é que esses profissionais abriram uma empresa para emitir notas fiscais referentes aos serviços prestados. O fornecedor aloca seu prestador de serviços para o desenvolvimento das atividades no cliente.
Neste caso, deixou de ser uma terceirização para ser uma “quarteirização”; b) o prestador de serviços não assinou o termo de confidencialidade entre a sua empresa e o fornecedor; c) algumas organizações solicitam que a pessoa externa contratada para o trabalho assine um termo de responsabilidade, que, por sua vez, não tem validade jurídica. O correto é a organização criar o “Termo de Sigilo” para todos os prestadores de serviço. O “Termo de Responsabilidade” é válido apenas para funcionários.
Equipe
No momento em que o fornecedor recebe a aprovação da proposta de terceirização das aplicações e processos de TI, inicia-se o processo de contratação da equipe que será reservada ao cliente. Quanto mais rápido as pessoas forem contratadas e alocadas para o cliente, mais rápido o fornecedor recebe. Mas, quando se trata de contratar profissionais
de TI, há uma vasta diferença de perfil e conhecimentos entre os candidatos.
O fornecedor não tem tempo para avaliar os níveis de habilidade dos candidatos e seleciona de acordo com o perfil básico e pretensão salarial. Muitos clientes comentam comigo que alguns terceirizados estão aprendendo a trabalhar administrando os processos de TI da organização, trazendo novas ameaças aos negócios da empresa.
O fornecedor não oferece treinamento aos profissionais que serão alocados em uma empresa. O primeiro passo, e talvez o mais importante, é o terceiro receber uma cópia da política de segurança da informação e treinamento sobre as diretrizes e normas da empresa, incluindo o código de ética e conduta.
Conclusão
As organizações devem criar diretrizes e normas para manter a segurança da informação das aplicações e processos de TI gerenciadas por terceiros. A análise de risco deve cobrir os acordos com terceiros para evitar “quarteirizações” sem a cláusula de confidencialidade.
Convém que o departamento de recursos humanos e o jurídico criem termos específicos para funcionários e prestadores de serviço. As organizações devem solicitar um resumo do currículo do profissional que será alocado para a prestação de serviço. É recomendado que todos os colaboradores externos recebam treinamento sobre a política e normas de segurança antes de iniciar suas atividades. Mantenha a “chave-mestra” da sua empresa sob a responsabilidade dos funcionários (CLT).
Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.
O tom dramático do meu colega auditor não foi excepcional. Logo lembrei que, nas organizações, os "terceiros" ou prestadores de serviços possuem a senha de administração do ambiente computacional. Porém, os funcionários da organização, responsáveis pela segurança da informação, auditoria e controles internos, são mantidos longe da chave-mestra.
Quais são as ameaças?
Em abril de 2009, desenvolvendo atividades relacionadas à análise de risco em uma organização, detectei que não havia uma cláusula de confidencialidade nos contratos de prestação de serviços. Ou seja, todos os terceiros poderiam divulgar as informações da organização que foram disponibilizadas para o desenvolvimento das suas atividades,
incluindo a senhas de administração do ambiente computacional.
O problema encontrado, apesar de ser comum a muitas organizações, não havia sido detectado pelo departamento jurídico. As principais questão foram: a) existia uma cláusula de confidencialidade entre a organização e o fornecedor que estava alocando os prestadores de serviços. Mas os profissionais indicados para o serviço não eram funcionários do fornecedor. A verdade é que esses profissionais abriram uma empresa para emitir notas fiscais referentes aos serviços prestados. O fornecedor aloca seu prestador de serviços para o desenvolvimento das atividades no cliente.
Neste caso, deixou de ser uma terceirização para ser uma “quarteirização”; b) o prestador de serviços não assinou o termo de confidencialidade entre a sua empresa e o fornecedor; c) algumas organizações solicitam que a pessoa externa contratada para o trabalho assine um termo de responsabilidade, que, por sua vez, não tem validade jurídica. O correto é a organização criar o “Termo de Sigilo” para todos os prestadores de serviço. O “Termo de Responsabilidade” é válido apenas para funcionários.
Equipe
No momento em que o fornecedor recebe a aprovação da proposta de terceirização das aplicações e processos de TI, inicia-se o processo de contratação da equipe que será reservada ao cliente. Quanto mais rápido as pessoas forem contratadas e alocadas para o cliente, mais rápido o fornecedor recebe. Mas, quando se trata de contratar profissionais
de TI, há uma vasta diferença de perfil e conhecimentos entre os candidatos.
O fornecedor não tem tempo para avaliar os níveis de habilidade dos candidatos e seleciona de acordo com o perfil básico e pretensão salarial. Muitos clientes comentam comigo que alguns terceirizados estão aprendendo a trabalhar administrando os processos de TI da organização, trazendo novas ameaças aos negócios da empresa.
O fornecedor não oferece treinamento aos profissionais que serão alocados em uma empresa. O primeiro passo, e talvez o mais importante, é o terceiro receber uma cópia da política de segurança da informação e treinamento sobre as diretrizes e normas da empresa, incluindo o código de ética e conduta.
Conclusão
As organizações devem criar diretrizes e normas para manter a segurança da informação das aplicações e processos de TI gerenciadas por terceiros. A análise de risco deve cobrir os acordos com terceiros para evitar “quarteirizações” sem a cláusula de confidencialidade.
Convém que o departamento de recursos humanos e o jurídico criem termos específicos para funcionários e prestadores de serviço. As organizações devem solicitar um resumo do currículo do profissional que será alocado para a prestação de serviço. É recomendado que todos os colaboradores externos recebam treinamento sobre a política e normas de segurança antes de iniciar suas atividades. Mantenha a “chave-mestra” da sua empresa sob a responsabilidade dos funcionários (CLT).
Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.
Todos os textos de "Mente hacker"
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
Você é livre na internet?
Se você pensa que tem liberdade total ao navegar pela web, é bom tomar cuidado.
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Voce terceiriza sua senha?
Repassar serviço de segurança para colaboradores externos poupa investimentos. Mas vale a pena?
Links patrocinados
Veja os princípios de uma nova arquitetura para data centers que pode melhorar muito sua eficiência elétrica.
Estratégias de Instalação de Servidores Blade em Data Centers: avalie opções e escolha a melhor abordagem de instalação.
Conheça cada tipo de NO-BREAK, saiba suas aplicações práticas, suas vantagens e desvantagens.
Conheça os desafios do gerenciamento da infraestrutura de TI associados aos servidores virtuais.
Inovação e TI. Pesquisas recentes mostram que CIOs e executivos enfrentam obstáculos no caminho da inovação em TI.
Resolva sete tipos de problemas com No-Breaks e evite falhas e prejuízos nos seus equipamentos.
Implementação de data centers eficientes. Reduza bastante o consumo e gastos com energia elétrica.
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.
