No prólogo de nossa história, o CCDGSIAE (CSO, CISO, Diretor, Gerente de Segurança da Informação, Analista, ou Estagiário) estava prestes a ser promovido, com aprovação do conselho e tudo, quando a secretária do presidente da empresa interrompeu a reunião com um assunto urgente.
Depois de ter feito um bom trabalho executando os planos daquele ano para Segurança da Informação, a consistência dos projetos implementados pelo CCDGIAE passou por um teste real.
Um funcionário demitido no início do ano provocou um desastre e, “felizmente”, todo os planos elaborados na Gestão de Continuidade de Negócios funcionaram e foram capazes de retornar tudo para o normal, com muito pouco impacto para os negócios. Nada que fosse inaceitável… os resultados positivos do trabalho do CCDGSIE iriam até aumentar a sua importãncia na empresa. Iria ganhar sala e orçamento próprio! Até que...
Um funcionário demitido no início do ano provocou um desastre e, “felizmente”, todo os planos elaborados na Gestão de Continuidade de Negócios funcionaram e foram capazes de retornar tudo para o normal, com muito pouco impacto para os negócios. Nada que fosse inaceitável… os resultados positivos do trabalho do CCDGSIE iriam até aumentar a sua importãncia na empresa. Iria ganhar sala e orçamento próprio! Até que...
Até o fornecedor bater na porta e interromper a reunião do conselho…
A trama, continuou com a paralização emergencial da reunião do conselho e a imediata convocação do Comitê de Crise: Todo o trabalho do fornecedor havia sido perdido.
Na segunda parte, eu trouxe para vocês uma série de estatísticas sobre como as pessoas vem se comportando diante das evoluções tecnológicas, tendências de “servicialização” da tecnologia, e, em muitos casos, a mercantilização dos serviços de maneiras nunca antes testadas ou regradas.
Também vimos, através do estudo feito pela Symantec, que...
...a necessidade de mobilidade nos negócios, atendida pelo “mundo dos celulares inteligentes e seus aplicativos”, traz à reboque uma série de riscos e ameaças, antigas, novas ou com outras vestimentas.
Foi o que aconteceu com nossa empresa fictícia.
Um funcionário demitido, no início do ano, resolveu sabotar as operações da empresa. A sabotagem não foi bem sucedida e o planejamento da resposta à situações de perda de dados ou interrupção nos processos de negócio, causados por incidentes em tecnologia da informação, funcionou.
Porém, dois detalhes passaram despercebidos no planejamento:
1) Portfólio de projetos desenvolvidos na organização, em constante alteração;
2) Parte dos projetos, executados por terceiros.
No caso da nossa empresa fictícia, o funcionário demitido se utilizou de um aplicativo instalado, para teste, em seu telefone celular. Funcionário de confiança (como todo funcionário que testa um novo aplicativo de negócio), ele recebeu acesso pleno, para todas as funcionalidades do software que estava sendo desenvolvido.
Ao ser demitido, seguindo as políticas da empresa, todas as medidas para redução de risco de desligamento foram tomadas:
1) Devolução do aparelho celular para o RH;
2) Devolução do laptop;
3) Devolução do crachá de acesso;
4) Revogação de todos os acessos aos sistemas;
5) Nota de aviso para todas as áreas chave da empresa...
Mas o que falhou então?
Lembra-se do "backup e recovery", que salvou a empresa quando foi necessário reestabelecer a normalidade dos processos de negócio, após a sabotagem?
Foi este mesmo processo que possibilitou que o ex-funcionário, sabotador, instalasse o aplicativo que estava sendo desenvolvido, em um celular pessoal. Os acessos fornecidos pelo fornecedor, para ele testar o aplicativo, não foram revogados. Para causar transtorno ao ex-empregador, o ex-funcionário se aproveitou desta situação.
Na "Reunião de Crise", convocada para discutir questões contratuais do projeto que estava sendo desenvolvido pelo fornecedor, todos concordaram que houve "falha na comunicação".
Ameaçado de multa em seu contrato, o fornecedor alegou que não foi avisado da demissão do ex-funcionário. Para piorar, não havia backup do ambiente de desenvolvimento. O fornecedor culpou a diretoria de TI, que culpou o responsável por Segurança da Informação...
Como resultado… o nosso CCDGSIAE (CSO, CISO, Diretor, Gerente de Segurança da Informação, Analista, ou Estagiário) voltou para a área de Tecnologia da Informação...
E tudo continuou como sempre esteve… até o próximo desastre...
............................................................................................
Quer saber que atitude e que ferramentas o CCDGSIAE poderia ter usado para evitar este desfecho? Como as políticas e planos de segurança poderiam ter sido desenvolvidos e implantados sem desconsiderar novos riscos ameaças e vulnerabilidades? Que habilidades poderiam ter sido usadas para que as pessoas fossem melhor trabalhadas, tomando posse dos riscos e compartilhando conhecimento para lidar melhor com eles? Sair da posição de defesa, reativa? Em equipe, assumir o controle sobre os negócios, evoluindo constantemente a consciência sobre estes riscos?
Continue me acompanhando, em outros artigos procurarei trazer mais e mais histórias que lhe ajudem a enfrentar questões como esta no dia-dia, em sua função.
Até lá, me chame para um café! Vamos conversar mais!
