MESA REDONDA

:: Sobre o evento :: Eventos realizados :: Fale Conosco :: Anuncie

A indústria investe na cultura

Brigante,
da Camargo Corrêa
“Tecnologia é um perigo: quanto mais você implementa, mais você é levado a implementar.”

Magalhães,
da Alcoa
“Descobrimos que quando o usuário faz uma auto-avaliação, também já identifica riscos.”

Miranda,
da GM
“Remuneração é a melhor forma de alinhar comportamento a objetivos de negócio.”

Mainieri,
da Basf
“É utópico achar que a área de segurança vai conseguir chegar a 5 mil pessoas a tempo.”

Moreira,
da Ripasa
“Estamos caminhando na empresa, mas sei que não adianta ficar isolado na torre.”

Barreto,
da Votorantim Celulose
e Papel
“Fazemos um trabalho de conscientização, porque o pessoal vê a segurança como uma barreira, um firewall.”

Nogueira, da Votorantim Celulose e Papel
“Precisamos conscientizar também o pessoal de TI, assim ele luta a favor da segurança quando o usuário reclamar.”

Sete profissionais de informática, todos especializados em segurança, mostram a principal vantagem de alinhar a segurança ao resto da empresa — toda a empresa passa a também pensar em segurança. Em vez de ver na equipe de segurança a que sempre diz “não pode”, o resto da empresa passa a contribuir com mais olhos, mais cérebros, mais braços — o desconfiômetro fica bem melhor.
Ao mesmo tempo, se alinhar a TI ao negócio já é difícil ao diretor de informática (CIO), alinhar a segurança ao negócio é ainda mais difícil ao diretor de segurança (CSO). Na maioria das empresas, o CSO não tem o mesmo poder político do CIO. Uma bom caminho: conseguir formas de remunerar quem pensa em segurança. Participaram desta mesa-redonda André Magalhães, gerente de segurança da Alcoa Alunínio; Antônio Carlos M. Nogueira Filho, consultor de segurança da informação, e José Evaristo Barreto, gerente de TI, ambos da Votorantim Celulose e Papel (VCP); Fabrício G. Mainieri, diretor-geral de segurança da Basf; Francisco E. Jacob Moreira, do suporte à tecnologia da Ripasa; Jedey Miranda, gerente de infra-estrutura da General Motors; e Wellington José Brigante, consultor de segurança da informação do Grupo Camargo Corrêa (Cimentos).
A mesa foi coordenada pelo diretor editorial do Informática Hoje, Wilson Moherdaui, e pelo editor executivo, Márcio Simões.

IH — Existe, de fato, uma integração entre a área de segurança e todo o resto da empresa?

Wellington José Brigante — Em muitas empresas, são duas áreas distintas,
a de segurança e a de TI. A área de TI quer alavancar negócios para a empresa; mas o aval da segurança pode ser positivo ou negativo. É importante que a área de segurança esteja alinhada com a de TI, é um bom tema para discutir. Na Camargo Corrêa, a área de segurança define políticas, que cabe à área de TI efetivar e implementar; então, atua mais como uma área controladora, normativa.

IH — Há muito conflito?

Brigante — Não nas definições. Mas a área de TI é muito mais rápida que a de segurança de dados. Quando as soluções são inovadoras, arrojadas, escapam dos padrões da empresa e precisam de análise mais criteriosa. Então, muitos projetos ficam em espera até que sejam alinhados com a segurança.

André Magalhães — Na Alcoa, a gente usa sempre uma frase: não existem projetos de TI, existem projetos de negócio. Então, às vezes o negócio pressiona a TI para ter uma solução. Por isso, na Alcoa, estamos tentando inserir o pessoal de segurança junto com o pessoal de TI, assim ele já se prepara para os requerimentos de segurança.

Jedey Miranda — Isso tudo passa basicamente por governança de TI. As duas áreas existem para suportar o negócio. Acho que a dificuldade maior é a própria empresa definir claramente as necessidades de segurança para cada informação. Ou seja, solução tecnológica existe para a TI e para a segurança, mas quem diz o tamanho do cadeado é o negócio

IH — A empresa tem dificuldade de avaliar riscos?

Miranda — Na verdade, a área de negócio ainda não tem sensibilidade, por isso falei que a questão é de governança. Esse é o grande desafio. Acho que as duas coisas são uma só, TI e segurança devem ser tratadas de forma comum, devem ser alinhadas ao negócio; não consigo ver o valor de separar.

Fabrício G. Mainieri — Na Basf, a gente trabalha em duas camadas, uma de TI e outra de segurança. É na área de segurança que nascem os projetos, mas é a TI quem gerencia, pois é ela quem vai fazer a coisa acontecer no dia-a-dia. Então, a segurança prega, dentro da Basf, que é o gerente do projeto o verdadeiro responsável, mas nada disso vale se o projeto de cara já afeta alguma coisa de segurança. A outra camada é o negócio. No início deste ano, começou uma iniciativa chamada IT Patners, que é trazer formadores de opinião para entender como a TI funciona. Quando eles estiverem imaginando processos para atender melhor o negócio, já sabem que um dos estágios é o da segurança. Então, essas pessoas já estão sendo treinadas a pensar em segurança. O que a gente espera, dessa iniciativa, é que o projeto já vá para a TI mais alinhado. Caso contrário, o projeto vai para a TI, depois para a segurança, e aí chega para o negócio: isso não dá para fazer por restrições de TI ou de segurança. Gera um conflito. A idéia é minimizar o conflito passando um pouco de conhecimento para o negócio. Essa iniciativa já funciona há uns meses, tivemos bons resultados.

IH — Diminuiu o conflito?

Mainieri — Diminuiu. É interessante que a comunidade começou a trazer problemas e soluções de segurança. É utópico achar que a área de segurança consegue manter tudo seguro. Então, a idéia é criar n olhos na empresa. Eles já dizem, “isso não está certo, temos que fazer alguma coisa”. Se deixasse só para a segurança, talvez demorasse uns dois anos para descobrir o problema. Então, levar esse conhecimento para as pontas gera valor.

IH — A segurança na Basf funciona como uma agência de consultoria?

Mainieri — Exato. A gente classifica os projetos em baixa, média e alta complexidade. Projetos de alta e média complexidade têm que fazer análise de segurança. Mas quem faz a análise é o gerente do projeto. Ele dispara o consultor da segurança.

Francisco E. Jacob Moreira — Interessante, eu comungo essa idéia. Na Ripasa, não estamos ainda nesse passo, estamos caminhando, mas sei que não adianta ficar isolado na torre, porque segurança, sem a ciência interna dentro da empresa, nunca funciona. Tenho uma pergunta: no IT Partners, como fica depois que o projeto começa a funcionar, quando está sendo manipulado por pessoas? E se essas pessoas não têm a cultura da segurança?

Mainieri — Fazer a conscientização descer dentro da árvore da empresa não é fácil. Mas os IT Partners são mais ou menos umas 200 pessoas na empresa, e uma das responsabilidades deles é divulgar as informações que recebem. É utópico achar que a área de segurança vai conseguir chegar a 5 mil pessoas num tempo razoável. Além disso, essas 200 pessoas já têm uma linguagem comum com seus colegas de trabalho. Mas, respondendo à pergunta, todas essas pessoas têm cronograma para replicar esse conhecimento de TI dentro das unidades de negócio. Acho que é melhor do que colocar 5 mil pessoas num seminário.

Miranda — A gente tem uma organização técnica de TI e de segurança que, sim, é responsável por colocar firewall, toda aquela parafernália tecnológica para proteger o ambiente. E a gente tem uma outra organização voltada para processos. Mas acho que estamos caminhando para ter gente de TI dentro do negócio, olhando para o negócio, que conhecem à beça o negócio, mas remunerados pela TI, para terem o comportamento esperado. Isso seria uma forma prática de criar cultura.

IH — A GM tem remunerações distintas para esses profissionais que estão no negócio?

Miranda — Ainda não. Mas essas pessoas, que chamamos de IT Coordinators, deveriam ser remuneradas pela área de TI, porque aí eu consigo realmente influenciar o comportamento delas. Hoje, não tem como garantir que essas pessoas não vão comprar uma solução caseira para o negócio, porque é mais barata, porque é mais rápida de implementar. Na minha opinião, remuneração é a melhor forma de alinhar comportamento a objetivos de negócio. Ou seja, eu deveria pagar o bônus de final de ano para essas pessoas.

José Evaristo Barreto — Também vejo a segurança ligada à governança da empresa, por meio de um Cobit, uma Sarbanes-Oxley. É preciso focar nos riscos e comprometer o pessoal de negócio. É um problema de cultura também. Segurança está também na casa do funcionário, até com os familiares do funcionário. Hoje, fazemos acordos com os nossos parceiros, a Microsoft, por exemplo, que se estendem a nossos funcionários, para eles trabalharem em casa. E fazemos um trabalho de conscientização dentro da VCP, porque o pessoal vê a segurança hoje como uma barreira, um firewall.

Magalhães — Eu tive uma surpresa ontem. Estamos passando por uma auditoria pesada, por causa da Sarbanes-Oxley. Um usuário me chamou: “Eu passei em frente à sala de reunião e observei que tinha um micro ali, acho que as pessoas foram almoçar, o micro estava aberto, não estava bloqueado”. Quando fui ver, era um micro da empresa de auditoria. Isso é o resultado do trabalho que a gente vem fazendo há quatro anos, o usuário conseguiu ver o risco daquilo. Obviamente, depois fui conversar com o auditor. Antes, eu tinha usuário falando o contrário: “Você está ficando louco? Isso aqui bloqueia sozinho!” Um ponto muito importante: esse trabalho precisa ser contínuo, periódico.

Moreira — Tipo lavagem cerebral.

IH — Magalhães, você tem dados da iniciativa?

Magalhães — Dá para explicar algumas fases até a maturidade. No início, a equipe de segurança começou de uma forma mais agressiva. Estava abaixo da TI, subordinada ao CTO, não era a situação ideal. Na hora de priorizar um orçamento, por exemplo, alguém falava, “esquece segurança, preciso fazer um projeto que o negócio solicitou”. Nessa época, a segurança identificava alguma coisa, depois ia falar com o usuário, “isso está errado”. Dois anos depois, começamos a fazer o inverso, pegar o usuário como parceiro, mostrar para ele os riscos, os problemas. Aí, começou a fluir melhor. Acesso indevido à Internet, por exemplo: a média, antes, era 4% de notificações por mês; hoje, é só de um a três acessos indevidos por mês, caiu drasticamente. Descobrimos que esses poucos acessos são de funcionários novos, então já mudamos o processo: fizemos um treinamento específico para quem entra na empresa. Hoje, somos subordinados ao CIO.

Antônio Carlos M. Nogueira Filho — Às vezes, o problema está dentro de casa, na própria TI. Se você pega um analista de fora, ele tem três dias para desenvolver um sistema, o cronograma está apertado, o fluxo apertado, o orçamento apertado. Aí, começam a questionar se todos os processos de segurança são válidos. Por isso, para a área de sistemas, em função dos prazos curtos, tem mais ou menos essa imagem da segurança: que ela não está lá para contribuir, está para impedir, para controlar. É difícil fazê-los entender que a gente está tentando evitar um problema futuro. Por isso, precisamos conscientizar também o pessoal de TI, assim ele luta a favor da segurança quando o usuário reclamar.

IH — Quando há conflito, quem costuma ganhar?

Nogueira — Depende da complexidade. Num caso envolvendo bancos, por exemplo, o usuário aceitou o atraso em função do risco. Em outros casos, às vezes chegamos a um meio termo, com um prazo para, após a implementação, corrigir o problema. Mas aí o usuário precisa aceitar o risco num documento.

Miranda — O maior risco está no usuário, ele é o elemento mais importante do ponto de vista da segurança, seja no micro que ele deixou lá aberto, seja na listagem que ele deixou na impressora, seja quando alguém liga para ele: “Olha, sou do help desk, estou vendo aqui que a sua senha vai expirar. Será que dá para você passar a sua senha, que eu já troco pra você, já te passo uma senha nova?” Isso acontece, o usuário às vezes passa a senha, e o ladrão realmente troca a senha do usuário, realmente faz o serviço que prometeu, mas só depois de levar o que ele queria de verdade. O desafio é aumentar a consciência dos funcionários; brasileiro é pró-ativo, colabora uma barbaridade.

Magalhães — Sobre isso, a Alcoa começou há três anos uns processos importantes. Primeiro, a área de segurança fez parcerias com departamentos-chave, a equipe de qualidade, o RH, o jurídico. E mudou a auditoria de segurança. Hoje, há um sistema de auto-avaliação. Só que ela precisa ser baseada em evidências, assim não dá para mentir. E a auditoria é feita em cima do relatório de auto-avaliação. Por exemplo: lista de vírus. Um item da auto-avaliação pergunta se o usuário atualiza a lista de vírus constantemente. Aí, uma pessoa do departamento sai verificando e faz o relatório. O auditor já tem malícia para saber quando alguma coisa não bate. Descobrimos que quando o usuário faz uma auto-avaliação, também já identifica riscos, conhece os padrões da empresa, aprende o que estamos exigindo.

Brigante — A gente sabe que as maiores vulnerabilidades são internas. No nosso caso, temos muitas fábricas, é lá que a vida acontece, pode ter situações de usuários compartilhando senhas — por exemplo, emprestando uma senha para o faturista, que é um terceiro, e poderá entrar no sistema de gestão. Estamos iniciando este ano um trabalho de conscientização desses usuários. Periodicamente, a equipe de TI, mais os usuários-chave de determinado processo, vão para a fábrica em que aquele processo roda, de ônibus ou avião. A gente aproveita a oportunidade para buscar melhorias de processos e para fazer a conscientização num corpo a corpo, fazemos o treinamento do usuário e reciclamos a importância da segurança. Ferramentas de controle, como a de login simultâneo, são mais ferramentas informativas. Em primeiro lugar vem a conscientização do usuário.

Barreto — Segurança é uma coisa muito abstrata. Mesmo dentro da TI tem algumas barreiras. Por exemplo, qualquer servidor que instalamos hoje precisa passar pela norma GSD 331, uma norma de segurança da IBM. Se uma área viu um produto no exterior, por exemplo um software livre, e quer usar, mas não bate com a norma, a gente combina com o usuário de negócios: o produto vai trabalhar em separado, não dá para pôr aquela aplicação com as outras dentro da rede. Mas o usuário assume o risco, a manutenção, porque o fornecedor não me garante nada.

IH — Como funciona a política de segurança para os terceiros? Esse nos parece um problema estratégico grave.

Mainieri — A Basf tem, basicamente, dois grandes parceiros: a Siemens, em infra-estrutura, e a Accenture em desenvolvimento de sistemas. Eles efetivamente trabalham com as regras e normas da Basf. Seus funcionários passam por treinamento, existe uma bíblia de TI para o terceiro. A qualquer momento, a Basf pode fazer auditorias. Não tem como ignorar a terceirização; então, tem que ter política permanente para o terceiro. Problemas na terceirização sempre existem, está fora do contrato, está dentro do contrato, está fora do escopo, está dentro do escopo, é aquela briga diária, mas o custo-benefício, de maneira geral, é bom.

Nogueira — No caso da Votorantim, fizemos um contrato com o nosso jurídico, com punições por vazamento de informação, roubo de informação ou por causa de qualquer dano que a empresa venha causar à VCP. Começa por aí.

Miranda — A GM é uma empresa que usa, e vai continuar usando, terceirização. Mas a organização precisa estar preparada, ter claras as responsabilidades de cada um. Minha recomendação é trabalhar com duas, três, no máximo quatro terceirizadas. De vez em quando elas vão quarterizar, mas a responsabilidade é delas, elas precisam treinar as pessoas nas políticas da GM. Mesmo assim, quando o cara vai para dentro da GM, a gente faz uma lavagem cerebral e ele assina a papelada tudo de novo.

Magalhães — Um ponto importante: quando você contrata uma empresa, aquela empresa é sua responsabilidade. Já vi casos em que a pessoa está tentando solucionar um problema e aí contrata um terceiro, “me livrei do problema”. Tenho visto isso até na Sarbanes-Oxley: quando você faz uma terceirização, tem que ter pontos de controle daquela responsabilidade que, bem ou mal, é sua.

Nogueira — Estamos implementando na VCP uma análise de fornecedores. Quando o projeto é encerrado, fazemos uma análise para ver se tudo saiu como combinado. Na próxima vez que tiver uma concorrência, essa avaliação será importante.

IH — Até que ponto a tecnologia resolve seus problemas de segurança? 90%, 70%, quanto?

Magalhães — Se você tiver o melhor firewall do mundo, mas o funcionário ou terceiro não tem cultura de segurança, não adianta.

Miranda — Não dá para obrigar a pessoa a se levantar e ir buscar seu documento lá na impressora. A tecnologia não dá jeito nisso.

Brigante — Tenho dois pontos. Um deles, um ponto-chave, é identificar a segurança na medida certa para cada empresa. O quanto é essa medida certa, diante das ferramentas de tecnologia que temos à disposição? Se está tudo muito seguro, o usuário vai reclamar, “mas eu tenho dez logins”. Aí, você implementa um single sign-on. Tecnologia é perigosa, quanto mais você implementa, mais você é levado a implementar. O segundo ponto é: se o usuário imprime relatórios de gestão e deixa isso em cima da mesa, a vulnerabilidade não é de tecnologia. Processos são fundamentais, a cultura. Acho que a união dessas duas coisas levaria a um equilíbrio do nível adequado de segurança.

Miranda — Hoje, na GM, se o usuário deixa algo na impressora, vai receber depois, com um post-it, “você deixou na impressora”. Se continuar, vai para o chefe dele, “ele deixou esse material assim e assim”. É um tijolinho por dia, você tem que gradualmente trabalhar as pessoas.

5 subir