Nesta aula, você irá aprender o que mais faz a área de GRC dentro das empresas.
Outras atividades que também merecem a importância e organizam a segurança.
Conteúdo desta aula
- O que é GRC
- Outras atividades
- Treinamento de Conscientização de Segurança
- Gestão de Mudanças
- Background Check
- Gestão de Projetos de Segurança
Material
Transcrição
Olá, eu sou o Fabio Sobiecki e, nessa aula, nós vamos falar um pouco mais sobre governança, risco e conformidade, o que é esse departamento e o que mais eles fazem, além de planejar, fazer análise de risco e cumprir com as leis. Então, a área de GRC, ou governança, risco e conformidade, é uma das áreas que está dentro do departamento ou do setor de segurança de informação e cumpre esses três papéis. Governança, que é o ato de governar, de controlar, planejar a nossa área de segurança.
A gestão de risco e, aí, fazer todo o levantamento de riscos, de ativos e como que esses riscos podem oferecer situações problemáticas para nós dentro da empresa, como fazer essa gestão do risco e aplicação de controles. E a parte de conformidade, quando a gente tem que se adequar a normas e leis vigentes onde está registrada a nossa empresa ou na área de atuação da nossa empresa. Então, esses três pilares, controlado pela área de governança, risco e conformidade, também conhecida como GRC.
E eles cuidam, então, desse planejamento, da gestão da segurança da informação. GRC também é responsável por olhar os projetos futuros, as demandas da empresa e pensar em todos esses requisitos de segurança. Dentro de outras atividades, a gente pode citar aí que, além de planejamento, da análise de risco, conformidade, a gente vai cuidar dos projetos de segurança.
Então, se você já está familiarizado com projetos, você deve saber que todo projeto dentro de uma empresa, ele normalmente tem um gerente de projeto, que é uma pessoa que vai ficar responsável por trazer os envolvidos no projeto, alinhar as expectativas com as pessoas que vão usar aquele projeto, definir o escopo, que é o que vai fazer o projeto, até onde vai o projeto, gerenciar tempo, gerenciar recursos, gerenciar contratos. Então, tudo isso é o papel do gestor do projeto ou gerente de projeto. Mas as empresas, elas podem ter vários projetos sendo executados ao mesmo tempo.
E aí, se nós temos vários projetos com o mesmo fim, nós podemos chamar isso de um programa de projetos. Então, tem a gerência do projeto e tem o programa do projeto, que vai gerenciar vários projetos ao mesmo tempo. Normalmente, na área de segurança, quem cuida disso é a área de governança, que vai ter um escritório de projetos, certo? Esse escritório de projetos não é, algumas pessoas interpretam o escritório de projetos como um departamento, uma salinha.
Escritório de projeto é uma organização que vai olhar todos os projetos, ver se tem um projeto que está atrasado, outro que está adiantado, um projeto que está fora do custo, fora do budget, é determinado um orçamento para aquele projeto, ele estourou o orçamento dele. É a área de governança, então, que vai gerir os projetos de segurança dentro da nossa organização. E a gente vai ver também que um projeto de segurança, ele tem algumas características que são um pouquinho diferentes de um projeto de tecnologia comum.
Porque um projeto de segurança, ele normalmente visa cumprir com um controle, uma prevenção de um problema, uma prevenção de um crime, uma prevenção de fraudes, é o mais comum, propriamente dito. E, por conta disso, ele tem características que são únicas, do ponto de vista de ser mais visado para ataques. Então, a comunicação desse projeto tem que ter alguns requisitos de confidencialidade, eu não posso publicar relatórios de estado de um projeto de segurança, porque ali pode ter informações que não devem ser conhecidas do público em geral, ou de todos os outros funcionários da empresa.
Ou também, é um projeto de segurança que visa atender uma nova demanda da empresa, um novo produto, e por conta disso, como aquilo tem que ser tratado em sigilo, em segredo, o projeto também tem que ser sigiloso. Então, por conta desses requisitos aí de segurança, os projetos de segurança são gerenciados pelo time de governança da segurança, dentro da área de segurança da informação. Governança, o GRC, ele também vai fazer a gestão de todos os profissionais da nossa área, do nosso departamento.
Não só de GRC, mas também os profissionais de segurança de infraestrutura, segurança de redes, segurança de software, os hackers éticos. Então, é a área de governança, normalmente, isso pode mudar entre uma empresa ou outra, mas normalmente é a área de governança que vai cuidar da profissionalização desse time, contratar esses profissionais, de treinar esses profissionais. Às vezes tem uma ferramenta nova que a empresa está adquirindo, então o time de governança vai procurar treinamentos para esses funcionários poderem estudar sobre aquela ferramenta nova que está sendo implementada.
O time de GRC também vai fazer a gestão de mudanças. Então, a partir da hora que eu tenho uma implementação de um produto de segurança, e isso vai deixar a empresa numa janela de tempo, com uma indisponibilidade de ambiente ou vulnerável a um ataque, enquanto estiver trocando um equipamento, uma fibra, alguma coisa assim. Então, é necessário fazer um planejamento dessa implementação, um planejamento dessa mudança, certo? A área de governança vai fazer esse plano, vai notificar as pessoas que são envolvidas dentro do plano, que hora que começa, que hora que termina, qual o resultado esperado, e vai fazer a comunicação dentro de todas as áreas envolvidas.
GRC também faz os treinamentos de conscientização. Isso é uma ferramenta bem interessante e muito utilizada em grandes empresas. É o treinamento que a gente faz com o funcionário comum, explicando aspectos da área de segurança, explicando porque o usuário tem que trocar sua senha a cada período de tempo, fornecendo explicações, por exemplo, ao funcionário de como ele deve tratar um e-mail com um anexo que ele não reconhece, ou uma atitude suspeita.
E é só treinando os funcionários que você vai evitar problemas que, por exemplo, para nós, profissionais de segurança, é muito óbvio que um e-mail é um ataque, ele receber um SMS, uma ligação falsa pedindo o número do OTP, para nós é muito evidente, muito claro. Mas para o cidadão comum, o funcionário comum, talvez para ele não seja tão claro assim. Então você realiza treinamentos explicando que esse tipo de ataque pode ocorrer, que pessoas ligam aplicando golpes, e isso afeta diretamente a nossa área de segurança.
Porque esse profissional, quando ele estiver melhor treinado, ele é capaz de reconhecer lá na ponta um golpe, um ataque, e ele te ajuda nesse processo, ele comunica. Fala, olha, recebi aqui esse e-mail, que era um vírus, pode ser que outras pessoas estão recebendo também. Então você tem que ficar atento e treinar essas pessoas.
Então é o time de GRC que vai cuidar também desse treinamento de conscientização. Então explicando um pouco mais sobre o treinamento de conscientização, como existe uma rotatividade de funcionários, funcionários entram, funcionários saem, as pessoas entram e saem da empresa, é necessário então treinar essas pessoas nos seus processos, nos seus controles de segurança. Porque também existe um outro fato, um funcionário vem de um concorrente, e lá na empresa concorrente ele poderia fazer um acesso à internet, ele poderia, por exemplo, usar o Wi-Fi da empresa no seu celular, e não havia problema para aquela empresa.
Só que aqui na nossa empresa a gente tem um controle um pouco mais rígido, e a gente não permite que o funcionário utilize o celular pessoal na rede da empresa. A gente tem um Wi-Fi específico para visitantes, e aí esse funcionário tem que ser instruído que ele tem que se conectar nessa rede de visitantes, não é a rede Wi-Fi da empresa. Porque se ele tiver um vírus ou um malware dentro do seu celular, ele está numa rede segmentada, ele não tem acesso aos nossos serviços, então aquele malware talvez não afete a nossa empresa como um todo.
Então é interessante você treinar sobre esses controles de segurança, esses processos, todos os novos funcionários, e também fazer treinamentos de revisão para quem já é funcionário. Porque a gente sabe, a gente acaba esquecendo alguns processos que a gente deve seguir, a gente acaba esquecendo que tem que trocar senha a cada período de tempo, que não pode passar ou revelar sua senha para um amigo de trabalho, mas esses treinamentos eles vêm para refrescar a memória das pessoas, e também instruir a quem não tem esse conhecimento ainda. Então para isso que existem esses treinamentos de segurança, ele olha para o funcionário comum, normalmente o programa ou treinamento é desenhado para o funcionário comum, que não tem conhecimento de tecnologia, e ele ensina sobre esses requisitos da área de segurança, como por exemplo, golpes por e-mail, como fazer uma classificação de dados, a segurança física na hora de chegar na empresa, na hora de sair da empresa, golpes por telefone, e os controles que essa pessoa tem que ter sobre novos documentos, documento impresso.
Então são esses treinamentos que normalmente são dados em conscientização. A parte de gestão de mudanças, então toda vez que a empresa vai implementar um novo projeto de segurança ou não, ou um novo produto, existe aí o controle chamado gestão de mudanças. Então o nosso time de IRC vai dedicar um tempo dele para fazer ou auxiliar nesse processo de gestão de mudanças, avisando o gerente de projeto aonde que podem ter problemas, avaliando o risco da implementação, o que a gente tem que ter um plano B, como fazer um rollback, fazer um retorno, voltar o backup, voltar a situação antiga se não deu certo, e controlar também essas atividades.
Então normalmente uma gestão de mudança, uma GMUD, ela é acompanhada pelo time de segurança. Isso eu já vi em algumas empresas, tem empresa obviamente que não faz isso, mas é interessante que alguém da área de segurança esteja lá acompanhando a troca do servidor ou a troca do banco de dados, a atualização do banco de dados, para que não ocorra aí incidentes de segurança, e se ocorrer, esse profissional vai estar lá apoiando e dando as dicas, o seguimento de como acionar os planos de remediação. O time de GRC também realiza o background check em algumas empresas.
De novo, é uma recomendação, mas a gente sabe que tem empresas que quem realiza o background check é a área lá de RH. Mas é interessante que a área de segurança faça isso daí, porque auxilia também o pessoal de recursos humanos em identificar problemas na contratação de profissionais, de funcionários. Então eles vão fazer essa checagem de background para ver se não teve nenhuma passagem pela polícia ou algum envolvimento com crime, que isso pode ser um problema para a nossa empresa.
Não digo que as pessoas não possam se recuperar, mas uma vez que ele teve envolvimento com crime, se o cara já foi assaltante de banco, obviamente ele não vai trabalhar numa transportadora de valores, ou propriamente dito, num banco. Por mais que ele não tenha assaltado aquele banco. Mas é um profissional que deve trabalhar em outra área, provavelmente.
Se ele trabalha num banco ou numa transportadora de valores, ele pode levantar informações sobre um certo transporte de valor em alta escala, um grande volume de transporte de valores, e passar essas informações para criminosos. Então, por conta disso, se o cara já teve alguma passagem, ou ele já teve algum problema no passado, é interessante que essa pessoa não tenha contato com a sua tecnologia, não tenha contato com as informações da sua empresa, e aí que você possa procurar um outro profissional no mercado. E essa pessoa que infelizmente não vai poder trabalhar com você, que ela encontre emprego em outra área.
Então o background check serve para isso. Tentar eliminar o risco fazendo uma avaliação do histórico desse profissional que vai trabalhar na empresa, e eliminar também que venha uma pessoa trabalhar aqui que foi plantado por um concorrente, para poder revelar informações da empresa. É uma atividade difícil, a gente sabe.
Muitos profissionais acreditam que background check não resolve nada. Mas é importante você conhecer esse processo. E em alguns casos também você pode aplicar pontualmente na validação desse recurso humano.
Então vou fazer aqui um projeto de segurança que é de altíssimo risco, um projeto super confidencial. Nesse projeto eu vou aplicar o background check, eu vou avaliar cada um dos envolvidos no projeto para saber se eles não têm nenhum problema que possa afetar o meu projeto, a execução do meu projeto. Dentro da gestão dos projetos de segurança, a gente realiza a gestão do projeto, nós temos metodologias bem conceituadas, o PMI, o Agile.
E dentro da área de segurança, esses projetos têm cuidados extras, como eu já citei. A gente tem que evitar vazamento de informação do projeto, não digo que é um vazamento de informação da empresa, mas vazar informação do projeto para outras áreas dentro da própria empresa. Isso é um problema.
Fazer a confidencialidade do projeto, da comunicação, das atividades, daquilo que foi gerado como material. Às vezes é necessário aplicar uma certa confidencialidade. E a gente sabe que não é todo profissional de tecnologia que sabe encriptar um arquivo, que sabe como fazer um backup.
Então, nesse ponto, a gente pode dar o apoio tecnológico ou conceitual de segurança que precisa ser seguido pelos envolvidos. Alguns projetos de segurança precisam ter avaliações de software que normalmente você não vê em um projeto comum. Então, isso também é importante, que a área de governança, risco e conformidade, esteja atenta aos projetos de segurança para incluir esses requisitos que normalmente você não vai ver em um projeto comum.
Por exemplo, fazer uma validação de código, fazer troca de profissionais, um profissional avalia o código do outro, fazer uma análise de risco, de vulnerabilidade. Um projeto que vai fazer uma implementação de um software de ERP pode ser que ele não tenha esse requisito. Mas quando é um software, um projeto de segurança, que vai trabalhar a autenticação do software ERP ou vai fazer a segurança da camada de bancos de dados, o data layer de uma aplicação dessas, aí você tem que implementar validação de código, análise de risco, análise de vulnerabilidade, porque é um projeto que não pode falhar.
Então, ele tem que ter um risco baixíssimo de falhas de problemas. E o que mais eu cito é a confidencialidade da comunicação, dos documentos que são gerados ao longo do projeto, durante a execução do projeto. Isso é bem diferente de um projeto de implementação de software comum.
Então, por isso que os projetos de segurança têm essas diferenças. Então, resumindo essa aula aqui, nós explicamos o que é o GRC, essa área, esse departamento, essa sigla também. Expliquei algumas outras atividades que GRC desenvolve, não só governança em risco conformidade, mas outras áreas também.
Expliquei para vocês o que é o treinamento de conscientização de segurança, que é aplicado aos funcionários comuns, visando o aumento, a criação, o conceito de segurança na cabeça dessas pessoas. Expliquei o que faz a gestão de mudanças e porque ela é importante, porque a área de segurança tem que estar envolvida na gestão de mudanças. Expliquei a ferramenta do background check, onde a gente avalia os profissionais antes deles entrarem na empresa ou em determinados projetos onde eles vão trabalhar para evitar que venha um funcionário infiltrado de um concorrente ou uma pessoa que já tenha tido envolvimento com crime no passado que possa dar informações da sua empresa para associações criminosas.
E falei também da gestão de projetos de segurança, explicando algumas diferenças comparativas de projetos de segurança com projetos de tecnologia ou outros projetos mais comuns dentro da empresa. Para a próxima aula, eu já deixo aqui o meu gancho, se você está maratonando ou não, você vai pedir uma pausa para descansar um pouco, mas para a próxima aula, a gente vai considerar ou pensar quão seguros estão os seus dados. Como a empresa define e cuida dessa segurança dos dados dentro da empresa e como é esse processo.
Te espero para a próxima aula.