ATUALIZADO EM 27/02 – O episódio lamentável que ocupou boa parte da mídia nos últimos dias, do roubo de equipamentos de informática da Petrobras, levanta questões que até então pareciam impensáveis para uma empresa do porte dessa empresa. Com faturamento de cerca de 160 bilhões de reais e quase 70 mil funcionários, é no mínimo intrigante o fato de a companhia não ter um plano de segurança da informação capaz de, no mínimo, proteger as informações sigilosas e estratégicas da empresa.
Por curiosidade, pesquisei na internet o histórico de eventos de segurança da informação que funcionários da empresa participaram nos últimos anos. Existe um sem número de palestras, cursos e treinamentos em que a Petrobras foi o caso de sucesso em segurança da informação. Uma entrevista feita pela publicação Security Infos em maio do ano passado com Flávio Moura Santos – o “piloto da TECNOLOGIA da segurança da informação”, como dizem – deixa claro que a não são poucas as precauções da empresa sobre o assunto. Certo trecho inclusive diz:
SecurityInfos Dados a Salvo de Tragédias: Como tem sido a viabilização dos recursos para implantação das tecnologias de proteção? Os recursos liberados tem sido suficientes para acompanhar a evolução das ameaças? As novas exigências legais de segurança têm contribuído positivamente para a liberação desses recursos?
Flávio Moura Santos: A liberação de recursos é sempre baseada numa relação custo benefício. A Petrobras tem uma preocupação muito grande com a disponibilidade de seus recursos e meios, inclusive TI, e reconhece a necessidade de investimentos em segurança para garanti-la. Procuramos alinhar o atendimento às demandas legais com benefícios para organização de forma que sejam não só aceitáveis, mas desejáveis, e os recursos assegurados.
A teoria apresentada por Santos parece bela, mas a conclusão que qualquer leigo pode chegar é que a governança de segurança da informação da Petrobras praticamente não existe. Não no sentido de apenas tentar evitar o contínuo furto de laptops e discos rígidos – segundo a empresa, esse não foi o primeiro episódio -, mas especialmente para garantir proteção completa das informações contidas nos aparelhos. Neste caso, os equipamentos furtados, de posse da Halliburton – uma das principais prestadoras de serviços entre as empresas de petróleo – continham informações sobre pesquisas sísmicas que podem incluir a descoberta de petróleo e gás, principal negócio da Petrobras.
Nada consegue explicar por que a companhia não mantinha um mecanismo mais eficiente de proteção, como a criptografia, ao menos de suas informações principais. Não consegui apurar até agora se a empresa estava enquadrada nas regras da ISO 17799, norma que é um código de prática de segurança da informação – a empresa segue até agora conceitos de ITIL, Cobit e ISO 20.000, mas em nada se pronuncia sobre a 17799. Como em outras normas, os procedimentos de segurança poderiam ser ampliados também para o prestador de serviço, o que, talvez, poderia ter evitado os incidentes com as máquinas sob guarda da Halliburton. Não seria o momento de pensar em algo do tipo?
O recente incidente embasa ainda mais a pesquisa da Deloitte divulgada nesta semana, que diz que muitas empresas do mundo são “confiantes demais” em sua segurança interna e subestimam o planejamento de segurança. Segundo o levantamento, que colheu dados em mais de 100 organizações, 46% das empresas pesquisadas falham em ter uma estratégia de segurança em vigor. Além disso, 69% da amostra disseram que são “muito confiantes” ou “extremamente confiantes” sobre a eficiência de suas equipes em endereçar questões sobre segurança.
“A maioria das organizações precisa começar entendendo os dados que precisam proteger. A segurança precisa ser apresentada como uma proposição de valor para que os funcionários compreendam o valor da proteção da propriedade intelectual”, disse Rena Mears, líder do grupo de privacidade e proteção que ajudou a conduzir o estudo.
Ao que tudo indica, o episódio da Petrobras foi outro para engordar as estatísticas da Deloitte. Será que continuará engordando depois de tudo isso?
Cara Camila Fusco, parabéns pelo BLOG! Acho que nos conhecemos do Computerworld.
Achei importante seu alerta “Que tipo de governança faltou a Petrobras?” Gostaria de fazer uma pequena correção à citação da entrevista do Flavio Moura Santos da Petrobras concedida em nossa Newsletter SecurityInfos Dados a Salvo de Tragédias em maio de 2007 e citada em seu BLOG.
Em nossa entrevista o Flávio Moura Santos é citado como “piloto da TECNOLOGIA da segurança da informação” e não como” o piloto da segurança da informação como foi citado em seu BLOG.
Parece um detalhe besta, mas não é, pois o Flávio Moura Santos é responsável pela gestão da TECNOLOGIA de segurança da informação na empresa e seu cargo na Petrobrás é “Gerente de TECNOLOGIA da Segurança da Informação” – como citamos na SecurityInfos Dados a Salvo de Tragédias – o que prevê a gestão das soluções de TECNOLOGIA da empresa para S.I. e como foi citado em seu BLOG parece que estamos afirmando que ele seria responsável por toda a gestão da segurança da Petrobrás.
É importante mencionar este detalhe, pois a organização da gestão da segurança da informação na Petrobrás é bastante complexa, com uma gerência de Segurança Empresarial, responsável por definir políticas, normas e procedimentos para proteger os ativos da corporação. Esta gerência coordena o Comitê de Segurança da Informação da Petrobras. Na abertura da entrevista com o Flávio Moura inclusive mencionamos uma outra entrevista em nossa Newsletter feita com a Bernadette Castilho, Gerente de Inteligência e Segurança da Informação da Petrobras, indicando o link, pois explicamos que a entrevista ajuda a entender como está estruturada a segurança da informação na Petrobrás.
Aproveito para convidá-la para nosso XXIV Dados (e Negócios) a Salvo de Tragédias – Brasil 2008 que será realizado em São Paulo nos dias 12 e 13 de setembro que terá uma forte abordagem em governança.
Um grande abraço e obrigado pela correção
Diter Stein
http://www.ti-intelligence.com.br
Diretor Executivo e Editor de Conteúdo
Seminário Dados (e Negócios) a Salvo de Tragédias – Brasil
Prêmio A Nata dos Profissionais de segurança da Informação
Newsletter SecurityInfos Dados a Salvo de Tragédias