O olhar crítico da segurança sobre processos

por

Por: André Mazeron

Originalmente publicado na Revista BPM Brasil em 23/05/13

Todo profissional de infosec carrega em si uma certa malícia inerente ao ofício. É um permanente olhar buscando como burlar os mecanismos de segurança existentes a sua volta. Aquela coisa de sempre pensar “como eu faria para entrar aqui sem ser detectado”. Resquícios de nossos tempos de desmontar os brinquedos para entender o que os fazia funcionar. Este olhar crítico é útil na revisão de processos de negócio da organização para a detecção de brechas.

Frequentemente os processos de negócio são montados com base nas premissas de simplicidade e agilidade. Esses fatores são essenciais, mas desde que os ganhos com a simplificação não excedam o risco ao negócio gerado por processos falhos.

Um exemplo disto é o acontecido com o Banco UBS no ano passado, quando um operador atuando com pouca supervisão realizava transações de alto risco a partir de uma conta “secreta”. Motivado pelos ganhos iniciais, sua ousadia foi aumentando, até que a crise nos mercados europeus em 2011 fez suas operações entrarem no vermelho. Novos negócios na tentativa de cobrir o rombo geraram o efeito oposto, culminando em perdas de US$ 2,3 bilhões para o UBS e sete anos de prisão para o operador, na maior fraude financeira de todos os tempos no Reino Unido. A pouca supervisão e a autorização para operar contas paralelas podia inicialmente ser benéfica ao banco, mas abriu espaço para um rombo gigantesco.

Outro fato muito comum é a existência de processos bem estabelecidos de aprovação de direitos de acesso, sem a existência de processos para a revogação dos direitos, uma vez que deixam de ser necessários. Com o tempo, surge o que chamamos de Authorization Creep, usuário da organização que acumula direitos desnecessários em função dos vários papéis que já desempenhou no negócio. Em alguns casos, o mesmo usuário pode acumular funções de executor e aprovador da execução, com riscos evidentes.

Ao avaliarmos os processos sob a ótica de alguém tentando explorá-los, alinhando o olhar crítico com a criatividade, podemos obter o adequado balanço entre agilidade e risco ao negócio, e livrar você de um dia passar pela situação do UBS.

Categoria : Conscientização de Segurança, Processos
Tags : ,