Por Luiza Dalmazo

Apesar de popularmente serem reprimidas por ficar na janela observando o movimento da vizinhança, aquelas senhoras ditas "fofoqueiras" sabem que se pode aprender muito com os erros e acertos dos outros. E o mercado de TI também chegou a essa conclusão. Foi justamente pensando em trocar experiências e discutir os melhores caminhos dos investimentos e práticas de segurança que um grupo de 17 profissionais de diversas áreas se reuniu para formar o InfoSec Council.

"O objetivo do grupo é ser um canal para a comunidade interagir", explica o consultor Astor Calasso, um dos membros e idealizadores do projeto. O executivo, que também é o coordenador do grupo para assuntos administrativos, conta que a idéia de reunir profissionais é antiga, mas que só em setembro do ano passado foi possível criar um projeto oficial, por escrito, e entregar para a administração da Microsoft, que já havia demonstrado interesse em ser apoiadora do projeto. "Com a aprovação, comecei juntamente com o José Eduardo Campos, Chief Security Advisor para a América Latina da Microsoft, a convidar os possíveis integrantes", conta Calasso.

Para não ficar somente ligado às questões tecnológicas, foram convidados representantes de associações, diretores de bancos, Chief Security Officers (CSOs) e especialistas em direito eletrônico, entre outros. "Queríamos construir um grupo heterogêneo e multidisciplinar, que analisa a tecnologia da informação de forma holística", explica o consultor.

Todos os participantes atuam no InfoSec voluntariamente e se reúnem a cada três meses presencialmente, quando tratam algum tema e produzem um white paper. O primeiro encontro oficial e que dará origem ao relatório número um aconteceu em setembro, durante o Congresso de Auditoria de Sistemas, Segurança da Informação e Governança (CNASI São Paulo 2005).

O tema escolhido para abrir as atividades do grupo foi a Formação de Cultura e Conscientização para Segurança. "A conscientização é o elo mais fraco. Foi ideal para começar", acredita Calasso. Campos compartilha essa opinião: "Não existem heróis de segurança nas companhias. Se cada um não fizer sua parte, não haverá resultados positivos".

Esse documento será disponibilizado para toda a comunidade do InfoSec, que está sendo construída a partir de outros grupos já existentes. Como a Microsoft é apoiadora, os 70 mil integrantes do TechNet - grupo da empresa que provê recursos e respostas a profissionais de TI para implementar e manter seus produtos - poderão se inscrever no site do InfoSec, que deverá ser lançado em outubro. Calasso acredita que do total de convites feitos, cerca de 20 mil farão parte da comunidade do grupo até o início de 2006. "Planejamos fechar com mais no mínimo dois apoiadores até outubro e isso significa que também poderemos usar as suas base de dados para ampliar nossa comunidade", planeja.

Relatórios
A intenção é criar quatro white papers por ano, para oferecer a quem trabalha com segurança um guia de como proceder, expor as questões com que se deve ter cuidado, que tipo de envolvimento é necessário, entre outros aspectos. "Não é um guia tático, mas deverá auxiliar os profissionais e as consultorias que fazem esse tipo de serviço", explica Calasso.

Autor do primeiro relatório, Edison Fontes, CSO da Gtech, afirma que a receptividade que percebeu entre o público do CNASI foi ainda melhor do que a esperada. "Depois da minha apresentação eu senti o interesse das pessoas, que se identificaram com aquela situação exposta", relata. O integrante do InfoSec Council diz que seu objetivo no grupo é discutir assuntos e fornecer às pessoas experiências práticas. E essa foi justamente a razão pela qual o executivo aceitou o convite de participar da iniciativa.

"Desde que comecei a trabalhar com segurança, em 1989, sentia um isolamento. Acredito que a conversa com outros pares, que não fossem de consultoria, com quem também está com a mão na massa é muito importante", conta. Fontes esclarece que nas discussões as informações estratégicas confidencias das empresas não entram, mas que existe espaço de sobra para debater práticas que deram certo ou não. "Esse tipo de diálogo pode evitar horas de trabalho", aposta o CSO da Gtech.

Para os integrantes do InfoSec o grupo é uma possibilidade de identificar experiências e fazer com que sua empresa se prepare com certa antecedência para as tendências identificadas pelo grupo. "Claro que temos um esforço de encontrar espaço na agenda para poder freqüentar os encontros, mas para os empregadores é bom saber que há um funcionário alinhado com as tendências", argumenta Fontes.

Os apoiadores da iniciativa também ganham com o grupo e por isso não são considerados apenas patrocinadores. José Eduardo Campos diz que a chance de ouvir a opinião de importantes usuários sobre quais são suas demandas antes de o restante da comunidade é uma ótima oportunidade para a Microsoft, sua empresa. Outras companhias têm pensado assim. Calasso revela que existem ao menos cinco corporações que entraram em contato para tentar fazer parte do grupo de apoiadores.

A Microsoft pretende ser o ponto de contato do InfoSec Council e os grupos semelhantes que existem no Chile e na Argentina e que estão sendo estruturados na Colômbia, México, Venezuela e Costa Rica. "Queremos criar mecanismos para todos conversarem. A legislação de alguns vizinhos pode servir de exemplo para outros", exemplifica.

O que Campos quer dizer, segundo suas próprias palavras, é que não é preciso reinventar a roda. "Especialmente em direito eletrônico, há quem tenha experiência de 10 anos, como o Renato Opice Blum, que integra o grupo. Ele poderá ajudar a encontrar melhores alternativas", garante o representante da Microsoft.

Academia
O próximo passo do InfoSec é ampliar as atividades e criar um grupo de formação. "A intenção é estruturar uma equipe que inclua a segurança no curriculum de capacitação de profissionais, apoiar pesquisas e utilizar a iniciativa como mecanismo de divulgação desses estudos", detalha Calasso. O profissional afirma que sabe que existem outros grupos em instituições de ensino, mas que suas visões são mais técnicas. A parte acadêmica do projeto deve ser lançada no começo de 2006, ou até antes, já que segundo Calasso o grupo tem sentido uma forte demanda.

O responsável por esse sub-grupo ainda não foi definido, mas deverá ser um representante da comunidade acadêmica. Segundo o InfoSec, essa divisão também terá o dever de prover informações-chave e orientação aos estudantes e demais acadêmicos, para aumentar o aproveitamento e o suporte das iniciativas de cursos, pesquisas e programas de treinamento referentes aos assuntos de segurança e computação confiável.

O que se espera de todas essas práticas não são alterações bruscas no mercado. "O que pretendo é que o InfoSec Council influencie no direcionamento dos assuntos ligados a segurança da informação em até 12 meses", afirma Fontes. De acordo com o CSO da Gtech, mesmo sem ser concorrente de outras associações de profissionais, o grupo deverá estar consolidado como um grupo referência em segurança em até um ano.

Integrantes
Heterogeneidade foi avaliada na formação do InfoSec Council

- Agostinho Gouveia - diretor do banco ABN-Amro Real
- Alberto Evandro Fávero - sócio-diretor/Ernest&Young e chairman ISSA Brasil
- Aristo Farias Jr - delegado brasileiro do comitê ISO IEC JTC1/SC27, coordenador do ABNT/CB21/SC02 e chairman do grupo de usuários brasileiros 7799
- Christiane Mecca - Rhodia
- Coronel João Rufino - chefe da CTA e do CMSE - Exército Brasileiro
- Dionísio Campos - gerente de segurança corporativa da Nextel e vice-presidente da ASIS
- Edison Fontes - CSO da Gtech
- Francisco Figueiredo - coordenador de auditoria do Banco Central
- Igor Pipolo - presidente do conselho da ASIS Brasil e da Abraseg
- Jorge Peres - CSO da GM Brasil
- Mônica Orsolini - CSO da Promon
- Pedro Arruda - gerente geral de segurança da Petrobrás
- Renato Opice Blum - advogado especialista em direito eletrônico
- Ricardo Coelho - coordenador de segurança do Banco Central em SP e vice-presidente da ASIS e ABSEG
- Valmir Schreiber - CSO do Banco BNP Paribas e presidente do conselho da ISACA Brasil
- Astor Calasso - consultor da Astor Consultoria

Razão de viver
Conheça os objetivos e prioridades de existência do grupo

VISÃO - Transformar-se em um importante centro de referência para os assuntos relacionados à segurança da informação
RESULTADOS ESPERADOS - Recomendações técnicas; visões estratégicas, e análise e opiniões relativas a questões regulatórias de temas como segurança, integridade, confiabilidade e continuidade dos negócios
META - Qualificar as discussões e fortalecer a percepção dos resultados e finalidades
FOCO - Usuários corporativos, governamentais, acadêmicos e outros; fornecedores e prestadores de serviços, e formadores de opinião

 

Para ler o primeiro WhitePaper produzido pelo InfoSec Coucinl, clique aqui.