ISO 19650-5 made easy (or so)

#0041: Se aplicada ou solicitada em sua essência, temo dizer que o mercado AEC não tem preparo ou condições de atender aos requisitos daquela que é, para mim, o tema mais legal e fora da caixinha da série 19650: Infosec.

2016 (1/7)

O ano é 2016 e temos uma crise braba no país com grandes engenharias e arquiteturas sendo dizimadas com grandes layoffs no mercado. 2015 já não tinha sido fácil e 2016 veio a ser um dos piores anos para investimento nesse querido país tropical.

Diante desse contexto estivemos naquela situação tradicional profissional de vestir a camisa da empresa e fazer mais com menos. Na época trabalhava gerenciando o lado técnico de um fabricante (Autodesk) e do dia para a noite tivemos que aprender sobre mais onze, a saber: Adobe, Corel, Chaos Group, VMWare, Citrix, Veritas, Arcserve, Snow, Symantec, McAfee e Kaspersky.

Qual era o meu papel? Basicamente entender o contexto de cada fabricante, suas estratégias e gerenciar o time técnico da empresa em que trabalhava para estar em linha com o pitch de cada um deles.

Em uma vida é impossível você dominar a fundo tantas tecnologias e ser um evangelista que fala a língua de criativos (Adobe), disponibilidade (Veritas), work is not a place (Citrix) o tema desta newsletter que é segurança (Symantec, McAfee, Kaspersky) entre outros. Uma coisa é você ter um pitch comercial, outra é você dominar uma conversa com o líder técnico de uma empresa listada que está colocando a bunda dele na janela e depende da sua resposta técnica para continuar vivo na empresa.

Estratégias para isso funcionar a parte, o importante aqui foi ter a visão de que era (e foi) uma puta oportunidade para aprender sobre outras indústrias e como trazer esse conhecimento de outras indústrias para o mercado AEC.

Nessa parte de trazer outras indústrias para o mundo AEC foi lindo, muito lindo. Fizemos muitos experimentos, POCs e acredito que pela primeira vez muitos dos fabricantes pararam ali para analisar o mercado AEC aos olhos de um alguém que conseguia passar a visão do business de AEC e discutir o business deles de maneira a todo mundo se entender, até para saber se tinha dinheiro na mesa ou não (no fim sempre tem, mas tem outros low hanging fruits no mercado antes de AEC).

Foi dessa experiência que tive contato com a PAS 1192-5 (referência britânica que serviu de base para a ISO 19650-5) e fizemos reuniões técnicas com Symantec, McAfee, Citrix, Veritas para entender como a coisa poderia funcionar do lado deles.

É dessa experiência que vem o caldo para escrever sobre a ISO 19650-5, a parte da série que trata da digitalização da informação para edificações e projetos de engenharia civil tendo em mentea abordagem de segurança para gerenciamento de informações.

Vamos lá.

Abordagem de Segurança (2/7)

A estratégia para abordar segurança na ISO 1950-5 é dividida em duas etapas, a primeira que possui cinco momentos distintos e a segunda que possui três momentos distintos.

A primeira parte diz respeito a abordar a segurança dentro de um processo BIM mais amplo, são esses os cinco momentos após, claro, da definição dos planos e objetivos da organização:

• Coordenação e consistência de estratégias e políticas: aqui é preciso pensar a estratégia e o plano para gerenciamento dos ativos, qual a estratégia de segurança a ser utilizada e considerar o plano de segurança dos outros envolvidos no projeto.

• Coordenação e consistências de planos: aqui é necessário desenvolver o plano de gerenciamento do ativo e o plano de gerenciamento da segurança considerando os inputs dos planos das outras empresas que participam do projeto com você.

• Coordenação e consistência de requisitos de informação: com a definição dos planos será preciso criar inputs dentro dos requisitos de informação da organização (OIR) e do ativo (AIR) definindo os requisitos de segurança do projeto.

• Atividades realizadas durante a fase de operação dos ativos: como o próprio nome diz, aqui vai ser preciso definir o plano para segurança do ativo em sua fase de operação.

• Atividades realizadas durante a fase de entrega dos ativos: aqui é ciclo PDCA de constante e melhoria dos conceitos e estratégias adotadas em outras fases, afinal, o preço da liberdade é a eterna vigilância.

Já a segunda parte diz respeito ao processo para implementar uma estratégia de abordagem de segurança nas organizações, são estes os três momentos e suas atividades:

• Iniciar uma abordagem de segurança: aqui é pensar como fazer a governança e distribuir as responsabilidades deste tema dentro da organização iniciando o movimento na empresa.

• Desenvolver uma estratégia que aborde segurança: levantamento das áreas de risco, mitigação dos possíveis riscos e estabelecer qual a tolerância ao risco que a empresa está disposta ter.

• Desenvolver um plano para gerenciamento de segurança: determinar as políticas e procedimentos, quais os requisitos de informação devem constar nos projetos, os requisitos da empresa para terceiros, requisitos de segurança logística e se der algum problema qual a resposta da empresa para o fato.

Entenderam a razão da afirmação no subtítulo da newsletter? Diante disso, que conceitos existem que podemos destrinchar nesse mundo à parte? Trataremos de quatro aqui: dos assessments, o processo de triagem de segurança, do apetite ao risco e dos terceiros.

Dos assessments (3/7)

Dentro do contexto desta parte da ISO é preciso entender quem foram as entidades que participaram do desenvolvimento da PAS-1192-5, saca só algumas entidades britânicas que participaram da brincadeira: Atomic Weapons Establishment (parte do Ministério da Defesa do Reino Unido), Centro de Proteção da Infraestrutura Nacional Britânico, Parlamento Britânico, Polícia Metropolitana, Ministério da Justiça entre outras empresas privadas.

Quando você lida com terroristas explodindo o seu metrô falar de segurança não é algo trivial, isto para mim é a grande diferença cultural que é necessário entender para adotar os assessments de segurança da 19650-5.

São quatro anexos só de perguntas e considerações que as empresas britânicas devem seguir na hora de construir utilizando BIM, principalmente para o governo, a saber:

• Anexo A: contexto para segurança da informação;

• Anexo B: Informações sobre tipos de pessoal, segurança física e técnica controles e gestão de segurança da informação;

• Anexo C: Avaliações relativas ao fornecimento de informações a terceiros;

• Anexo D: Acordos de compartilhamento de informações (traduziria como acordo de confidencialidade, um termo de mercado mais utilizado);

Em cada um desses anexos os especialistas de segurança do UK colocam uma pulga atrás da orelha para que seja ou não levado em consideração o item dentro do projeto.

Aqui é importante lembrar daquela beleza que é a série 19650 no qual você não precisa adotar 100% do que é falado ali, mas se você for construir uma instalação militar que vai guardar as bombas atômicas do país, muito provavelmente vai ter que cumprir 200% e muito mais.

Só para contextualizar os assessments e a segurança da informação você vai ter que se perguntar sobre a gama de ameaças que podem procurar fazer uso de vulnerabilidades, a gama de técnicas tradicionais e em evolução de reconhecimento hostil em todos os aspectos da organização, o potencial risco do que vai ser utilizado/armazenado dentro do ativo e toda gama de ameaças externas (hackers, malwares, etc..).

É bastante coisa que é considerada no processo e para cada item levantado há de ser realizado no mínimo um registro do risco, pessoal não está para brincadeira. 

Processo de triagem de segurança (4/7)

O processo de triagem de segurança é uma técnica da ISO 19650-5 que determina se a abordagem de segurança atinge ou não determinada iniciativa dentro da organização, projeto ou profissionais.

Antes de entrar no processo de triagem, temos duas cláusulas no texto que são bem importantes, a saber:

• A cláusula 5 que pede que haja uma determinação de um profissional responsável pela segurança da empresa (grandes organizações possuem o CSO – Chief Security Officer).

• A cláusula 9 que estabelece que informações sensíveis devem ser protegidas por acordos de confidencialidade.

Voltando então ao processo triagem, são essas perguntas que devem ser feitas:

Tudo começa com a pergunta: a iniciativa, projeto, profissional, ativo, produto ou informação da sua organização é considerada sensível?

Se sim, deve ser protegida seguindo orientação do responsável de segurança e acordo de confidencialidade. Se não, vem a segunda pergunta: o acesso à informação foi/será adquirido através de meios que não sejam públicos?

Se sim, deve ser protegida seguindo orientação do responsável de segurança e acordo de confidencialidade. Se não, vem a terceira pergunta: deve-se perguntar se a iniciativa, projeto, profissional, ativo, produto ou informação de outra organização é considerada sensível?

Se sim, deve ser protegida seguindo orientação do responsável de segurança e acordo de confidencialidade. Se não, deve-se proteger qualquer informação comercial ou pessoal para evitar problemas futuros e registras o procedimento nos planos de segurança.

Quantas empresas no mercado AEC possuem um responsável para tratar deste tema que não seja o DPO que muitas empresas acabam terceirizando só para não levar fumo da LGPD?

Do apetite ao risco (5/7)

É possível cobrir 100% das brechas de segurança de uma empresa? Para responder isso basta ler o que os fabricantes de desinfetantes falam em suas embalagens: mata 99,99% dos germes. O problema do 0,01% de brecha é que ela tem poder destruidor, mas saiba que você vai gastar tubos e rios de dinheiro e travar totalmente seu processo se você tentar chegar nos 99,99% com a promessa do 100%.

Como falamos anteriormente, se você estiver fazendo um ativo que comprometa a segurança nacional você vai ter que se encaixar nesse perfil da dinheirama para infosec, não tem muito como fugir.

O que a 19650-5 pede no caso da tolerância ao risco é que ao menos seja documentado que houve a identificação do risco e que a decisão foi de registrar e não tomar nenhuma ação para eliminar ou mitigar o risco em questão por X motivo.

Vai ser possível registrar toda e qualquer possível atividade no processo? Voltemos aos germes: 99,99%, 100% é insano porque todo dia surge um jeito novo de fazer merda, a criatividade do pessoal é de outro mundo.

Logo, o importante é ao menos ter documentado, o responsável pela segurança deve ter um plano para cada ocorrência que venha a acontecer no projeto e ir melhorando as iniciativas e mitigações através do processo PDCA de melhoria contínua entre os empreendimentos.

A pior coisa que pode acontecer durante um incidente é o CSO ou responsável pela segurança da empresa ser pego de surpresa e não sabe o que fazer por simplesmente não ter um plano de resposta.

Planos de respostas são fundamentais e estar preparado dependendo do que acontecer é tomar a decisão entre se manter vivo no mercado ou morrer cumprindo acordos jurídicos. 

Dos terceiros (6/7)

A corrente que você coloca em um portão é tão forte quanto o elo mais fraco que você utilizar e, infelizmente, o elo mais fraco da cadeia são os terceiros porque dificilmente você tem controle sobre o que eles estão fazendo ou se estão seguindo suas políticas de segurança, se estão deixando brechas sem querer ou se ao menos eles também possuem um plano de segurança e ocorrências dentro da empresa.

Se a informação, projeto, produto whatever é considerada sensível e deve ser protegida isto deve ser levado até na parte da execução do projeto. Um exemplo muito louco que está na PAS-1192-5 é que se um contratante definir que um determinado sistema em um edifício é considerado crítico em termos de segurança, este projeto não deve ser compartilhado com outros participantes do projeto.

Então o que fazer para compatibilizar o projeto? Simples, o projetista do sistema que é considerado crítico, deve receber os modelos, fazer a compatibilização do projeto e devolver para as outras partes interessadas as interferências encontradas.

Um exemplo: tem um projeto de cabeamento estruturado com toda o projeto de lógica de uma estação de metrô, se uma viga se chocar com a eletrocalha, o projetista de lógica identifica a interferência e devolve para estrutura uma sugestão de furo na viga, mas o projetista de estrutura não sabe nem o que está passando ali, pois ele nunca vai ver o modelo de cabeamento estruturado, vai receber um furo na viga e só.

Acabou aí no projeto? Nope, na hora de executar aquele sistema de cabeamento estruturado a área da obra deve ser isolada e somente a empresa responsável pelo sistema de lógica tem acesso para execução do serviço, ninguém deve saber o que ou quando será realizado tal serviço e a razão da obra ter sido "evacuada".

É este o nível da abordagem que se pede que seja considerada em projetos estratégicos. Já vi projetos tão sensíveis que nem rede existe nas salas, não existe internet, não tem USB nos computadores, para você se sentar no computador offline você passa por trezentos tipos de verificações biométricas para chegar na sala e acessar o computador para começar a trabalhar. Como o backup do projeto é feito? Ninguém sabe. As vezes nem a localização do projeto é liberada.

Parece coisa de filme, mas acontece bastante por aí e por este motivo é de suma importância fazer uma boa avaliação de terceiros se você estiver sob um regime dracrônico de confidencialidade.

Porque não adianta nada chegar até esta parte da newsletter para no final do dia entregar uma planta para um mestre de obra que vai abrir as instalações da sua agência bancária na rua, no meio da galera, para todo mundo ver onde é o cofre, por exemplo (sad but true).

Secured-Minded (7/7)

Para quem aprecia esse mundo de cyber segurança recomendo demais dois documentários:

CyberWar Threat - CyberWar Threat - Inside Worlds Deadliest Cyberattack: o documentário conta a história do Stuxnet, um vírus criado para atacar instalações nucleares no Irã e considerada a bomba atômica da cyber war.

Cyber War : Explora o mundo da guerra cibernética e como é difícil você ter segurança em um mundo totalmente digital. Interessante é ver o pentagono fazendo um hackathon de invasão simulada aos seus sistemas para recrutar os melhores hackers do mundo.

 Na época em que estávamos trabalhando com isto fizemos muitos e muitos experimentos divertidos, pessoal dos grandes fabricantes de segurança ficavam alarmados como o mercado AEC tem vulnerabilidades.

Foi uma época muito legal, nunca imaginei que iria conhecer algumas pessoas que conheci no caminho, em termos de aprendizado foi como crescer 10 anos em 2 e algumas coisas são polêmicas demais para serem discutidas ou publicadas.

A série ISO 19650 possui atualmente quatro partes publicadas e mais duas delas estão em desenvolvimento: a parte 4 que trata da troca de informações e a parte 6 que trata de saúde e segurança (segurança do trabalho por assim dizer).

Vamos escrevendo mais a respeito no futuro quando estas partes forem lançadas ou quando a demanda for boa para algum tópico específico dentro dos outros textos publicados.

Se você gostou do conteúdo curta, compartilhe e não deixe de seguir o canal:

Obrigado,

Abs.

Tiago Ricotta

Publicado em 26 de Janeiro de 2022 às 19:17