DEV Community: Yan Porfirio

Transformando falhas em oportunidades: A importância da reunião de postmortem

Yan Porfirio — Thu, 13 Apr 2023 13:59:44 +0000

Introdução

Olá pessoal, tudo bem ? Eu sou Yan Porfirio, analista de segurança da informação na Convenia e vou falar um pouco mais sobre post mortem e como isso impacta diretamente a área de segurança e compliance no que diz respeito a disponibilidade e integridade dos dados e do sistema. Mas afinal, o que é o post mortem ?

O post mortem é uma reunião que é feita no fim de todo projeto ou procedimento, é uma espécie de retrospectiva, onde a equipe analisa o que foi feito, o que deu certo e pontos a serem melhorados.

Aqui na Convenia, além de realizamos esse rito após o fim de um projeto ou procedimento, realizamos também após algum incidente relacionado a tecnologia, um exemplo disso, é a queda de algum serviço. Essa reunião é um processo que ajuda a melhorar os nossos serviços e entendermos o porquê ocorreu a falha, alterando processos organizacionais para incorporar lições aprendidas. Um post mortem é mais do que apenas uma apuração dos fatos.

Na verdade, as funções mais importantes de um post mortem são promover melhorias nos processos e melhores práticas para repetir sucessos. Geralmente costuma ser uma reunião rápida, de no máximo 1 hora, que reunimos o time responsável pelo gerenciamento do serviço que foi impactado no incidente, e detalhamos o que ocorreu, o porque ocorreu, tempo de duração e o que podemos fazer para não acontecer novamente.

Em um determinado momento, no meio de 2022 sentimos falta de uma métrica para conseguirmos mensurar a periodicidade e o impacto desses incidentes, foi onde decidi implementar o RIT, que é o relatório de incidentes de tecnologia.

O que é feito em caso de incidente ou indisponibilidade

Quando somos afetados por algum evento adverso, seguimos um fluxo de trabalho composto por 3 passos:

Identificar o problema (equipe responsável pelo serviço em questão é mobilizada para descobrir a causa raiz);
Resolução rápida do problema (seja definitiva ou provisória com uma task mais estruturada para o futuro);
O time pensa em medidas preventivas e aprendizados para o problema em questão. Posteriormente, preenchemos um RIT (Relatório de incidente de Tecnologia).

O que é o RIT ?

Esse documento é preenchido no decorrer da reunião de post mortem, conforme vamos debatendo os pontos, vamos preenchendo e no final revisamos o que escrevemos. Logo de início, preenchemos uma descrição resumida do que aconteceu, seguido pela severidade do incidente, tipo de impacto, origem do alerta e a qual setor o incidente foi informado.

Após essa análise inicial, partimos para o detalhamento do incidente, informamos qual foi a sua categoria, como por exemplo: alteração não planejada, não conformidade com a nossa política de segurança, falha de backup, ou alguma outra categoria ainda não catalogada. Após essa definição de categoria, descrevemos o que ocorreu, qual foi a extensão e impactos desse incidente, as causas e áreas envolvidas.

Finalizando esse detalhamento do incidente, descrevemos como foi feito o tratamento desse incidente, descrevemos ações executadas para o tratamento ou contorno desse incidente com a maior riqueza de detalhes possível. E para terminar, fazemos uma análise final e encerramento do incidente, que é onde detalhamos se outras ações e recursos serão necessários para não acontecer outro incidente dessa natureza e se possível, informamos o prazo e os responsáveis por executar essas ações de melhorias. Além disso, descrevemos também sobre as lições aprendidas, o que tiramos de lição do incidente, o que aprendemos com o que ocorreu, e o que devemos fazer para não se repetir. Caso queira baixar o template desse documento, estamos deixando disponível aqui.

Importância de adotar esses processos.

Adotar o post mortem e a partir daí, realizar o preenchimento de um RIT é essencial para conseguirmos periodicamente revisar os planos de ação para entender se eles foram implementados de fato. A partir desse conjunto de ferramentas é possível entender as falhas, entender o que aprendemos e mitigar os riscos, além de uma métrica e melhor entendimento dos incidentes passados. Outro ponto importante para defendermos essa implementação, é aumentar a cultura de aprender com os erros, erros irão acontecer, isso é normal no processo de produto, mas devemos aprender com eles e conseguir também tirar pontos positivos, para implementar melhorias ou melhorar algum processo quebrado que não temos visibilidade.

Caso real de uso na Convenia

Além dos pontos já citados no artigo, destaco um grande aprendizado que conseguimos retirar nesse processo de post mortem + RIT.

Sempre fizemos backups de todos nossos bancos e instâncias, mas de uma lição aprendida no preenchimento desses documentos, repensamos na nossa política, e após algumas análises, decidimos melhorar nosso processo, começamos a fazer um backup contínuo, que é um backup que se existir perda, será de no máximo 5 minutos.

Não só conseguimos melhorar nossos processos internos, como conseguimos também passar mais segurança e um melhor produto para o nosso cliente.

Outro ponto a se destacar, é que de tempos em tempos, nos reunimos e fazemos um resumo de todos os relatórios preenchidos, e com isso, conseguimos visualizar se implementamos as melhorias apontadas, ou tem alguma pendente. No começo, apenas um squad seguia esse processo, mas com o passar do tempo, o restante do time consegue ver as vantagens, e atualmente todos os squads adotam essa prática.

Conclusão

A reunião de postmortem é uma ferramenta fundamental para promover a melhoria contínua e o aprendizado organizacional. Um exemplo disso é o nosso case com o backup contínuo, que nos trouxe ainda mais segurança e melhora no nosso RTO e RPO.

Ao permitir que as equipes revisitem processos passados, a reunião de postmortem possibilita a identificação de pontos fortes e fracos, além de fornecer insights valiosos para evitar erros futuros. É importante ressaltar que, para que a reunião de postmortem seja efetiva, é necessário estabelecer um ambiente seguro e confidencial para que os membros da equipe possam falar abertamente e expor suas ideias. Além disso, é preciso garantir que as discussões resultem em ações concretas e medidas para melhorias. O postmortem pode ajudar as equipes a evoluírem e aprimorarem seu desempenho, tornando-se mais eficientes e eficazes em suas atividades, e com isso, garantir mais satisfação ao cliente final.

Cibersecurity, construindo um firewall humano.

Yan Porfirio — Fri, 13 Jan 2023 12:46:19 +0000

Introdução

Olá pessoal, tudo bem ? Me chamo Yan e hoje sou analista de segurança da informação na Convenia. Recentemente, iniciamos uma jornada de conscientização e treinamentos relacionados à segurança da informação e LGPD com todos os nossos colaboradores. A plataforma escolhida para nos apoiar foi a Hacker Rangers! Com a ajuda desse parceiro e o engajamento dos nossos colaboradores, começamos a colher muitos bons frutos relacionados à proteção de dados aqui na Convenia. No decorrer deste artigo, irei pontuar os desafios encontrados, algumas mudanças positivas e os resultados refletidos no dia a dia da nossa empresa.

Análise inicial

Para entender onde estávamos, me baseei em um teste phishing realizado por uma outra plataforma há alguns meses antes de iniciarmos esse novo formato de treinamentos, e o resultado de cliques nesse teste era de 35%. Além desse número expressivo, notamos que os colaboradores não consumiam um conteúdo de qualidade e da forma adequada, dificultando assim uma conscientização assertiva e a usabilidade dessas informações no dia a dia.

Desafios iniciais

Encontramos alguns desafios para implementar o nosso programa de conscientização. Acredito que vale a pena pontuar dois:

O primeiro foi a dificuldade de manter o engajamento dos colaboradores. Geralmente, os conteúdos de cibersegurança costumam ser maçantes, pouco interativos e repletos de um linguajar mais técnico. Dessa forma, torna-se muito difícil “prender” a atenção dos colaboradores, que não estão acostumados com alguns termos sobre o assunto.
O segundo desafio encontrado logo no início da caminhada foi a dificuldade de realizar testes de phishing em massa. A maioria das plataformas oferece um modelo “travado”, que não podemos mudar, ou que sempre cai no spam na caixa de e-mail. Isso acaba não só dificultando a execução do teste, mas também mascarando o resultado real.

Hacker Rangers ao resgate !

Após identificarmos esses desafios, começamos uma parceria com a plataforma Hacker Rangers, que oferece conteúdos sobre cibersegurança e LGPD de uma maneira mais leve, com cursos de curta duração e linguagem de fácil entendimento.

Mas o principal é que ela nos permite criar um ciclo de competição gamificada, que acende um espírito de competitividade e mantém os colaboradores engajados durante toda a temporada, que dura 12 semanas.

Essa ferramenta também conseguiu nos atender na questão do teste de phishing, já que a plataforma é toda interativa e nos proporciona a opção de editar o e-mail da maneira que queremos. Além disso, caso exista alguma interação do usuário com a mensagem, como um clique no e-mail ou uma submissão de dados, ele é automaticamente direcionado para uma página que o avisa que ele caiu em um teste de phishing simulado, que também apresenta algumas orientações para que isso não volte a acontecer.

A ideia no nosso teste de phishing não é prejudicar ou enganar nossos colaboradores, mas, sim, medir o nosso grau de maturidade em segurança e, principalmente, treiná-los para não cair em phishings reais, visto que esse tipo de golpe cresce de maneira assustadora dia após dia. E ter recursos para disparar e-mails personalizados, com a nossa identidade visual e com o domínio o mais próximo do nosso, nos ajuda muito nessa tarefa de conscientização e treinamento para situações reais.

Após pouco mais de 3 meses, começamos a colher os resultados desse programa de conscientização e treinamentos. Conforme dito anteriormente, em nosso último teste de phishing, realizado antes do começo desse programa, o índice de clique dos colaboradores era de 35%. No teste mais recente, após o início da conscientização com o Hacker Rangers, conseguimos diminuir esse índice para 6,4%. Sabemos que em uma campanha phishing existem diversos fatores subjetivos, mas esses números já nos fornecem um norte para onde seguir.

O papel das ciberatitudes na construção de um firewall humano

Além de uma melhoria expressiva no número de cliques em simulações de phishing, o que mais nos chamou a atenção foi a mudança de cultura dos colaboradores. Depois desses três meses, quando eles recebem qualquer e-mail suspeito ou com algum conteúdo estranho, antes de clicarem em qualquer coisa, eles me procuram e pedem orientação, ou denunciam como spam e depois me notificam. O mais legal é que a plataforma oferece uma ferramenta típica para isso: as chamadas “Ciberatitudes”, um espaço onde o colaborador pode dar dicas e sugestões variadas e, o mais importante, reportar os riscos de segurança identificados na empresa.

Essa mudança era o que esperávamos de fato. Uma mudança de cultura, uma criação de um “firewall humano”, pois se todos estiverem engajados e consumindo um conhecimento de qualidade, todos estarão preparados para identificar ameaças, reportar riscos em potencial e não cair em golpes — não só no ambiente corporativo, mas também na sua vida pessoal!

Esse foi outro ponto importante para nós: não criar apenas colaboradores mais conscientes, mas pessoas mais conscientes, que compartilham o conteúdo aprendido com seus amigos e familiares, difundindo esse conhecimento e diminuindo cada vez mais os crimes virtuais. Na imagem abaixo, podemos ver como os colaboradores interagem e dão feedbacks via Ciberatitudes:

O nosso objetivo é diminuir ainda mais os números obtidos no último teste de phishing. Após o encerramento da temporada, convidamos toda a empresa para uma reunião e, conforme demonstrado na imagem abaixo, apresentamos o resultado alcançado e demos dicas de como não cair em futuros testes de phishing — e, principalmente, em phishings reais.

Alertamos a todos de existem alguns padrões em tentativas de golpes online, tais como: assuntos urgentes ou que exigem uma rápida resposta; produtos milagrosos que prometem resolver seus problemas de forma rápida e simples; erros ortográficos; anexos suspeitos; e, claro, a solicitação de conteúdo sigiloso.

Certificação

Compartilhamos da ideia de que nossos clientes são a alma e a razão da nossa existência e merecem sempre o melhor. E, visando oferecer esse melhor a eles, conseguimos, após a nossa primeira temporada, a certificação White Certified, concedida pela Hacker Rangers.

Essa é uma forma de reconhecimento para empresas que realizam programas de conscientização em cibersegurança de forma engajada e positiva, que incentivam a mudança de comportamento no trabalho e na vida pessoal e que obtêm, como resultado, colaboradores com amplo conhecimento das políticas da empresa, que atuam ativamente para prevenir e reportar incidentes.

Nosso anseio agora é manter os nossos colaboradores engajados e aumentar cada vez mais a excelência do nosso programa!

Conclusão

Após esse tempo de maturação do nosso programa, constatamos que um programa de conscientização é fundamental para qualquer empresa, pois, com uma campanha bem construída, conseguimos oferecer conteúdo de qualidade e informações importantes para nossos colaboradores.

Agora, eles conseguem refletir analiticamente sobre cada ação a ser executada, aumentando, assim, o nosso grau de maturidade em questões de segurança. Como consequência, conseguimos oferecer um produto ainda mais seguro para o nosso cliente!