A maturidade da segurança da informação

Ao longo de mais de onze anos atuando com Segurança da Informação (SI) e infra-estrutura de Tecnologia da Informação e Comunicação (TIC), tive a oportunidade de observar a evolução das tecnologias de SI, bem como a maturidade dos processos relativos a SI em centenas de empresas clientes e parceiras nas quais tive contato.

Com o passar do tempo, tornou-se claro que cada empresa encontra-se em um grau diferente de maturidade da sua cultura, processos e estrutura de SI. Com base nessas constatações, é possível desenhar o esboço de um padrão evolutivo onde identificam-se cinco estágios ou degraus de evolução da gestão em SI, que são determinados pela cultura de empresa, pelos objetivos, necessidades e restrições de negócio, e pela experiência do gestor de TI ou de SI. Além da evolução gradual dessa cultura e experiência, não raro um incidente de segurança da informação desperta a empresa para a necessidade de melhoria de sua gestão de SI, gerando a motivação necessária para se avançar para o próximo degrau.

Segurança Reativa (ou fase do feijão-com-arroz)

A segurança reativa é a fase onde a empresa está focada apenas nas soluções de tecnologia, e onde os controles técnicos básicos fundamentais de SI são implementados, destacando-se os três controles mais difundidos e implementados: backup, antimalware e firewall. Existe também nessa fase uma preocupação com o conteúdo acessado pelos usuários, através soluções (ainda técnicas) de controle de conteúdo web (filtro de URL) e antispam, com enfoque maior em produtividade da força de trabalho do que na SI propriamente dita.

Resolvidos os controles básicos de SI, também nessa fase encontramos a análises de vulnerabilidade, frequentemente utilizada como uma forma de justificar investimentos em SI e TIC, esperando-se que a análise de vulnerabilidades consiga “mostrar para a diretoria como estamos vulneráveis”. É a técnica de “assustar” a gestão da empresa.

Essa é a fase do “apagar incêndio”. Não existem métricas relativas a segurança da informação, os investimentos não são coordenados, e não existe uma política de segurança da informação de fato. Não é incomum nessa fase a alta gestão da empresa não ter plena confiança na experiência e conhecimentos técnicos do seu quadro interno responsável pela infra-estrutura de TIC em virtude das frequentes indisponibilidades do ambiente e da percepção de gestão por eventos, ou reativa, da SI. É frequente nesses casos a alta gestão da empresa buscar auditorias externas para validar os investimentos realizados e até a estrurua do setor de TIC.

Também nessa primeira etapa é comum que a gestão de SI seja exercida pelo setor de TIC, e que a maior preocupação com SI seja a disponibilidade dos serviços de TIC, com menor ênfase na integridade e preocupações pontuais e setoriais com a confidencialidade.

Políticas, Normas e Acordos (ou fase documental)

Nessa fase tem-se um entendimento mair de que a SI não será administrada apenas com tecnologia; começa-se a perceber a importância do fator humano, jurídico e normativo. Já fica evidente a necessidade de instrumentos de comunicação com os usuários, respaldo jurídico e processos internos de responsabilização e punição. Muitas empresas despertam para o fato que a informação a ser protegida não está apenas em formato eletrônico, mas encontra-se em mesas, gavetas, armários e nas mentes das pessoas.

São então desenvolvidas documentos de Política de SI, Acordo de Confidencialidade para funcionários e prestadores de serviço, normas de uso da Internet e e-mail, Termo de Responsabilidade, Manual de SI e documentos correlatos. Encontramos também a adoção de cláusulas contratuais com fornecedores, clientes ou prestadores de serviço que confidencialidade confidencialidade, e monitoramento de uso de recursos de processamento de informação.

Não necessariamente todos esses controles citados são implementados, e nem sempre na sua melhor forma. Por exemplo, é comum o desenvolvimento de Políticas de SI sem a participação das áreas de RH, Jurídico ou da alta direção, o que diminui a possibilidade do estabelecimento de uma política de fato.

Já nessa fase é útil referenciar-se a norma ISO 27002 de segurança da Informação (http://en.wikipedia.org/wiki/ISO/IEC_27002) para auxiliar na definição dessa documentação.

Análise de Risco

A Análise de Risco tem o potencial para ser um divisor de águas na gestão da segurança da informação da empresa.

A Análise (ou Avaliação) de Risco difere da Análise de Vulnerabilidade pois leva em consideração a importância do ativo analisado para os processos de negócio e os objetivos da organização. Em termos simples, como diferenciamos o risco entre, por exemplo, dois servidores de arquivos (file servers) que tem o mesmo sistema operacional, estão no mesmo ambiente físico, possuem os mesmos patches, mas um é utilizado apenas para armazenar documentos históricos para uma consulta eventual, e o outro armazena documentos utilizado no dia-a-dia dos processos, com milhares de acessos e atualizações por dia? Nesse caso o risco é calculado através do impacto de negócio em caso do comprometimento da disponibilidade, integridade ou confidencialidade desses servidores. Eles tem a mesma probabilidade de sofrer um ataque de hacker ou uma falha física, mas cada um trará um impacto diferente para a organização.

Ao contextualizar a análise para os processos e objetivos de negócio através de uma avaliação qualitativa do índice de risco por ativo de informação, alcançamos vários benefícios como:

• Priorização de investimentos baseado em necessidades de negócio
• Comunicação adequada da importância real de cada ativos de informação à alta direção da empresa
• Indicadores de acompanhamento de risco, que serão ser utilizados para gerir o SGSI
• Aprimoramento da segurança da informação e continuidade de negócio

Isso altera substancialmente a percepção e a confiança da alta direção da empresa nos processos e investimentos em infra-estrutura de TIC e em SI, permitindo ao CIO ou CSO compartilhar a responsabilidade desses investimentos com a alta direção.

Gestão do Risco

Por Gestão do Risco entende-se não apenas a implementação de controles para mitigar os riscos identificados na Análise de Risco, mas também calcular o risco residual e até mesmo permitir que a direção da empresa aceite riscos, ou seja, formalize o conhecimento dos riscos identificados e que não pretende no momento investir recursos na mitigação do risco, mas conviver com o mesmo temporariamente ou indefinidamente. Obviamente só é possível para a Direção da empresa assumir riscos caso exista uma visão clara e transparente do impacto dos mesmos ao negócio, o que é uma premissa da Análise de Risco.

A seleção de controles marca uma maior maturidade do processo de gestão da SI ao ampliar o leque de soluções antes apenas tecnológicas para envolver também processos, pessoas e ambiente.

Uma boa referência para seleção de controles de gestão de riscos é a norma ISO 27002 (http://en.wikipedia.org/wiki/ISO/IEC_27002) que fornece mais de 130 melhores práticas de controles de SI como: processo de classificação da informação; acordos; registros de auditoria; gestão de continuidade de negócio; definição de responsabilidades; identificação de legislação aplicável vigente; processo disciplinar; política de mesa limpa e tela limpa; e dezenas de outros.

Gestão da Segurança da Informação

Aqui temos o processo formal que estabelece um Sistema de Gestão de Segurança da Informação (SGSI ou ISMS) baseado na família de normas 27000 (http://en.wikipedia.org/wiki/ISO/IEC_27000-series), especialmente na ISO 27001:

 

Ao estabelecer um SGSI, estamos finalmente prontos para buscar a certificação na norma ISO 27001, adequando a empresa às normas internacionais de SI, permitindo aumentar a confiabilidade do nome da empresa, atestando ao mercado que as informações são tratadas atendendo às melhores orientações e práticas.

Em qual das fases acima a sua empresa está? Qual será seu próximo passo?