Ao longo de mais de onze anos atuando com Segurança da Informação (SI) e infra-estrutura de Tecnologia da Informação e Comunicação (TIC), tive a oportunidade de observar a evolução das tecnologias de SI, bem como a maturidade dos processos relativos a SI em centenas de empresas clientes e parceiras nas quais tive contato.
Com o passar do tempo, tornou-se claro que cada empresa encontra-se em um grau diferente de maturidade da sua cultura, processos e estrutura de SI. Com base nessas constatações, é possível desenhar o esboço de um padrão evolutivo onde identificam-se cinco estágios ou degraus de evolução da gestão em SI, que são determinados pela cultura de empresa, pelos objetivos, necessidades e restrições de negócio, e pela experiência do gestor de TI ou de SI. Além da evolução gradual dessa cultura e experiência, não raro um incidente de segurança da informação desperta a empresa para a necessidade de melhoria de sua gestão de SI, gerando a motivação necessária para se avançar para o próximo degrau.
Segurança Reativa (ou fase do feijão-com-arroz)
A segurança reativa é a fase onde a empresa está focada apenas nas soluções de tecnologia, e onde os controles técnicos básicos fundamentais de SI são implementados, destacando-se os três controles mais difundidos e implementados: backup, antimalware e firewall. Existe também nessa fase uma preocupação com o conteúdo acessado pelos usuários, através soluções (ainda técnicas) de controle de conteúdo web (filtro de URL) e antispam, com enfoque maior em produtividade da força de trabalho do que na SI propriamente dita.
Resolvidos os controles básicos de SI, também nessa fase encontramos a análises de vulnerabilidade, frequentemente utilizada como uma forma de justificar investimentos em SI e TIC, esperando-se que a análise de vulnerabilidades consiga “mostrar para a diretoria como estamos vulneráveis”. É a técnica de “assustar” a gestão da empresa.
Essa é a fase do “apagar incêndio”. Não existem métricas relativas a segurança da informação, os investimentos não são coordenados, e não existe uma política de segurança da informação de fato. Não é incomum nessa fase a alta gestão da empresa não ter plena confiança na experiência e conhecimentos técnicos do seu quadro interno responsável pela infra-estrutura de TIC em virtude das frequentes indisponibilidades do ambiente e da percepção de gestão por eventos, ou reativa, da SI. É frequente nesses casos a alta gestão da empresa buscar auditorias externas para validar os investimentos realizados e até a estrurua do setor de TIC.
Também nessa primeira etapa é comum que a gestão de SI seja exercida pelo setor de TIC, e que a maior preocupação com SI seja a disponibilidade dos serviços de TIC, com menor ênfase na integridade e preocupações pontuais e setoriais com a confidencialidade.
Políticas, Normas e Acordos (ou fase documental)
Nessa fase tem-se um entendimento mair de que a SI não será administrada apenas com tecnologia; começa-se a perceber a importância do fator humano, jurídico e normativo. Já fica evidente a necessidade de instrumentos de comunicação com os usuários, respaldo jurídico e processos internos de responsabilização e punição. Muitas empresas despertam para o fato que a informação a ser protegida não está apenas em formato eletrônico, mas encontra-se em mesas, gavetas, armários e nas mentes das pessoas.
São então desenvolvidas documentos de Política de SI, Acordo de Confidencialidade para funcionários e prestadores de serviço, normas de uso da Internet e e-mail, Termo de Responsabilidade, Manual de SI e documentos correlatos. Encontramos também a adoção de cláusulas contratuais com fornecedores, clientes ou prestadores de serviço que confidencialidade confidencialidade, e monitoramento de uso de recursos de processamento de informação.
Não necessariamente todos esses controles citados são implementados, e nem sempre na sua melhor forma. Por exemplo, é comum o desenvolvimento de Políticas de SI sem a participação das áreas de RH, Jurídico ou da alta direção, o que diminui a possibilidade do estabelecimento de uma política de fato.
Já nessa fase é útil referenciar-se a norma ISO 27002 de segurança da Informação (http://en.wikipedia.org/wiki/ISO/IEC_27002) para auxiliar na definição dessa documentação.
Análise de Risco
A Análise de Risco tem o potencial para ser um divisor de águas na gestão da segurança da informação da empresa.
A Análise (ou Avaliação) de Risco difere da Análise de Vulnerabilidade pois leva em consideração a importância do ativo analisado para os processos de negócio e os objetivos da organização. Em termos simples, como diferenciamos o risco entre, por exemplo, dois servidores de arquivos (file servers) que tem o mesmo sistema operacional, estão no mesmo ambiente físico, possuem os mesmos patches, mas um é utilizado apenas para armazenar documentos históricos para uma consulta eventual, e o outro armazena documentos utilizado no dia-a-dia dos processos, com milhares de acessos e atualizações por dia? Nesse caso o risco é calculado através do impacto de negócio em caso do comprometimento da disponibilidade, integridade ou confidencialidade desses servidores. Eles tem a mesma probabilidade de sofrer um ataque de hacker ou uma falha física, mas cada um trará um impacto diferente para a organização.
Ao contextualizar a análise para os processos e objetivos de negócio através de uma avaliação qualitativa do índice de risco por ativo de informação, alcançamos vários benefícios como:
- Priorização de investimentos baseado em necessidades de negócio
- Comunicação adequada da importância real de cada ativos de informação à alta direção da empresa
- Indicadores de acompanhamento de risco, que serão ser utilizados para gerir o SGSI
- Aprimoramento da segurança da informação e continuidade de negócio
Isso altera substancialmente a percepção e a confiança da alta direção da empresa nos processos e investimentos em infra-estrutura de TIC e em SI, permitindo ao CIO ou CSO compartilhar a responsabilidade desses investimentos com a alta direção.
Gestão do Risco
Por Gestão do Risco entende-se não apenas a implementação de controles para mitigar os riscos identificados na Análise de Risco, mas também calcular o risco residual e até mesmo permitir que a direção da empresa aceite riscos, ou seja, formalize o conhecimento dos riscos identificados e que não pretende no momento investir recursos na mitigação do risco, mas conviver com o mesmo temporariamente ou indefinidamente. Obviamente só é possível para a Direção da empresa assumir riscos caso exista uma visão clara e transparente do impacto dos mesmos ao negócio, o que é uma premissa da Análise de Risco.
A seleção de controles marca uma maior maturidade do processo de gestão da SI ao ampliar o leque de soluções antes apenas tecnológicas para envolver também processos, pessoas e ambiente.
Uma boa referência para seleção de controles de gestão de riscos é a norma ISO 27002 (http://en.wikipedia.org/wiki/ISO/IEC_27002) que fornece mais de 130 melhores práticas de controles de SI como: processo de classificação da informação; acordos; registros de auditoria; gestão de continuidade de negócio; definição de responsabilidades; identificação de legislação aplicável vigente; processo disciplinar; política de mesa limpa e tela limpa; e dezenas de outros.
Gestão da Segurança da Informação
Aqui temos o processo formal que estabelece um Sistema de Gestão de Segurança da Informação (SGSI ou ISMS) baseado na família de normas 27000 (http://en.wikipedia.org/wiki/ISO/IEC_27000-series), especialmente na ISO 27001:
Ao estabelecer um SGSI, estamos finalmente prontos para buscar a certificação na norma ISO 27001, adequando a empresa às normas internacionais de SI, permitindo aumentar a confiabilidade do nome da empresa, atestando ao mercado que as informações são tratadas atendendo às melhores orientações e práticas.
Em qual das fases acima a sua empresa está? Qual será seu próximo passo?
Filed under: Gestão, Segurança da Informação | Tagged: 27000, 27001, 27002, isms, iso 27000, iso 27001, iso 27002, segurança, Segurança da Informação, sgsi |
Grande parte das empresas contratam consultores de segurança como seus “salvadores” ou “protetores”, mas dificultam a aplicabilidade da política em todos os níveis da verticalização empresarial, fazendo com que a política de segurança torne-se frágil. Parabéns, muito bom artigo. (Ridis… diretamente de Angola)
Excelente artigo. Boa linha de raciocínio.
Neste artigo, você fala do estágio 2 (políticas e normas e acordos) e do estágio 5 (Gestão da SI).
Na ISO-27001 tem uma nota que diz:
4.2.1 (b) NOTA Para os efeitos desta Norma, a política do SGSI é considerada um documento maior da política de segurança da informação. Estas políticas podem estar descritas em um documento.
Então, para ISO, a política do SGSI é diferente das políticas e normas de segurança da informação.
Você conhece algum modelo/exemplo de política do SGSI?
Poderia esclarecer um pouco mais sobre isso.
Prezado Valter,
Obrigado pelos seus comentários, e me desculpe pela demora em responder.
Na verdade, não necessariamente a política do SGSI é um documento separado, mas é diferente de uma política se segurança da informação na abrangência. Caso a empresa possua um SGSI, a política de segurança da informação pode ser modificada para abranger as questões de controle e regras específicas do SGSI, como periodicidade de revisão e processo de análise de risco.
Mas podem sim ser documentos diferentes.
Espero poder ter ajudado na interpretação da norma.
Marcelo Adães