Prévia do material em texto
TÍTULO DO DOCUMENTO 1 Governança de Segurança da Informação TÍTULO DO DOCUMENTO 2 Aula 1: Título da aula: Governança Corporativa 1. Introdução De acordo com o Instituto Brasileiro de Governança Corporativa — IBGC (2009), “Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade”. O Código das Melhores Práticas de Governança Corporativa do IBGC (2009) estabelece que independente de tratar-se de um tipo de sociedade caracterizado por ações de capital aberto ou fechado, limitada ou civil, as melhores práticas da Governança Corporativa têm como objetivo indicar caminhos visando a aumentar o valor da sociedade, a melhorar o seu desempenho, a facilitar seu acesso ao capital a custos mais baixos e a contribuir para sua perenidade. Os princípios básicos que inspiram esse código são: • Transparência: baseada na obrigação e no desejo de informar; • Equidade: tratamento justo e igualitário para todos os acionistas; TÍTULO DO DOCUMENTO 3 • Prestação de contas: os agentes da governança corporativa devem prestar contas de sua atuação a quem os elegeu e assumir a responsabilidade pelos seus atos e omissões; • Responsabilidade corporativa: conselheiros e executivos devem zelar pela perenidade das organizações, com visão de longo prazo e de sustentabilidade, incorporando considerações de ordem social e ambiental na definição dos negócios e operações. A governança corporativa está associada ao processo decisório da alta gestão e aos relacionamentos entre os principais atores das organizações, caracterizados principalmente pelos executivos, conselheiros e acionistas. Neste contexto, podemos entender a governança corporativa como um sistema baseado em um conjunto de mecanismos pelo qual os negócios e as corporações possam ser dirigidos e controlados, fazendo com que as decisões corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio. Conflito de interesse e o problema do agente-principal A teoria mais aceita para discutir a temática da governança corporativa é a do agente-principal. Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para reduzir seus custos. Esta teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de decisão) e principal (pessoas que confiam as decisões para terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá no melhor interesse do principal. Isto implicará em um problema entre ambos, conhecido como problema do agente-principal ou problema de agência. 2. Exemplo de Estrutura de Governança Corporativa e melhores práticas TÍTULO DO DOCUMENTO 4 A figura 1 a seguir, mostra um exemplo de modelo de estrutura de governança e gestão, segundo o IBGC. Existem três perímetros demarcados para que possam ser observados com foco mais individualizado. O perímetro de governança mostra o contorno da governança corporativa e nele observa-se um subconjunto representado pelo perímetro administradores, que faz interseção com o perímetro de gestão. No perímetro de governança, são estabelecidas as diretrizes que definem como a organização será dirigida. Tal direcionamento deve ir ao encontro dos interesses de todos os acionistas, das agências reguladoras e das demais partes interessadas da empresa. No perímetro de governança se encontra o Conselho de Família, próprio para as organizações familiares. O objetivo é discutir os assuntos familiares pertinentes e o alinhamento das expectativas dos membros da família em relação à empresa. Entre as principais práticas do Conselho de Família encontra-se a definição dos limites entre os interesses familiares e os da organização. TÍTULO DO DOCUMENTO 5 O principal componente da estrutura de governança é o Conselho de Administração, responsável pelo direcionamento estratégico da empresa. Os sócios delegam poderes ao Conselho de Administração que, em contrapartida, devem prestar contas da empresa aos sócios. O Conselho de Administração deve estar sempre trabalhando em favor do melhor interesse da empresa, agindo com autonomia, independente das partes que indicaram ou elegeram seus membros. Outro componente do perímetro de governança é o Conselho Fiscal, presente no sistema de governança das organizações brasileiras, sendo permanente ou não. Quando não é permanente, sua instalação ocorre de acordo com o estatuto e por solicitação de um ou mais sócios. Dentro dos principais objetivos do Conselho Fiscal, encontra-se a fiscalização, por qualquer dos seus membros, dos atos dos administradores e a verificação do cumprimento dos seus deveres legais e estatutários. Os Comitês são órgãos assessórios ao Conselho de Administração. Como exemplos, podem ser citados: Comitê de Auditoria, Comitê de Recursos Humanos e Remuneração, Comitê de Governança e Comitê de Finanças, entre outros. É fortemente recomendado que se formalize um Comitê de Auditoria. Dentre os principais objetivos, o Comitê de Auditoria deve analisar as demonstrações financeiras e garantir que a Diretoria desenvolva controles internos confiáveis. Cuida ainda para que a Auditoria Interna desempenhe adequadamente o seu papel e que os Auditores Independentes avaliem, através de seus próprios métodos, a conformidade das práticas da Diretoria e da Auditoria Interna. O Diretor Presidente funciona como interface entre o Conselho de Administração e o restante da empresa. Sua função proporciona a ligação entre a governança e a gestão, bem como, entre o Conselho de Administração e a Diretoria. Fica responsável pela execução das diretrizes fixadas pelo Conselho de Administração e deve prestar contas a ele. Tem TÍTULO DO DOCUMENTO 6 ainda responsabilidade sobre a gestão da organização e a coordenação da Diretoria. O diretor presidente indica seus diretores e propõe as remunerações, para que sejam aprovadas pelo Conselho de Administração. Cada diretor deve se responsabilizar pelas suas atribuições na gestão da empresa. Deve prestar contas ao diretor presidente e, quando solicitado, ao Conselho de Administração, aos sócios e demais envolvidos, desde que tenha a concordância do diretor presidente. 3. COSO, SOX e Basileia II COSO O Comitê das Organizações Patrocinadoras — The Committee of Sponsoring Organizations of the Treadway Commission (COSO) —, é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. O comitê trabalha com independência em relação a suas entidades patrocinadoras. Em 1992, o COSO publicou um trabalho intitulado “Internal Control — Integrated framework” (Controle Interno — Estrutura Integrada). Trata-se de uma estrutura para desenvolvimento, implementação e condução dos controles internos e também para avaliar a sua eficácia. Essa primeira versão teve grande aceitação e acabou se tornando uma referência global para que as empresas pudessemcriar seus respectivos sistemas de controles internos. Ampliando este contexto, existem duas regulamentações ajudando substancialmente às áreas de controle interno de muitas empresas e com forte impacto na área de TI: a Lei Sarbanes-Oxley e o Acordo da Basileia II. TÍTULO DO DOCUMENTO 7 Lei Sarbanes-Oxley A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei afeta a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos da América. Ela engloba tanto as empresas norte- americanas com ações em bolsas de valores norte-americanas, como as empresas estrangeiras com ações “American Depositary Receipt — ADR”, negociadas em bolsas norte-americanas. Essa lei pode ser entendida como uma resposta legislativa aos escândalos financeiros que aconteceram por volta de 2001-2002, em companhias abertas nos Estados Unidos, como Enron, Worldcom, Tyco e outras. Seu objetivo é “proteger os investidores por meio do aprimoramento da precisão e da confiabilidade das informações divulgadas pelas companhias”. Basileia II Trata-se de uma regulamentação que atinge as instituições financeiras, de uma maneira geral. É patrocinada pelo Bank International Settlements ou BIS, que pode ser entendido como o “Banco Central dos Bancos Centrais”, tendo sua sede, na cidade de Basileia, na Suíça. Essa regulamentação foi desenvolvida para buscar o máximo de ajuste entre os requisitos de capital das instituições financeiras e os riscos a que estão expostas. Ela estipula capital mínimo em função dos seus riscos de crédito e operacionais, buscando preservar a solidez do sistema financeiro. O Acordo da Basileia II fez com que as principais autoridades bancárias, de vários países, criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e as demais instituições autorizadas a funcionar, pelo Banco Central, criassem e implantassem sua própria estrutura de gerenciamento de riscos. TÍTULO DO DOCUMENTO 8 4. Integração entre Governança Corporativa e outros tipos de governança A palavra governança tem no seu significado o ato de governar. O termo está ligado à forma de se conduzir algo com direcionamento, controle e monitoramento. Não se limita aos contextos da Governança Corporativa e da Governança de Tecnologia da Informação. Além desses, pode-se pensar, por exemplo, em Governança Ambiental, Governança de Indicadores, Governança de Projetos e Governança de Segurança da Informação. Segundo Weill e Ross (2006), as empresas costumam concretizar suas estratégias e gerar valor para o negócio através dos seguintes ativos principais: ativos humanos, ativos financeiros, ativos físicos, ativos de propriedade intelectual, ativos de informação e TI, e ativos de relacionamento. Os executivos seniores, através de suas equipes, elaboram mecanismos para governar a administração e a utilização de cada um desses ativos, tanto independentemente como em conjunto. Considerando que a Governança Corporativa está atrelada diretamente com ativos de informação e que esses são representados através de dados digitalizados, informações de clientes, desempenhos de processos e outras representações, torna-se fácil justificar a importância da Governança de Segurança da Informação permeando, dentro do contexto da Governança Corporativa, para que se possa ter uma estrutura de relacionamentos entre pessoas, processos e tecnologia, transitando a informação de forma segura e mantendo sua eficácia, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade. Aula 2: Título da aula: Governança de TI e Governança de SI 1. Introdução TÍTULO DO DOCUMENTO 9 A internet, a mobilidade da tecnologia convergente e o avanço das redes de comunicações foram os grandes vilões que fizeram com que a preocupação com segurança da informação se multiplicasse nos últimos anos. Nos tempos atuais, as ameaças deixaram de se limitar a vazamentos, corrosões, enchentes, incêndios, explosões, desmoronamentos, sabotagens, vandalismos, roubos, furtos, fraudes, grampos em linhas telefônicas, falta de energia elétrica e greves; estendendo-se para vírus, rootkits, backdoors, worms, spywares, spoofing, sniffings, keyloggers, screenloggers, clonagens de URL e conformidades, dentre outras. Se, por um lado, o mundo virtual abriu novas possibilidades de negócios, por outro, aumentou a possibilidade de vulnerabilidades, fazendo com que as organizações multiplicassem suas preocupações para proteger as informações. A preocupação com a segurança da empresa e o controle das informações passou a ser foco das reuniões executivas da alta gestão. Manter um Sistema de Governança Corporativa de qualidade para evitar fracassos de abusos de poder, erros estratégicos e fraudes virou tema recorrente no dia a dia dos altos executivos. A Governança de Tecnologia da Informação ganhou importância como um dos pilares da Governança Corporativa, transpassando a empresa e interagindo com sistemas de controle interno e de gestão de riscos corporativos. Com uma necessidade cada vez maior de se manter a qualidade da informação com todas as suas proteções, mais recentemente, a segurança da informação também ascendeu à categoria de governança, ganhando mais visibilidade nas organizações com o nome de Governança de Segurança da Informação. 2. Governança de Tecnologia da Informação e Governança de Segurança da Informação TÍTULO DO DOCUMENTO 10 Ao tratar os assuntos de Governança de Tecnologia da Informação e de Governança de Segurança da Informação é importante lembrar que ambos são componentes uteis para a Governança Corporativa e que cada um possui seu escopo bem definido. Governança de Tecnologia da Informação Segundo Weill e Ross (2006), “Governança de Tecnologia da Informação é a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI”. Ainda, segundo os autores, uma Governança de Tecnologia da Informação eficaz deve abordar três questões: (1) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? Para garantir a gestão e o uso eficazes da TI, a empresa deve tomar cinco decisões: (1.1) princípios de TI; (1.2) arquitetura de TI; (1.3) infraestrutura de TI; (1.4) necessidades de aplicações de negócio; e (1.5) investimentos e priorização de TI. (2) Quem deve tomar essas decisões? Trata-se da identificação e formalização da combinação de pessoas que possuem direitos decisórios ou que contribuem para a tomada de decisões de TI. (3) Como essas decisões serão tomadas e monitoradas? As decisões são tomadas e monitoradas, a partir de um conjunto de mecanismos de governança, composto por estruturas de tomadas de decisão, processos de alinhamento e abordagens de comunicações. O alinhamento da Tecnologia da Informação (TI) aos requisitos do negócio é o ingrediente principal para criação da Governança de TI sob a guarda da TÍTULO DO DOCUMENTO 11 Governança Corporativa. A norma ABNT NBR ISO/IEC 38500:2009 oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia da Informação (TI) dentro de suas organizações.Governança de Segurança da Informação Os altos executivos das empresas vêm percebendo que cada vez se faz mais necessário tratar a segurança da informação como uma questão de risco para o negócio e não se limitar a um problema operacional de Tecnologia da Informação. Tais percepções estão fundamentadas não apenas nos requisitos regulamentares que se tornam cada vez maiores, mas principalmente por impacto direto, derivado de fragilidades que acabam influenciando na reputação da organização e que têm como consequência o prejuízo financeiro. Neste sentido, torna-se altamente recomendável que os altos executivos incluam a Governança de Segurança da Informação como parte de suas responsabilidades, colaborando para que os objetivos da organização possam ser alcançados. A Governança de Segurança de Informação necessita de uma forte comunicação e interação entre os altos executivos e os responsáveis pela implementação e operação do Sistema de Gestão de Segurança da Informação, fornecendo o direcionamento das iniciativas de segurança da informação para toda a organização. Uma Governança de Segurança da Informação bem implementada permitirá que os altos executivos recebam dados relevantes sobre as atividades relacionadas com a segurança de informação dentro do contexto de negócio. Como consequência, decisões pertinentes e oportunas sobre segurança da informação poderão ser tomadas para apoiar os objetivos estratégicos da organização. TÍTULO DO DOCUMENTO 12 Relacionamento entre Governança de Tecnologia da Informação e Governança de Segurança da Informação Segundo a norma ABNT NBR ISO/IEC 27014:2013, modelos de governança podem sobrepor-se. Cada modelo se junta a outros modelos para configurar os padrões que compõem a Governança Corporativa. A figura 2, por exemplo, mostra o relacionamento entre a Governança de Tecnologia da Informação e a Governança de Segurança da Informação subordinadas à Governança Corporativa. A Governança de Tecnologia da Informação trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas, ajudando os altos executivos a garantirem o cumprimento das obrigações relativas ao uso aceitável da Tecnologia da Informação. Já a Governança de Segurança da Informação envolve os conceitos básicos de confidencialidade, integridade e disponibilidade. A interseção das duas TÍTULO DO DOCUMENTO 13 governanças contém o processo interno de divulgação, a comunicação para as partes interessadas, a busca de alinhamento de suas estratégias com a estratégia do negócio e a agregação de valor para os altos executivos, para as partes interessadas e para o negócio. Ambos os modelos de governança devem estar submetidos ao ciclo avaliar-dirigir-monitorar. Aula 3: Título da aula: Desafios da Segurança da Informação 1. Introdução As empresas estão integrando seus processos cada vez mais, utilizando diversas soluções, incluindo a Enterprise Resource Planning (ERP), facilitadas pela utilização de redes de comunicação que suportam a internet, a intranet e a extranet. Fusões entre empresas, parcerias estratégicas e diversas formas de comunicação não param de ocorrer no mundo dos negócios. Essas grandes transformações se beneficiaram da internet e fizeram com que surgisse um novo ambiente cooperativo com várias empresas se relacionando e trocando informações por meio de uma infraestrutura tecnológica com rede heterogênea integrada. Essa rede conecta empresas, clientes, fornecedores e usuários. A infraestrutura é montada para que a comunicação possa ser realizada e as transações possam ser executadas, preferencialmente de forma rápida, segura e correta. A informação circula dentro e fora das organizações, tendo em seus processos de negócio ameaças constantes, alimentadas mais ainda por conta das transações que ocorrem no mundo virtual. Tais ameaças não se prendem apenas aos aspectos tecnológicos, mas se estendem também a interferências físicas e humanas. TÍTULO DO DOCUMENTO 14 2. Desafios a serem enfrentados De uma maneira geral, a boa prática sugere que todo problema deva ser analisado em detalhes para que se possa identificar o motivo que está gerando tal problema. Especificamente quando o assunto está relacionado com a segurança da informação na empresa, o desafio se torna muito maior em função da variação de fatores pertencentes ao tema. Anatomia do problema Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na visão de muitos executivos quando o assunto é segurança da informação. “A porção de gelo que vemos fora da linha d’água é comumente correspondente a apenas 1/7 de todo o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos”. Por analogia, o desafio na empresa é o de realizar ações que possam permitir mapear a situação atual, visível e invisível, inventariando as ameaças, as vulnerabilidades, os riscos e os possíveis impactos, para que posteriormente possa se fazer a modelagem da solução que será proposta. O fato das empresas apresentarem cenários com fragilidades diferentes faz com que as soluções também se apresentem de forma personalizada. Visão corporativa Em todo momento, as empresas são vítimas de ameaças buscando fragilidades que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece e o ataque é realizado, a segurança é quebrada. Para ter ideia do escopo que deve ser dado à proteção da informação, reflita sobre três situações em sua empresa: (a) as informações confidenciais que se encontram em papel e que devem ser descartadas são TÍTULO DO DOCUMENTO 15 trituradas? (b) todos os colaboradores sabem o que é engenharia social e estão preparados para lhe dar com ela? (c) considere que sua empresa fature R$120.000.000,00 mensalmente pela internet e que o local onde se encontra a infraestrutura do ambiente de TI pegou fogo. Isto significa uma perda de faturamento médio de R$4.000.000,00 diários. A empresa possui um plano de continuidade de negócio capaz de retomar as atividades de forma rápida? Os altos executivos devem enxergar e propagar por toda a empresa que a segurança da informação possui visão corporativa e que deve ser comparada a uma corrente, onde o elo mais fraco determina o seu grau de resistência e proteção. Reflexões do dia a dia A segurança da informação ainda é entendida por muitos dos altos executivos com o escopo restrito à tecnologia. Em função desse entendimento parcial, uma série de ações é tomada de forma equivocada, conforme exemplos citados por Sêmola (2014) e listados a seguir: atribuir a segurança da informação exclusivamente à área tecnológica; posicionar a área de segurança da informação hierarquicamente abaixo da diretoria de TI, e ter esse posicionamento como definitivo; definir investimentos subestimados e limitados à abrangência da diretoria de TI; elaborar planos de ação orientados à reatividade; não perceber a interferência direta da segurança com o negócio; tratar as atividades como despesa e não como investimento; adotar ferramentas pontuais como medida paliativa; satisfazer-se com a sensação de segurança provocada por ações isoladas; não cultivar corporativamente a cultura da gestão de riscos; e tratar a segurança como um projeto e não como um processo. Conscientização do corpo executivo TÍTULO DO DOCUMENTO16 Partindo-se da premissa que a segurança da informação deve se instalar no âmbito de toda a organização, a boa prática determina que a sua implementação deva ocorrer sensibilizando e mobilizando primeiro os altos executivos para que eles possam apoiar as ações necessárias, não só com a determinação para que todos os colaboradores possam segui-las, como também para a aprovação de orçamento do projeto. Conscientizar os altos executivos para aprovarem um projeto de segurança da informação não é simples. Eles estão acostumados com situações nas quais o dinheiro que é investido irá retornar em um determinado espaço de tempo e, em seguida, alguma vantagem financeira direta ou indireta poderá ser observada. Caberá ao profissional responsável pela segurança da informação, na empresa, mostrar aos altos executivos os riscos potenciais da empresa e os prejuízos que poderão ocorrer como, por exemplo, se a empresa for invadida por um hacker e o ambiente de TI tiver que ficar indisponível gerando prejuízo financeiro; se o site for pichado e gerar prejuízo de imagem; ou ainda, se a empresa pegar fogo e não existir um plano de continuidade e negócio. Retorno sobre o investimento O return on investment (ROI) é a relação que existe entre a quantidade de dinheiro ganho (ou perdido) através de um investimento e o montante de dinheiro que foi investido. Com este recurso pode-se criar alguns cenários e justificar para os altos executivos um projeto de segurança da informação corporativa. Um exemplo é a contabilização anual de contaminação de vírus que infectaram os computadores dos colaboradores. O tempo perdido com a paralização, as transações que deixaram de ocorrer e o custo homem/hora desses profissionais e dos que atuarão para normalizar a situação mostram o impacto no negócio. TÍTULO DO DOCUMENTO 17 Posicionamento hierárquico Os muitos desafios que estão associados à segurança da informação fazem com que a estrutura hierárquica da empresa tenha que ser reorganizada. A estratégia da segurança da informação necessita estar alinhada com a estratégia da empresa, sendo necessária uma visão corporativa que possa contribuir com o retorno sobre o investimento. Para facilitar que isso possa ocorrer, autonomia e posicionamento estratégico tornam-se condições básicas para se estabelecer uma estrutura de segurança com um processo dinâmico e de qualidade. Gerência de mudanças Uma mudança significa a alteração de uma situação anterior. As mudanças influenciam nos riscos operacionais da organização e pressupõem uma análise detalhada sobre o surgimento de novos riscos ou do aumento dos que existem. Mais uma vez, a segurança se justifica como um processo corporativo com abrangência sobre as mudanças físicas, tecnológicas, contextuais e humanas e com capacidade de dinamismo em suas reações. Modelo de gestão corporativa de segurança Para implementar a segurança da informação, na empresa, deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa. Sêmola (2014) sugere um modelo de gestão corporativo de segurança da informação com as seguintes etapas: (1) comitê corporativo de segurança da informação; (2) mapeamento de segurança; (3) estratégia de segurança; (4) planejamento de segurança; (5) implementação de segurança; (6) administração de segurança; e (7) segurança na cadeia produtiva. TÍTULO DO DOCUMENTO 18 O modelo de gestão não garante o sucesso. Soma-se a ele uma equipe de especialistas com boa formação teórica, com experiência no assunto e que se mantenha atualizada. Agregando valor ao negócio O modelo de gestão corporativa de segurança da informação cria diferencial para a empresa, trazendo benefícios, como por exemplo: valorização das ações da empresa; fortalecimento da imagem da empresa; aumento da disponibilidade operacional; redução dos custos provocados por ameaças que exploram as falhas de segurança; e redução dos riscos operacionais. O negócio sempre deve ser o foco principal da segurança da informação. Aula 4: Título da aula: SI nos processos críticos de negócio 1. Introdução Quais são os processos críticos para o negócio? Esta é uma pergunta fácil de entender e difícil de responder. No entanto, esta resposta é importante para a implementação da gestão de segurança corporativa na empresa. Então, o que fazer? A orientação das boas práticas sugere que comece identificando a missão da empresa, a visão e seus objetivos estratégicos. Em seguida, deve ser feito o processo de mapeamento dos componentes organizacionais que são as áreas (divisões, departamentos, setores etc.), seus processos de negócio e seus principais ativos de informação. Ao final de todo esse trabalho, o resultado pode ser representado de forma consolidada em uma matriz que mostre o estudo de impacto e o estudo de prioridade. 2. Mapeamento dos componentes organizacionais A área, o processo de negócio e o ativo de informação compõem os itens organizacionais e são utilizados para definir a abrangência da segurança da TÍTULO DO DOCUMENTO 19 informação na empresa. Esses componentes devem ser identificados e mapeados durante a realização do projeto de segurança da informação corporativa. O resultado desse trabalho permitirá que se faça uma análise cujo resultado servirá de base para diagnosticar a situação atual da segurança da informação, na empresa, e também para endereçar o escopo da gestão de riscos. 3. Mapeamento das áreas Como exemplo de mapeamento das áreas, será utilizada a proposta de Manoel (2014). Nela, são definidas as seguintes áreas: área comercial; área financeira; área de produção; área internacional; e área jurídica. Após o mapeamento das áreas, será necessário identificar os respectivos responsáveis e a relevância de cada área, levando em consideração os objetivos estratégicos da empresa. Se a relevância fosse obtida simplesmente perguntando ao responsável da área, provavelmente ele iria classificar a sua área como a de maior relevância para a empresa. Para mostrar um exemplo de relevância de cada área, mais uma vez será utilizada a proposta de Manoel (2014). A classificação deve ser feita de forma independente por alguém que conheça o processo e a sua importância para o negócio da empresa. A tabela 1 mostra um exemplo de classificação de relevância. Tabela 1: Exemplo de classificação de relevância. Fonte: Manoel (2014), 1. ed., p. 51. Relevância da área Valor Auxílio para interpretação Muito baixa 1 A interrupção das operações da área causa impactos irrelevantes para a organização. Baixa 2 A interrupção das operações da área causa impactos apenas TÍTULO DO DOCUMENTO 20 consideráveis para a organização. Média 3 A interrupção das operações da área causa impactos parcialmente significativos para a organização. Alta 4 A interrupção das operações da área causa impactos muito significativos para a organização. Muito alta 5 A interrupção das operações da área causa impactos incalculáveis, podendo comprometer a continuidade da organização. A tabela 2 mostra um exemplo de análise de relevância das áreas da empresa. Tabela 2: Exemplo de análise de relevância. Fonte: Manoel (2014), 1. ed., p. 51. Nome da área Responsável Relevância Área comercial Diretor Carlos Muito alta Área financeira Diretor Marcus Muito alta Área de produção Diretor Eduardo Muito altaÁrea internacional Diretor Pedro Média Área jurídica Diretor Jarbas Muito baixa 4. Mapeamento dos processos de negócio Seguindo a mesma lógica que foi aplicada para se identificar a relevância de cada área de negócio, agora serão identificados os principais processos dessas áreas e, em seguida, serão classificados segundo a relevância de cada um. A figura 4 mostra um exemplo com unidades de medida consideradas úteis para identificar processos de negócio críticos. TÍTULO DO DOCUMENTO 21 Análise de relevância Para identificar a relevância de cada processo será utilizada a tabela 3, tendo como referência para análise a figura 4. Tabela 3: Escalas para classificação da relevância dos processos de negócio. Fonte: Sêmola (2014), 2. ed., p.90. Escala Auxílio de interpretação 1 Não consideráv el Envolve o atingimento gerenciável do processo de negócio podendo provocar impactos praticamente irrelevantes. 2 Relevante Envolve o atingimento gerenciável do processo de negócio podendo provocar impactos apenas consideráveis. 3 Importante Envolve o atingimento gerenciável do processo de negócio podendo provocar impactos parcialmente significativos. 4 Crítico Envolve o atingimento gerenciável do processo de negócio podendo provocar impactos muito significativos. 5 Vital Envolve o atingimento gerenciável do processo de negócio podendo provocar impactos incalculáveis na recuperação e na continuidade do negócio. TÍTULO DO DOCUMENTO 22 Segue tabela 4 com um exemplo de classificação de relevância de processos, utilizando a tabela 3 como referência. Tabela 4: Exemplo de análise de escala de relevância do processo da área da organização. Fonte: Manoel (2014), 1. ed., p. 52. Nome do processo Área Responsável Relevância Vendas Comercial Diretor Carlos 5 Vital Faturamento Financeira Diretor Marcus 5 Vital Engenharia Produção Diretor Eduardo 5 Vital Exportação Internacional Diretor Pedro 3 Importante Contratos Jurídica Diretor Jarbas 1 Não considerável Análise de sensibilidade A tabela 5 mostra a análise de sensibilidade em cada um dos processos mapeados, sendo esta técnica um detalhamento importante para auxiliar no encaminhamento da solução, que irá suprir as necessidades da segurança da informação na empresa. Esse estudo deve ocorrer através de entrevistas isoladas com o principal gestor de cada processo. Tabela 5: Exemplo de análise de sensibilidade dos processos de negócio. Fonte: Adaptado de Sêmola (2014), 2. ed., p. 91. TÍTULO DO DOCUMENTO 23 Análise GUT Na sequência, deve ser feita a análise GUT reunindo-se individualmente com o principal gestor de cada um dos processos críticos de negócio. A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a gravidade (G) do problema; a urgência (U) de resolução do problema; e a tendência (T) do problema piorar com mais rapidez ou de forma mais lenta. A prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada dimensão (G, U, T), esses valores de classificação são multiplicados (G x U x T), gerando o GUT final. A utilização das cores verde, amarela e vermelha facilita a visualização por faixas de prioridade. Como exemplo, a faixa de 1 a 40 pode ser pintada de verde, a faixa de 45 a 80 pintada de amarela e a faixa de 100 a 125 pintada de vermelha. A tabela 6 mostra a escala de classificação da prioridade utilizando a matriz GUT. Tabela 6: Escala de prioridades utilizando a matriz GUT. Fonte: Adaptado de Sêmola (2014), 2. ed., p. 93. TÍTULO DO DOCUMENTO 24 A tabela 7 mostra um exemplo de aplicação da matriz GUT nos processos estudados. Tabela 7: Exemplo de classificação de prioridade utilizando a matriz GUT. Fonte: Adaptado de Manoel (2014), 1. ed., p. 54. Classificação da prioridade utilizando a matriz GUT Nome do processo Gravidade Urgência Tendência GUT (G x U x T) Vendas 5 5 5 125 Faturamento 5 5 5 125 Engenharia 5 5 5 125 Exportação 3 3 3 27 Contratos 1 1 1 1 Consolidação dos resultados De posse das informações que foram obtidas, é hora de planejar as ações a partir da consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um mapa de relacionamento e dependência entre os processos de negócio, as aplicações e a infraestrutura física, tecnológica e humana. Em outras palavras, devem ser estudados todos os ativos que sustentam os processos de negócio. Serão entrevistados os gestores capacitados para ajudar a levantar números e informações topológicas, físicas e tecnológicas, ligadas aos processos de negócio. TÍTULO DO DOCUMENTO 25 Com tudo inventariado, passa-se à elaboração de um Plano Diretor de Segurança da Informação, estabelecendo as diretrizes básicas que nortearão as atividades e os projetos necessários que serão distribuídos ao longo do tempo e de acordo com a prioridade relacionada com a relevância de cada processo de negócio. Aula 5: Título da aula: Modelo de Governança de SI 1. Introdução De uma maneira simples, governar a segurança da informação é fazer gestão da Gestão da Segurança da Informação. E, para dar suporte a este conhecimento foi publicada, em 2013, a norma ABNT NBR ISO/IEC 27014:2013 — Tecnologia da Informação — Técnicas de Segurança — Governança de Segurança da Informação. Essa norma “fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização”. (ABNT, 2015) O modelo de Governança de Segurança da Informação (GSI) propõe uma orientação de direcionamento de como e quem deve implantar uma GSI que possa ser eficaz, transparente, alinhada com o negócio e que considere a evolução dos objetivos estratégicos da organização e as tendências de mercado. Objetivos A norma ABNT NBR ISO/IEC 27014:2013 possui os seguintes objetivos: • Alinhamento entre os objetivos e a estratégia da segurança da informação com os objetivos e a estratégia do negócio; • Fazer com que os riscos relacionados com a informação possam ser encaminhados para as pessoas responsáveis. TÍTULO DO DOCUMENTO 26 Resultados esperados De acordo com a norma ABNT NBR ISO/IEC 27014:2013, é desejado que a implantação de uma GSI eficiente e eficaz possua os seguintes resultados: (1) alta direção com visibilidade sobre o contexto da segurança da informação; (2) rápida abordagem para tomada de decisões sobre os riscos da informação; (3) investimentos eficientes e eficazes em segurança da informação; e (4) conformidade com requisitos externos (legais; regulamentares e contratuais). Princípios De acordo com a ABNT NBR ISO/IEC 27014:2013, existem seis princípios orientadores da GSI. Trata-se de declarações de alto nível que definem como a segurança da informação será utilizada no negócio da organização. São eles: • P1: Estabelecer a segurança da informação em toda a organização; • P2: Adotar uma abordagem baseada em riscos; • P3: Estabelecer a direção de decisões de investimento; • P4: Assegurar conformidade com os requisitos internos e externos;• P5: Promover um ambiente positivo de segurança; • P6: Analisar criticamente o desempenho em relação aos resultados de negócios. 2. Primeiros passos para a GSI A primeira providência a ser tomada para estabelecer um modelo de GSI na empresa é convencer a alta direção dessa necessidade para que possa se comprometer com o sucesso do empreendimento. A implementação de um TÍTULO DO DOCUMENTO 27 modelo de GSI na empresa deve ser tratada como um projeto, estabelecendo início e fim a partir de um planejamento. Obtendo-se a aprovação e o comprometimento da alta direção, deve-se nomear um responsável que será cobrado pelos resultados. Uma das opções é o Chief Information Security Officer (CISO) — Chefe de Segurança da Informação —, cuja função deve estar preferencialmente subordinada ao presidente da empresa. Como próximo passo, deve-se definir o que é GSI para a organização, conforme citado em Manoel (2014): “A GSI é representada por um conjunto de estruturas e de processos que visa a garantir a direção, a avaliação, a monitoração e a comunicação das atividades da segurança da informação, para suportar os objetivos estratégicos da organização, adicionando valor aos serviços entregues, balanceando os riscos, viabilizando o retorno sobre os investimentos em segurança e garantindo a continuidade do negócio”. Como regra geral, a GSI deve buscar o alinhamento da segurança da informação com os objetivos estratégicos da empresa, de forma que possa contribuir para o sucesso do negócio. Um dos caminhos para esta prática é conhecer o planejamento estratégico da empresa e os seus principais objetivos é entrevistar a alta direção. Também é uma boa prática para esta etapa, utilizar técnicas como o Balanced Scoredcard (BSC) — direcionar o planejamento estratégico, e SWOT — analisar cenários, a partir de forças, fraquezas, oportunidades e ameaças. TÍTULO DO DOCUMENTO 28 Como produto final deve ser elaborado um documento que pode ser identificado como “Requisitos de Segurança da Informação”. Comitê Corporativo de Segurança da Informação Como um dos fatores críticos de sucesso, deve-se organizar uma equipe para elaborar diretrizes, tomar decisões estratégicas e deliberar sobre aspectos que necessitam do envolvimento da alta direção. Para isso, esse comitê deve ter um posicionamento na estrutura organizacional compatível com as atribuições que lhes são designadas. Comitês Interdepartamentais de Segurança da Informação Comitês com abrangência menor, orientados pelo Comitê Corporativo de Segurança da Informação. Suas responsabilidades abrangem a medição de resultados de seus ambientes específicos, informar sobre novas necessidades e também sobre situações que possam expor a informação. 3. Modelo de GSI A figura 5 mostra o modelo de Governança da Segurança da Informação proposto pela norma ABNT NBR ISO/IEC 27014:2013. TÍTULO DO DOCUMENTO 29 Processo: avaliação Neste processo, deve ser feita uma avaliação para verificar se os objetivos de segurança da informação foram atingidos, conforme os indicadores propostos durante a implantação do GSI. Processo: direção Processo que deve fornecer o direcionamento sobre os objetivos da segurança da informação, tais como: investimentos em recursos; aprovação de políticas de segurança da informação; aprovação do plano de gestão de riscos; e aprovação das estratégias e dos objetivos da segurança da informação. Processo: monitoração Neste processo, deve ser feita uma validação da eficiência, eficácia e evolução dos objetivos da segurança da informação, considerando o seu desempenho e a agregação de valor ao negócio. TÍTULO DO DOCUMENTO 30 Processo: comunicação Neste processo, são realizadas as trocas de informação com as partes interessadas, considerando os objetivos da segurança da informação e também as ações pertinentes que foram implantadas. Processo: garantia Trata-se de um processo que é planejado pelo Comitê Corporativo de Segurança da Informação e que deve ser executado por uma auditoria externa à organização. Posicionamento estratégico da GSI A figura 6 mostra que a GSI deve se posicionar na área de gestão da empresa, respondendo diretamente ao presidente. Framework para o modelo de GSI Uma proposta de framework para a GSI é a utilização do COBIT 5, considerando que ele já é utilizado por muitos profissionais como base da TÍTULO DO DOCUMENTO 31 Governança de Tecnologia da Informação e que possui flexibilidade com outras normas e metodologias. Como a Governança de Tecnologia da Informação e a GSI possuem relacionamento e pontos de interseção; e também, pelo fato do modelo do COBIT 5 ser genérico o bastante para representar todos os processos encontrados nas funções de TI, uma boa prática é utilizar o COBIT 5 com a adaptação necessária para os processos de segurança da informação. Ele deve servir como padronização para guiar a área de segurança da informação e sua evolução mantendo o alinhamento com o negócio. Aula 6: Título da aula: Modelo de Gestão de SI 1. Introdução A palavra controle é representativa para resumir a questão da segurança da informação. O controle remete a possibilidades de autorizar ou bloquear acessos; inibir tentativas de ataque ao roteador; não fazer descarte de material crítico sem o devido cuidado; impedir tentativas de sabotagem e fraude; reagir em tempo hábil às quebras de segurança; mensurar prejuízos originados da quebra de segurança etc. O controle não significa necessariamente o bloqueio. Até porque o bloqueio pode criar um engessamento com proporções prejudiciais ao negócio da empresa. Neste sentido, a inteligência do controle está exatamente na equação que protege a informação sem prejudicar a rotina de trabalho. Embora muitas funções da estrutura organizacional se repitam nas empresas, ainda assim, cada empresa é única. As informações em cada uma delas possuem importâncias e valores distintos, transpassando vários ambientes para sustentar os processos de negócio. Assim, considerando que as diferenças existem entre empresas e ainda que, mesmo em uma única empresa informações distintas podem necessitar de proteções distintas, torna-se interessante identificar os perímetros físicos, tecnológicos e TÍTULO DO DOCUMENTO 32 humanos de cada empresa para que se possa proteger cada um deles com o investimento ideal para equilibrar a segurança da informação em proporções adequadas a cada necessidade. Esta solução viabiliza a redução de riscos e aumenta a segurança nas transações de negócio sem que a burocracia de segurança possa prejudicá-las. Há necessidade de se estabelecer um modelo de gestão de segurança da informação (GSI) que possa se adequar aos atuais e futuros desafios de cada empresa. Uma opção é a utilização do modelo de organização proposto pela ABNT NBR ISO/IEC 27001:2013 — Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Essa norma “especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.”. (ABNT, 2015) A norma está baseada no modelo PDCA, possuindo as seguintes fases: Plan (P) —Planejar; Do (D) — Fazer; Check (C) — Checar; e Act (A) – Agir. 2. Fases PDCA A figura 7 mostra o modelo PCCA aplicado nos processos do modelo do Sistema de Gestão de Segurança da Informação (SGSI). TÍTULO DO DOCUMENTO 33 Fase: Plan (P) — Planejar Esta fase abrange todo o ciclo de vida da informação em um SGSI. Trata de “estabelecer política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização”. (ABNT NBR ISO/IEC 27001:2013) Fase: Do (D) — Fazer Esta é para “implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) Fase: Check (C) — Checar Fase para monitorar e analisar criticamente o SGSI. Trata de “avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC 27001:2013) Fase: Act (A) — Agir Figura 7: Modelo PDCA aplicado aos processos do SGSI Fonte: ABNT NBR ISO/IEC 27001:2013 TÍTULO DO DOCUMENTO 34 Fase para manter e melhorar o SGSI. Trata de “executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI”. (ABNT NBR ISO/IEC 27001:2013) Atividades do PDCA Sêmola (2014) propõe as seguintes atividades para cada fase do PDCA, representadas na tabela 8: Tabela 8: Atividades do PDCA, segundo Sêmola (2014). Fonte: Próprio autor. Fase Atividade Descrição da atividade Plan (P) — Planejar Plano Diretor de Segurança (PDS) Aponta o caminho e tudo o que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado. Plano de Continuidade de Negócios (PCN) Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário. Política de Segurança da Informação (PSI) Escrita para orientar e apoiar a direção da segurança da informação, de acordo com os requisitos de negócio e com as leis e as regulamentações inerentes. Mantendo-se as proporções, a PSI está para a empresa assim como a Constituição Federal está para o país. Deve ser aprovada pela TÍTULO DO DOCUMENTO 35 administração, publicada e comunicada aos colaboradores. Do (D) — Fazer Implementação de controles de segurança Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. Treinamento e sensibilização em segurança Forma uma cultura de segurança para integrar o dia a dia dos funcionários e colaboradores em geral, sendo percebida como instrumento de autoproteção. Check (C) — Checar Análise de riscos Realiza um diagnóstico da situação atual de segurança da empresa, considerando o negócio, o mapeamento dos processos de negócio e o relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de segurança. Teste de invasão Simula tentativas de acesso indevido e invasão a partir de pontos distintos. O teste de invasão costuma ser classificado de quatro maneiras: interno — analista dentro da empresa alvo; externo — analista fora da empresa alvo; cego — ausência de informações privilegiadas para subsidiar o analista; e não cego — presença de informações privilegiadas para subsidiar o analista. Act (A) — Agir Equipe para resposta a Cuida para que as fragilidades e os eventos relacionados à segurança da TÍTULO DO DOCUMENTO 36 incidentes informação possam ser tratados em tempo hábil. Administração e monitoração da segurança Administração com controles adequados e utilizando índices para o monitoramento. Risco de conformidade “Cuidado para não acreditar que, por estar conforme ou mesmo certificada em uma norma, sua empresa está segura”. (Sêmola, 2014) “Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) Aula 7: Título da aula: Cultura em Segurança da Informação 1. Introdução Será que é melhor reconhecer a Política de Segurança da Informação (PSI) da empresa e, eventualmente, infringir de forma consciente uma de suas diretrizes ou é melhor fazer isso sem o reconhecimento da tal política? Provavelmente, a maioria dos trabalhadores deve optar por conhecer a PSI. É melhor fazer errado conhecendo o certo do que fazer errado porque não se conhece o certo. A empresa se vê na obrigação de fazer uma imersão com todos os funcionários novos, para que possam ser apresentados aos limites Figura 8: Fluxo das atividades do PDCA Fonte: Sêmola (2014), 2ª ed., p.83. TÍTULO DO DOCUMENTO 37 geográficos e aos principais recursos físicos, tecnológicos e humanos. Além disso, nessa oportunidade, também costuma disponibilizar para esses funcionários os principais documentos que servem de orientação no dia a dia, como por exemplo, o Código de Conduta e a Política de Segurança da Informação. Após tudo isso exposto, o funcionário assina um documento que costuma ser chamado de Termo de Responsabilidade e Confidencialidade. A assinatura, nesse documento, ratifica que ele teve ciência das regras relacionadas com a segurança da informação que subsidiam a operação da empresa e os compromissos a serem assumidos com relação ao uso das informações da empresa, estejam elas contidas em sistemas de informação automatizados ou não. Além da assinatura do Termo de Responsabilidade e Confidencialidade, é importante que a empresa mantenha uma cultura de segurança da informação entre os funcionários e todos os colaboradores que representam pessoas físicas ou jurídicas, utilizando recursos que reforcem questões importantes para o Sistema de Gestão de Segurança da Informação (SGSI), como por exemplo, senhas seguras, mesa limpa, tela limpa, golpes virtuais e fraude eletrônica. A importância da segurança da informação deve ser mantida, através de treinamentos e de outros recursos, buscando a consciência dos trabalhadores e a relevância da segurança da informação contribuindo para alcançar os objetivos do negócio da empresa. 2. Cultura de segurança da informação Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. O fator humano talvez seja a questão mais importante a ser tratada em uma PSI. TÍTULO DO DOCUMENTO 38 Cuidar da conscientização em segurança da informação é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem- sucedida. A implantação de uma cultura em segurança da informação transformará um ambiente negligente em um ambiente vigilante. Significa criar um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. Existe uma série de recursos utilizados para implantação e manutenção da cultura de segurança da informação na empresa. A utilização desses recursosdeve embutir conceitos relacionados ao assunto e fazer parte de um calendário que permita: repetição, para não deixar esquecer; reforço, para fixar o conteúdo com mensagens complementares; e estímulo, com a utilização métodos variados para não dispersar a atenção. Classificação da informação É importante que a empresa defina um nível de proteção adequado para cada tipo de informação e que isso seja disseminado. A norma ABNT NBR ISO/IEC 27002:2013 recomenda que a informação seja classificada levando em consideração o seu valor, os requisitos legais, a sensibilidade e a criticidade para a organização. Em geral, a classificação da informação determina como essa informação será tratada e protegida. Cada empresa deve estabelecer a quantidade de níveis que considera adequada. Como exemplo, é mostrada uma classificação com quatro níveis: informação confidencial — representando o mais alto nível de confidencialidade da informação; informação restrita — representando um nível médio de confidencialidade; informação de uso interno — representando o mais baixo nível de confidencialidade; e informação pública — com acesso disponível para todos. TÍTULO DO DOCUMENTO 39 Ciclo de vida da informação No estabelecimento da cultura de segurança da informação, todos devem saber que a informação possui um ciclo de vida composto por quatro momentos: (1) manuseio — onde a informação é criada e manipulada; (2) armazenamento — onde a informação é armazenada; (3) transporte — onde a informação é transportada; e (4) descarte — onde a informação é descartada. Barreiras da segurança da informação Para a cultura de segurança da informação também é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Sêmola (2014) define as seguintes barreiras: (1) desencorajar — utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança, como por exemplo, uma câmera de vídeo, ainda que falsa; (2) dificultar — controles para dificultar o acesso indevido, como por exemplo, roletas de acesso, senhas e biometria; (3) discriminar — recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões, como por exemplo, os acessos aos módulos de um ERP; (4) detectar — recursos para alertar os gestores de segurança na detecção de situações de risco, como por exemplo, uma tentativa de invasão; (5) deter — impedir que a ameaça atinja os ativos que suportam o negócio, como por exemplo, bloqueio de acessos físicos e lógicos; e (6) diagnosticar — baseada em análise de riscos físicos, tecnológicos e humanos e orientada aos processos de negócio da empresa, representa a continuidade do processo de gestão de segurança da informação criando uma ligação cíclica e contínua com a primeira barreira. Recursos de apoio à cultura em segurança da informação TÍTULO DO DOCUMENTO 40 As pessoas devem ser treinadas e conscientizadas porque é nelas que começa e termina a segurança. Basta que uma não esteja preparada para que o risco relacionado com a segurança da informação aumente. De acordo com a norma ABNT NBR ISO/IEC 27001:2013, “Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser definidos e documentados de acordo com a política de segurança da informação da organização”. O entendimento das responsabilidades de cada um minimiza o risco do mau uso dos recursos. Todos, na empresa, devem ter conhecimento e consciência sobre o valor da informação que dispõem e manipulam independente dela ser pessoal ou institucional. O treinamento e a conscientização em segurança da informação devem ter o objetivo de influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de informações da empresa. Existem vários recursos de apoio para disseminação da cultura em segurança da informação, na empresa, conforme exemplos citados por Sêmola (2014): • Seminários — abertos para compartilhar a percepção dos riscos associados às atividades da empresa, os impactos potenciais no negócio e o comprometimento dos processos críticos se alguma ameaça se concretizar. • Campanha de divulgação — divulgar a PSI de forma incansável para que suas diretrizes sejam do conhecimento de todos. Para comunicar padrões, critérios e instruções operacionais, é uma boa prática a utilização de cartazes, jogos, peças promocionais, protetores de tela, quadro de avisos, contracheque, e-mails informativos, e-mails de alerta etc. • Carta do presidente — encaminhada a cada funcionário para dar um caráter formal a PSI. • Termo de responsabilidade e confidencialidade — define as responsabilidades relacionadas à proteção das informações, formalizando o compromisso e o entendimento de cada funcionário e de outros profissionais que vierem a assiná-lo. TÍTULO DO DOCUMENTO 41 • Cursos de capacitação e certificação — existem perfis profissionais dentro da empresa que podem necessitar de mais domínio sobre os conceitos de segurança da informação, como por exemplo, os administradores de rede para reagir a situações de risco. Nesses casos, onde existe uma necessidade de mais aprofundamento no assunto, recomenda-se uma capacitação formal através de cursos especializados, tendo a certificação como instrumento da respectiva competência adquirida. O processo contínuo de capacitação e de sensibilização das pessoas é que vai determinar o preparo para o enfrentamento de novas situações de risco. Aula 8: Título da aula: Saindo do quadrado 1. Introdução Já foi o tempo em que a preocupação com segurança da informação se limitava exclusivamente a quatro paredes. Isso foi na época do início do processamento de dados, quando a instalação física da tecnologia da informação se chamava Centro de Processamento de Dados (CPD). Ainda não existiam redes de comunicação e nem internet, tornando assim a segurança da informação bastante facilitada. O tempo passou e a tecnologia evoluiu. A informação passou a poder transitar facilmente através de redes de comunicação; surgiu a internet, a mobilidade com BYOD, a computação em nuvem (cloud computing), as mídias sociais e o conceito de big data. A informação deixou de estar necessariamente armazenada na própria empresa e a contratação de serviços de terceiros para área de TI aumentou. Toda essa transformação influenciou diretamente a segurança da informação na empresa, demandando mais cuidados no seu dia a dia. TÍTULO DO DOCUMENTO 42 2. Empresas terceirizadas e segurança da informação As empresas costumam terceirizar sempre que, por algum motivo, não compensar para ela desenvolver determinada atividade internamente. Segundo Romanoschi (1994), “terceirização é a passagem de atividades e funções específicas a terceiros especializados”. Esta prática vem se tornando cada vez mais comum porque, nos últimos anos, as organizações vêm concentrando seus esforços na sua atividade principal, ou seja, no seu core business. Apesar da impulsividade de alguns empresários, terceirizar pode ser um grande desastre se não for respaldado por um planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, fixando objetivos e definindo as melhores condições para atingi-los. Sempre que o assunto é a terceirização devem ser considerados dois atores principais: o fornecedor — provedor do serviço; e o cliente — tomador do serviço. Cada um desses atores possui seus interesses particularesrelacionados com a transação que está sendo realizada. A busca do equilíbrio entre os interesses das partes é que irá determinar o sucesso do contrato e do negócio. Dado a sua complexidade, o cliente que busca terceirizar a área de TI deve se instruir antecipadamente sobre o assunto para evitar fracassos e prejuízos muitas vezes irrecuperáveis. Por que terceirizar? A resposta mais direta é a concentração da empresa na sua atividade principal — core business. Como consequência, aparecem justificativas complementares, como a redução de custos; o melhor controle dos serviços; o retorno do investimento; os conhecimentos e as habilidades de especialistas; e a garantia de qualidade. TÍTULO DO DOCUMENTO 43 O que terceirizar? O cliente deve ter clareza do que será terceirizado e da importância em manter, na empresa, o conhecimento gerado por terceiros. Um exemplo é quando o cliente terceiriza a sua área de desenvolvimento e não se preocupa em manter algum funcionário de sua equipe acompanhando o que está sendo feito pelo provedor e exigindo que se mantenha nas suas instalações uma documentação detalhada e atualizada. Caso isto não ocorra, na renovação do contrato, todas as informações estarão nas mãos do provedor e o cliente estará refém, tendendo a pagar o que for cobrado. Como terceirizar? A terceirização não pode ser confundida com serviços por tempo predeterminado e de curta duração, como por exemplo, a contratação de uma empresa para realizar a instalação de um cabeamento de rede ou ainda, para desenvolver um determinado aplicativo. A terceirização não é ocasional e por tempo reduzido. É uma boa prática alocar uma equipe de trabalho qualificada para realizar esse estudo. Quanto custa terceirizar? O resultado da terceirização é medido a médio e em longo prazo. A escolha do provedor não deve ser feita exclusivamente pelo critério de custo mais baixo. Além disso, é indispensável a capacidade do provedor poder atender o cliente conforme estabelecido em contrato. Também deve existir atenção para alguns riscos de terceirização como: perda do controle gerencial; problemas de comunicação entre o cliente e o provedor de serviços; e, principalmente, ameaça à segurança das informações. Quais cuidados devem ser tomados com a segurança da informação? TÍTULO DO DOCUMENTO 44 O contrato de terceirização da área de TI, seja ele total ou parcial, implica na possibilidade de acesso às informações do cliente. É uma boa prática a existência de cláusulas contratuais com implicações pecuniárias, para definir as condições nas quais as informações do cliente poderão ser acessadas, bem como o comprometimento do provedor em manter a confidencialidade e a responsabilidade durante a utilização dessas informações. Outra boa prática contratual é deixar claro que as soluções desenvolvidas por solicitação do cliente pertencem ao cliente e a ele devem ser entregues, incluindo a documentação e o código fonte, quando for o caso. Além do contrato, deve ser definido um perímetro físico juntamente com um perfil de acesso que limitem o ingresso dos representantes do provedor unicamente aos locais e às informações que se fizerem necessárias para a realização do trabalho. 3. Outras preocupações com segurança da informação A percepção cada vez maior da área de TI poder agregar valor ao negócio associada com a possibilidade de uso de novos recursos e serviços de TI, nas organizações, transformando positivamente a estrutura da área de TI e o seu relacionamento com a área de negócio. Como consequência do uso intensivo desses novos recursos e serviços da área de TI, surge a necessidade de aperfeiçoamento da segurança da informação em cada um deles. Computação em nuvem (cloud computing) Computação em nuvem ou cloud computing foi definida pelo National Institute of Standard and Technology — NIST —, em 2011, como: “um modelo para permitir o acesso conveniente, sob demanda, a uma rede TÍTULO DO DOCUMENTO 45 com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. A contratação de um provedor de serviço em nuvem — Cloud Service Provider (CSP) deve ser realizada através de critérios de escolha que inclua avaliação in loco, uma infraestrutura atendendo aos padrões de segurança da informação (ISO 27001) e uma equipe de especialistas certificados e com formação diferenciada. Segundo Harada, citado por Fernandes; Abreu (2014, p. 551), um estudo realizado em 316 empresas detectou uma série de riscos de segurança da informação, conforme exemplos mostrados a seguir: desafios de conformidade; perda de reputação da empresa; intrusão maliciosa ou papéis com altos privilégios de acesso; intimação; encerramento do serviço do provedor (CSP); aquisição do CSP por um concorrente; exaustão de recursos; interceptação de dados; perda de dados; mudanças de jurisdição do CSP com requisitos legais diferentes; falha nas condições de licenciamento; roubo de equipamentos nas instalações do CSP e desastres naturais. Sêmola (2014) cita que para minimizar os riscos algumas empresas adotam estruturas mistas, optando por hospedar, na nuvem de um CSP, somente a informação classificada internamente como pública ou de baixa criticidade ou relevância para a organização e mantendo o restante na infraestrutura interna. Em contrapartida, apesar de interessante em termos de segurança, a estratégia tem a possibilidade de impactar negativamente o negócio porque as organizações estão geograficamente espalhadas, demandando flexibilidade e conveniência, conflitando com os altos custos de manter estrutura própria quando comparados com os custos dessa estrutura na nuvem. TÍTULO DO DOCUMENTO 46 Mobilidade e BYOD A tecnologia móvel está influenciando o comportamento humano do século XXI e se posicionando como base principal da revolução tecnológica que vem transformando as interações pessoais e corporativas. A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de Bring Your Own Device (BYOD). Este contexto influenciou a evolução das aplicações corporativas para irem em direção à mobilidade, gerando uma série de questionamentos relacionados com a construção da estratégia de desenvolvimento de aplicações móveis. Um desses questionamentos é como utilizar dispositivos móveis e manter a segurança da informação? O mapeamento de riscos relacionados com a utilização corporativa de dispositivos móveis aponta principalmente para: perda de controle de hardware, software e de suas atualizações; vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; dificuldade para recuperação de informações quando o funcionário se desliga da empresa e o equipamento é próprio; infecção por vírus; e aplicativos maliciosos. A mitigação de riscos é feita através de sistemas de controle de acesso à rede — Network Access Control (NAC). Sêmola (2014) explica que: “o uso de sistemas de NACpossibilita o provimento seguro de acesso a uma rede com fio ou sem fio a dispositivos que não se insiram no âmbito do que essa rede TÍTULO DO DOCUMENTO 47 considere ‘normal’, através do chamado guest networking, possibilitando identificar e aplicar uma política de segurança para todos os tipos de usuários e dispositivos de rede”. Sêmola (2014) também propõe, como alternativa para a segurança da informação, a combinação do uso do NAC com o uso de gerenciamento de dispositivos móveis Mobile Device Management (MDM), voltados, por exemplo, para a segurança de smartphones e tablets. Todas as ações tomadas para garantir a segurança da informação devem estar subsidiadas por uma Política de Segurança da Informação (PSI) que considere a existência de políticas específicas para o gerenciamento de dispositivos móveis, incluindo o BYOD. Mídias sociais As mídias sociais são espaços virtuais de interação entre pessoas. As interações, nesses espaços, passaram a influenciar bastante a decisão de compra dos consumidores, fato que acabou despertando o interesse das organizações e consequentemente fazendo com que elas passassem a considerar as mídias sociais presentes na internet nas suas estratégias de negócio. Dado o interesse das empresas utilizarem as mídias sociais como parte da estratégia do seu negócio, é importante que elas também coloquem em prática as estratégias para gerenciar os riscos resultantes desses novos canais de comunicação. Sêmola (2014) considera os seguintes riscos resultantes da utilização das mídias sociais: vazamento de informação; furto de identidade; dano à TÍTULO DO DOCUMENTO 48 imagem ou à reputação da empresa; e nos casos de ataques ou de software malicioso — malware —, perda de dados e perda de capacidade operacional. Sêmola (2104) sugere que: “O melhor a ser feito para reduzir esses riscos é tratá-los de forma preventiva, com a definição de uma política clara para o uso de mídias sociais, incluindo a definição de responsabilidades e de um código de conduta, reforçar a conscientização de empregados e executivos sobre o uso adequado de mídias sociais e o que deve ser compartilhado nessas redes, além de treinamento sobre navegação segura na internet”. Para reduzir os riscos é importante que os funcionários adotem uma postura preventiva; que a cultura de segurança da informação seja fortalecida; e que sejam aplicadas soluções técnicas, como forma de prevenção. Big data De acordo com Siewert citado por Fernandes; Abreu (2014), big data é: “Definido genericamente como a captura, o gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de TÍTULO DO DOCUMENTO 49 dados não contidos em registros típicos com campos que podem ser pesquisados”. O big data traz como principal característica o armazenamento de grandes volumes de dados que podem ser tratados mais rapidamente e com uma quantidade maior de recursos. O objetivo é possibilitar que essas informações possam ser analisadas mais rapidamente para auxiliar na tomada de decisões. Quando se pensa em segurança da informação, o big data apresenta benefícios e riscos. Pelo lado dos benefícios Sêmola (2014) explica que “a nova tecnologia traz consigo potencial significativo de aumento no poder de análise de dados, que pode melhorar a capacidade de detectar ataques cibernéticos e atividades maliciosas (...)”. Já pelo lado do risco, “(...) ainda não conseguimos entender completamente os riscos à privacidade e à segurança quando informações de cliente e de negócios estão sendo coletadas, combinadas, processadas e armazenadas em escalas e velocidades sem precedentes”. Adiciona-se ainda que mais dados e mais capacidade de análise desses dados possibilitam mais informação disponível e espalhada, exigindo mais trabalho para controlá-la e protegê-la. Prevenção, educação e controle formam os pilares para reduzir os riscos de segurança da informação no big data. Para a prevenção é importante que a informação esteja classificada e com política que defina o que pode ser compartilhado e com quem; que inclua aspectos de conformidade legal e regulatória; e que se considere os requisitos específicos de cada país. Na parte de educação, é importante mapear as deficiências técnicas dos profissionais e supri-las com treinamento. Na parte de controle, Sêmola (2014) sugere que “(...) o caminho mais provável é a migração da visão de segurança para um modelo de proteção data-centric (centrada em dados), que acompanha a informação em todas as fases de seu ciclo de vida”. E, para terminar, deve-se avaliar a aquisição ou o desenvolvimento de TÍTULO DO DOCUMENTO 50 softwares para serem utilizados como ferramentas de apoio à gestão de riscos. Os altos executivos das empresas vêm percebendo que cada vez se faz mais necessário tratar a segurança da informação como uma questão de risco para o negócio e não se limitar a um problema operacional de Tecnologia da Informação. Tais percepções estão... A Governança de Segurança de Informação necessita de uma forte comunicação e interação entre os altos executivos e os responsáveis pela implementação e operação do Sistema de Gestão de Segurança da Informação, fornecendo o direcionamento das iniciativ... Uma Governança de Segurança da Informação bem implementada permitirá que os altos executivos recebam dados relevantes sobre as atividades relacionadas com a segurança de informação dentro do contexto de negócio. Como consequência, decisões pertinentes... Segundo a norma ABNT NBR ISO/IEC 27014:2013, modelos de governança podem sobrepor-se. Cada modelo se junta a outros modelos para configurar os padrões que compõem a Governança Corporativa. A figura 2, por exemplo, mostra o relacionamento entre a Gover...