Baixe o app para aproveitar ainda mais
Prévia do material em texto
91 GESTÃO E ANÁLISE DE RISCOS Unidade III 5 GOVERNANÇA DOS RISCOS À SEGURANÇA DA INFORMAÇÃO A efetiva governança e gestão de riscos à segurança da informação passa pela compreensão de como é estruturado o sistema de gestão de segurança da informação (SGSI) dentro do ambiente corporativo para, assim, entender a importância que a análise e gestão de riscos e segurança da informação tem para os processos da segurança da informação como um todo. Segundo Campos (2006), a definição e o direcionamento do SGSI é o primeiro passo para uma governança eficaz. Isso exige necessariamente a compreensão dos riscos da organização. Definição de escopo Análise de risco Planejamento e tratamento do risco Figura 29 – Etapas do planejamento do sistema de segurança Após a conclusão desses processos, estará encerrada a fase de planejamento do SGSI. 5.1 Planejando o sistema de governança de riscos de segurança da informação O primeiro processo para atingir o objetivo de implantar um SGSI é a definição do escopo, sendo ideal, segundo a ABNT NBR ISO 27001 (2013), que esse escopo atinja toda a organização, mas, dependendo do porte da organização, isso não é possível num primeiro momento. Uma saída, segundo Campos (2006), é a implementação desse sistema de forma segregada por áreas ou domínios, o que facilita o trabalho e a implementação gradual. Um exemplo disso seria definir um escopo inicial envolvendo a área de tecnologia da informação e de recursos humanos. Quando o SGSI estiver totalmente implantado nessas áreas, o escopo pode ser ampliado e incluir, talvez, as áreas de produção e vendas. É importante lembrar que o escopo deve ser ampliado em uma crescente de abrangência, não abandonar a área anterior e concentrar-se apenas nas novas áreas definidas. 92 Unidade III Organização Vendas Produção Recursos humanos Tecnologia da informação Escopo final Escopo inicial Figura 30 – Definição do escopo de SGSI faseado A definição do escopo deve ser devidamente documentada durante todas as etapas, para, ao final, gerar documentação única do escopo do SGSI. É obrigatório que se reflita em toda a organização. Segundo Campos (2006), esse documento deve conter também o contexto estratégico da organização. Devem existir critérios para definir o escopo, a abordagem para a avaliação de risco e os critérios para tratamento do risco. Amparado nessas informações, deve ser estabelecido um processo para definir o escopo, ou seja, uma técnica que deverá ser devidamente identificada, documentada e declarada, registrando, assim, em forma de documento, o escopo SGSI. Para isso, são necessárias algumas observações: o primeiro passo é deixar bem claros os objetivos e a abrangência do SGSI, para que todos na organização os entendam e os compreendam, evitando possíveis desavenças futuras. É comum haver confusões sobre o que é realmente um SGSI, sua importância e seu impacto na organização, sendo, assim, declarado onde e sobre quais ativos da organização o sistema vai atuar. Uma das principais metodologias para identificar a melhor maneira de definir o escopo para o SGSI é realizar uma análise de cadeia de valor da organização. Lembrete O SGSI, juntamente a análise da cadeia de valor, auxilia a definição do próprio escopo da gestão e da análise de riscos à segurança da informação, bem como na priorização de tratamento dos riscos. Segundo Campos (2006), o objetivo de desenvolver um modelo de análise de cadeia de valor é compreender quais são as informações primordiais para cada parte da cadeia. Na figura seguinte, está 93 GESTÃO E ANÁLISE DE RISCOS disposto um exemplo adaptado presente na obra de Campos (2006), que demonstra, de forma simples, os principais passos ou etapas realizados por uma organização para a execução de suas atividades e para que os objetivos corporativos sejam atingidos de forma funcional. Esses passos ou etapas também podem ser chamados de macroprocessos. Compras Produção FinanceiroFornecedor Pedido de compra Remessa de material Necessidade de materiais Contas a pagar Nota fiscal de venda Figura 31 – Exemplo de cadeia de valor Nesse caso, temos os principais macroprocessos da organização: comprar, produzir e executar as operações financeiras. Esses processos são apenas ilustrativos do conceito, pois se sabe que há muitos outros processos organizacionais considerados primordiais a qualquer organização. Mas como a análise da cadeia de valor poderia ajudar na definição do escopo, ou seja, na definição da abrangência do SGSI? A resposta, segundo Campos (2006), vem da própria cadeia de valor: quando observada, podemos localizar quais são as informações que sustentam os macroprocessos. Dessa forma, é possível determinar quais as informações mais importantes ou quais processos são mais dependentes de informações. Isso ajudará a definir onde deve ser priorizada a implantação do SGSI. No exemplo apresentado na figura anterior, se fosse necessário escolher apenas uma área como escopo inicial do SGSI, a escolha mais lógica seria a área de compras. Esse é o processo que mais gera e consome informações, ou seja, é o que mais depende da segurança das informações e o que potencialmente sofreria os maiores impactos em casos de incidentes de segurança. Todavia existe algo a ser considerado sobre essas informações: as informações que sustentam os processos da organização estão devidamente amparadas por sistemas informatizados? Se a resposta for sim, então, talvez, o SGSI deva ser implantado primeiramente na área de tecnologia da informação, pois isso garantiria minimamente a confidencialidade, a integridade e a disponibilidade das informações que trafegam nesses sistemas de informação que sustentam os processos. Entretanto um fator ainda mais importante é definir o grau de relevância que cada um dos processos tem para o negócio da organização. Esse nível pode ser classificado de várias formas, mas uma sugestão está no quadro a seguir. 94 Unidade III Quadro 22 – Sugestão de matriz de relevância Relevância do processo Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 40). Observando os processos classificados, de alguma forma, fica mais fácil perceber quais precisam ser protegidos pelo SGSI de maneira hierarquizada, ou seja, quais devem essencialmente compor o escopo do sistema desde o início. Posteriormente, na fase de análise de risco, está a classificação que será de grande importância, pois poderá compor a fórmula de cálculo do risco de incidentes de segurança da informação. Se o risco considerar a relevância do processo, significa dizer que o tratamento de risco, de algum modo, atenderá primeiro ou de forma mais definitiva os processos mais relevantes. O que está de acordo com a ideia de potencializar o negócio da organização por meio de ações em segurança da informação. Desse modo, a análise da cadeia de valor pode contribuir para a decisão sobre qual é o escopo mais adequado para a implantação do SGSI. Segundo Campos (2006), outra importante contribuição da implantação do SGSI utilizando a análise da cadeia de valor está no melhor dimensionamento do custo-benefício. Sendo assim, uma análise adequada pode definir todos os benefícios tangíveis, ou seja, quantificáveis, e todos os custos previstos em um projeto de implantação do SGSI. Com essas informações iniciais, é possível elaborar um fluxo de investimento, ou seja, estabelecer qual será o gasto e o retorno mensal em um dado período. Então, calculando a soma de gastos e a soma de retornos financeiros no período, seria possível determinar em quanto tempo o projeto estaria pago (tempo de payback). Observação Payback é o período que um investimento leva para dar retorno à empresa. O conceito se refere ao tempo que a organização vai levar para fazer com que algum dinheiro aplicado retorne ao caixa. 95 GESTÃO E ANÁLISE DE RISCOS 40.000 20.000 0 -40.000 -20.000 -10.000 -5.000 Jan. Fev.Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov. Dez. Fluxo Saldo Figura 32 – Exemplo de fluxo de caixa e tempo de payback O exemplo da figura anterior é totalmente fictício a fim de demonstrar de forma lúdica como se comporta o fluxo de caixa em um projeto de implantação de um SGSI em uma organização. É possível perceber que existem dois valores relacionados: o primeiro, o fluxo de dinheiro e quanto se obtém de retorno a cada mês; o segundo, o saldo do projeto, considerando a soma de todos os investimentos e todos os retornos a cada mês. No exemplo apresentado, o projeto deixa de gerar custos a partir do mês de junho e, desde então, começa a gerar apenas resultados positivos ou retornos financeiros; mas, no exemplo, ele apenas consegue ser pago (payback) em dezembro, quando a soma dos retornos financeiros ultrapassa a soma dos investimentos realizados. Geralmente em projetos de desenvolvimento de novos produtos, por exemplo, a aplicação dos conceitos de retorno sobre investimento (ROI) e tempo de pagamento (payback) é facilmente realizada. Dessa forma, após todo o investimento no novo produto, ele passará a ser vendido, o que resulta em lucro. Sendo assim, o lucro apenas compensará se os investimentos efetuados derem o retorno esperado em um prazo razoável. No caso de projetos de implantação de um SGSI, há uma questão que apresenta algumas situações de complexidades adicionais, um tanto conturbadas. Isso ocorre porque não é uma tarefa simples definir de forma quantificada, considerando financeiramente, os benefícios da implantação do SGSI, ou seja, definir claramente quanto a organização vai lucrar em virtude do sistema implantado. Para algumas organizações que dependem da certificação ISO 27001 a fim de adentrarem um novo mercado ou para manter-se nele, é mais simples realizar o cálculo do retorno, basta entender o quanto se perde em novos negócios por não ter um SGSI implantado. Mas para a grande maioria das organizações, os resultados não podem ser fácil e diretamente relacionados ao faturamento, o que dificulta ainda mais o cálculo estimado de quanto o sistema representará de resultado financeiro. Essa mesma situação persegue outras implantações de mecanismos de qualidade, por exemplo, as ISOs 14000 e 9000. Outra forma de ver essa situação é tentar estimar os prejuízos financeiros em valores presentes causados por incidentes de segurança da informação na organização, quando o SGSI pode reduzir os índices de incidentes e, dessa forma, calcular quanto a organização deixará de gastar em função da 96 Unidade III implantação do sistema. A situação é que, por não ter o sistema implantado, as organizações, em geral, não fazem registro desses incidentes e, por isso, não conseguem calcular os prejuízos que causam. Isso pode dar margem à utilização de médias estatísticas de mercado, mas, de qualquer forma, a média de mercado pode ser muito diferente da situação de cada organização, pois cada organização tem a sua realidade individual. A questão é extremamente complexa e polêmica. Estudos são desenvolvidos para comprovar o retorno, todavia, se for possível implantar as ferramentas de análise de custo-benefício de um sistema de segurança da informação, deverá ser devidamente documentado no escopo do sistema. Segundo Campos (2006), a implantação do SGSI deve ser devidamente aprovada pela alta direção, inclusive sua parte financeira. Sendo assim, propostas de escopo para o SGSI devem possuir várias alternativas. Essas propostas terão custos de investimento diferentes e, por essa razão, benefícios tangíveis e intangíveis diferentes. O objetivo é possibilitar a análise das opções e a escolha consciente do escopo mais adequado para a organização. É importante ressaltar que o contexto estratégico pode auxiliar a definir qual é o escopo mais adequado como alvo para a implantação do SGSI. Dessa forma, se a estratégia da organização é fortemente dependente do lançamento de um novo produto no mercado, pode ser que o escopo mais adequado para o SGSI sejam todos os processos de criação, fabricação e venda desse produto, o que passaria por diversas áreas funcionais da organização. Outra possibilidade é que a estratégia seja fortemente dependente do relacionamento com o cliente. Nesse caso, o escopo mais adequado seriam as áreas funcionais relacionadas com o cliente, tais como as áreas de vendas, pós-vendas e assistência técnica. Segundo Campos (2006), é importante destacar que a definição do escopo do SGSI é uma decisão estratégica, pois determina o volume de investimento financeiro no projeto, e quantos e quais ativos de informação serão alvos do sistema. 5.2 Princípios da gestão de riscos Analisar os riscos de incidentes de segurança da informação é uma atividade fundamental e de extrema importância para a gestão de segurança da informação. A análise de risco permite identificar o nível de proteção que os ativos de informação de cada processo da organização precisam, possibilitando não apenas adicionar proteção em um nível adequado para o negócio, mas também acoplar de maneira inteligente os recursos da organização. A análise de risco é o coração do SGSI, pois sem ela seria impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas. Para Campos (2006), a gestão e análise de risco deve ser o primeiro passo. O objetivo é definir os resultados almejados e, por conseguinte, o que deverá ser feito. 97 GESTÃO E ANÁLISE DE RISCOS As equipes de segurança da informação menos experientes, sobretudo aquelas que fazem sua primeira análise de risco, tendem a querer produzir resultados em um curto espaço de tempo. Essa ansiedade pelos resultados imediatos pode limitar os esforços de definição de objetivos e de planejamento. Nesse caso, pode parecer clichê, mas fica difícil chegar a algum local quando não se sabe para onde se vai. Dessa forma, na definição do método de análise de risco, é fundamental ter em mente que existem duas categorias, ou métodos, de análise de risco: a qualitativa e a quantitativa. As duas envolvem cálculos, mas a qualitativa é a que utiliza cálculos simplificados e, também, menos precisos do ponto de vista financeiro. Observação É importante ressaltar que não é uma questão de escolha entre os métodos quantitativos ou qualitativos de análise de riscos à segurança da informação, e sim uma orientação conforme a modalidade de risco que está sendo analisada, pois ambas possuem benefícios e limitações. No quadro seguinte, podem-se comparar os dois modelos: Quadro 23 – Matriz comparativa das categorias de análise de riscos Quantitativo Qualitativo Resultados baseados em valores objetivos Resultados baseados em valores subjetivos Cálculos complexos Cálculos simples Valores financeiros são atribuídos ao risco Não há valoração do risco Grande tempo e esforço são necessários para atribuir as taxas de risco Menor trabalho para atribuir as taxas de risco Facilita o cálculo de custo/benefício Dificulta o cálculo de custo/benefício Fonte: Campos (2006, p. 45). Evidentemente que os dados desse quadro são uma parte das duas categorias. Como visto anteriormente, existem diversos outros pontos que devem ser considerados para a seleção da melhor metodologia de análise de risco. Segundo Campos (2006), existem dois pontos que defendem cada um dos métodos com argumentos convincentes. Os dois métodos são práticos e até certo ponto eficazes. A escolha deve ser realizada com base no perfil da organização. Por exemplo, aquelas organizações que nunca fizeram qualquer análise de risco, se escolherem pelo método quantitativo, mais complexo, terão maior probabilidade de fracasso em uma primeira tentativa. Já as organizações que fazem análise de risco por alguns anos e que precisam avaliar seus riscos a partir de uma visão financeira, deverão fazer os empenhos necessários para implementar o método quantitativo. 98 Unidade III Outro ponto a ser relacionado é o desenvolvimentode uma política para a redução de riscos. Segundo Campos (2006), deve ser definida de forma prioritária uma política para reduzi-los ou um conjunto de conceitos aceitáveis na organização no que se refere a investimentos de tempo e recursos para esse fim. Obviamente, isso vai variar de organização para organização, mas algumas diretrizes podem ser utilizadas como padrão. Por exemplo, a política pode determinar que os investimentos destinados à redução de riscos deve ser proporcional ao valor da informação a ser protegida, que os investimentos pretendem diminuir os riscos de forma gradual, que os investimentos em redução dos riscos não devem exceder a 5% do faturamento da organização ou que os riscos relacionados com a disponibilidade da informação devem ser considerados prioritários em relação àqueles relacionados com confidencialidade e disponibilidade, entre muitos outros. Segundo Campos (2006), essas e outras prioridades que possam influenciar direta ou indiretamente os trabalhos de análise e redução de riscos necessitam estar devidamente definidas no estágio inicial do projeto, direcionando os esforços de todas as partes envolvidas, até mesmo quando são definidas as prioridades logo em seu início. Pode ocorrer que, durante a realização da análise de risco, novas necessidades sejam inclusas na política de redução de riscos, o que é totalmente viável. A definição dos critérios para identificação e aceitação do risco é a base para a decisão sobre o nível do risco. Dessa forma, os critérios devem ser estabelecidos para conduzir os trabalhos de identificação e avaliação do risco. Entre os critérios definidos, é necessário compor aqueles que vão hierarquizar as ameaças, vulnerabilidades e impactos. Outras considerações podem ser realizadas quanto aos critérios do risco. A organização precisa definir que nível de risco é aceitável e a partir de que nível o risco passa a ser inaceitável e precisa ser tratado. Algumas questões necessitam ser avaliadas para chegar a um indicador de risco. Apenas como exemplo, a organização pode definir que riscos com nível a partir de 20% precisam ser tratados, ao passo que riscos abaixo desse percentual podem ser ignorados ou aceitos. Após a definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação. Por exemplo, um sistema de Firewall que fica ligado diretamente à internet está mais exposto a ataques de crackers do que um servidor de correio eletrônico que está protegido por esse Firewall dentro da rede local. O quadro seguinte é um exemplo de como podem ser definidos os critérios para a classificação da ameaça quanto ao grau de exposição que ela oferece para os ativos de informação. Reparar que os critérios apresentados são exatamente os mesmos do quadro 22, que mostra a matriz de relevância do processo. Isso se dá em virtude da padronização dos critérios. 99 GESTÃO E ANÁLISE DE RISCOS Quadro 24 – Sugestão de matriz graduação das ameaças Ameaça Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 46). Seguindo com o exemplo apresentado, considerando os ativos de informação envolvidos, temos: • sistema Firewall; • servidor de correio eletrônico. E a seguinte ameaça: • invasor externo (hacker). Então, poderíamos dizer que o grau de exposição da ameaça seria de 100%, ou seja, a máxima, para o primeiro ativo; enquanto de apenas 30%, ou seja, baixa, para o segundo ativo. Segundo Campos (2006), similarmente aos critérios anteriormente expostos, podem ser estabelecidos critérios para as vulnerabilidades. Sendo assim, algumas vulnerabilidades contam com alguma forma de controle, ou seja, são baixas; enquanto outras vulnerabilidades não receberam qualquer tipo de controle e devem ser definidas como altas. O quadro seguinte mostra uma proposta para critério de graduação das vulnerabilidades. Quadro 25 – Sugestão de matriz graduação das vulnerabilidades Vulnerabilidade Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 47). 100 Unidade III É importante ressaltar que os padrões de nomenclatura para relevância, ameaça e vulnerabilidade devem ser os mesmos para permitir comparativos. Nesse exemplo, consideremos os seguintes ativos de informação: • o servidor de arquivos; • o servidor de correio eletrônico. E a seguinte vulnerabilidade: • as portas TCP do protocolo TCP/IP. Na suposição de que no primeiro ativo todas as portas TCP estejam fechadas, podemos concluir que se trata de uma vulnerabilidade mínima, talvez 5%. Enquanto para o segundo ativo, que pelo menos as portas SMTP e POP estejam abertas, o que torna a vulnerabilidade, média, talvez a 50%. Segundo Campos (2006), deverão ser estabelecidos os critérios para impacto. Lembrando que o impacto se refere ao dano ou prejuízo causado ao negócio por um incidente. Certamente existem diversas formas de relacionar as informações, consequentemente, os ativos que as suportam, o negócio. Uma das mais utilizadas relaciona as informações aos processos do negócio, como foi demonstrado na figura 31. Dessa maneira, é possível identificar que o processo será prejudicado por um incidente, e, conhecendo a relevância do processo, é possível determinar o impacto do incidente de segurança. Um exemplo disso está na relação do nível de impacto à duração da interrupção que um determinado processo de negócio suporta. Dessa forma, pode continuar em operação sem causar prejuízo. No quadro seguinte, está disposto o modelo de graduação que pode ser utilizado de maneira a quantificar a análise dos impactos. Repare que os números se mantêm em relação às demais análises anteriormente apresentadas. Quadro 26 – Sugestão de matriz graduação das vulnerabilidades Impacto Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 48). 101 GESTÃO E ANÁLISE DE RISCOS Usemos o exemplo anterior de ativos para exemplificar esse conceito: • o servidor de arquivos; • o servidor de correio eletrônico. Se na organização em questão os processos são fortemente baseados na troca de mensagens eletrônicas entre as áreas, poderíamos supor que a interrupção desse serviço não seria tolerada por mais que um dia, o que classificaria o grau do impacto em 75%, por exemplo. Já o servidor de arquivos talvez seja usado com menos frequência e intensidade, e a organização suportaria alguns dias, talvez até uma semana, sem esse serviço. Assim, talvez pudéssemos classificar o grau de impacto em 55%. Esse método é apenas um exemplo simples de consideração dos conceitos. Evidentemente, definir um método mais adequado para medir os prejuízos financeiros que um incidente pode causar pode representar uma tarefa bem mais complexa. Segundo Campos (2006), para a definição dos critérios para cálculo do risco, outras definições devem ser utilizadas na identificação e avaliação dos riscos, com destaque para o critério de composição. Isso se refere a como o risco é visto pela organização, ou seja, qual é a fórmula para o risco. Embora existam os defensores de outros modelos, não existe um consenso definitivo e suficientemente convincente, cada organização deve avaliar a melhor maneira de compor a fórmula que melhor lhe atente. Assim, para iniciar a definição dessa fórmula, é necessário estabelecer as variáveis a serem utilizadas. Recomenda-se no mínimo: • Probabilidade: essa variável se refere à chance que existe de o incidente acontecer. • Impacto: essa variável se refere ao impacto no negócio que o incidente vai provocar, caso ocorra. • Ocorrências: essa variável se refere ao número de vezes que esse incidente já ocorreu no passado. • Relevância do processo: essa variável se refere à importância do processo para o negócio da organização. Ao considerar quando acontecem problemas de segurança, pode tercerteza, foram abordados os conceitos de probabilidade e impacto. A principal diferença entre o risco e a simples probabilidade é que, ao contrário da probabilidade, o risco considera os danos que o incidente de segurança da informação pode causar ao negócio da organização. Assim sendo, temos três elementos básicos para compor a fórmula do risco. Apenas desses simples elementos, diferentes configurações podem ser consideradas. Em um primeiro momento, pode parecer adequado considerar pesos iguais para as variáveis que encontramos, o que levaria à proposta de composição, de acordo com a figura a seguir. 102 Unidade III Risco Probabilidades Ameaças Vulnerabilidades Ocorrências Impacto Figura 33 – Risco, modelo balanceado das variáveis Conforme visto anteriormente, a probabilidade, quando se refere aos efeitos do incidente de segurança da informação, é uma composição do nível de ameaça com o nível de vulnerabilidade existente nos ativos de informação. Nessa representação, consideramos que o risco é construído pela equação entre probabilidade, impacto e ocorrências passadas desse incidente. Mas dependendo da organização e de como ela quer tratar o risco, os pesos de cada um desses componentes pode variar, e, ainda mais, outros componentes poderão ser incluídos nessa fórmula. Por exemplo, se há a intenção de dar maior relevância ao impacto, a composição da figura a seguir poderia ser mais adequada. Risco Probabilidades Ameaças Vulnerabilidades OcorrênciasImpacto Figura 34 – Risco, considerando a relevância no impacto Quando observado sob essa perspectiva, proporcionalmente, o peso do impacto será maior do que no exemplo anterior, já que as ocorrências anteriores foram diluídas dentro da probabilidade, dividindo o espaço com as ameaças e as vulnerabilidades. Embora esse modelo pareça mais apropriado, por trabalhar em um composição de probabilidade que considere não apenas o que “pode” acontecer, mas também o que efetivamente já aconteceu, ainda falta um elemento muito importante. Não existem subsídios nessa fórmula para o cálculo do impacto ou do prejuízo que o incidente poderia causar para a organização. Dessa forma, se pode observar que o modelo se torna um tanto superficial como relação, identificação e metrificação do impacto, todavia esse tipo de abordagem pode ser útil quando a empresa não tem a intenção de detalhar comparativos entre a probabilidade e o impacto. Dessa forma, poderia identificar ou classificar todos os impactos como relevantes, podendo incorrer na supervalorização do impacto, proporcionando custos desnecessários no mecanismo de proteção, o que pode tornar o orçamento de segurança muito alto, podendo deixar desprotegido aquilo que 103 GESTÃO E ANÁLISE DE RISCOS realmente necessita de proteção. Da forma como está, a classificação do impacto se torna algo meramente subjetivo. Para aumentar a objetividade dessa variável, embora não seja ainda possível por esse método atingir a objetividade total, deve-se considerar um dado obtido anteriormente durante a elaboração do modelo da cadeia de valor da organização, visto no planejamento do sistema. Ao fazer isso, teríamos definida a relevância de cada um dos processos. Isso nos permitiria uma fórmula um pouco mais precisa, conforme a figura seguinte. Risco Probabilidades Ameaças Vulnerabilidades Relevância Ocorrências Impacto Figura 35 – Risco, considerando a relevância no processo Considerando as composições apresentadas na figura anterior, se pode ter uma visão do fato de que o critério para a elaboração do risco pode influenciar significativamente as decisões que serão tomadas após identificação e avaliação do risco. Uma simples mudança na fórmula pode alterar todo o plano de ação traçado. Por isso é importante definir de forma minuciosa esse critério. Há diversas maneiras para elaborar a composição da fórmula de risco. Não existe a pretensão em dizer qual é melhor, mesmo porque cada uma tem uma abordagem que pode ser acoplada à estratégia corporativa daquele momento ou para determinada situação. O fato é que a fórmula apresentada aqui se propõe a ilustrar os conceitos de risco como um exemplo para auxílio na compreensão e estudo do assunto. Segundo Campos (2006), após definidos os critérios, é hora de realizar a identificação dos riscos, que engloba a identificação dos ativos, das ameaças, das vulnerabilidades e dos impactos. A identificação dos ativos pode ser considerada um inventário dos ativos relevantes para os processos da organização, no qual o envolvimento em um incidente de segurança da informação trará um impacto negativo para o negócio. É muito importante que se identifique não apenas o ativo, mas o seu proprietário, ou seja, aquela área ou pessoa que utiliza o ativo. Não menos importante seria identificar o processo de negócio da organização, que é suportado pelo ativo. Assim, pode ser possível atribuir um nível de relevância ao processo que indique o nível do impacto de um incidente de segurança no referido ativo de informação. A figura a seguir demonstra o processo que será a base para nosso exemplo. 104 Unidade III Manter serviços de rede Servidor de arquivosFirewall Servidor de internet Tecnologia de informação Figura 36 – Exemplo de processo de risco Para esse exemplo, temos um dos processos da área de tecnologia da informação. Dessa forma, podemos elaborar o inventário seguinte. Quadro 27 – Inventário de ativos Processo Proprietário Ativo Manter serviços de rede TI Firewall Servidor de arquivo Servidor de internet Adaptado de: Campos (2006, p. 52). Quando realizado o inventário, ele deve ser feito em toda a organização, ou então deverá cobrir ao menos os processos identificados como relevantes para o negócio. Isso remete a um trabalho de identificação dos ativos relevantes caso a organização ainda não o tenha. Esse exemplo pode ser considerado simples, mas pode haver processos que se estendem por diversas áreas diferentes, e poderá haver ativos que suportem diferentes processos. Esses fatores aumentam a complexidade do inventário de ativos. Por isso, é recomendável que o inventário seja feito em um sistema de informação exclusivo, apesar de ser possível utilizar planilhas eletrônicas para esse fim. Segundo Campos (2006), é necessário identificar as ameaças que podem provocar incidentes de segurança da informação, explorando as vulnerabilidades dos ativos inventariados. Lembrando que as ameaças são agentes externos aos ativos, e não internos. Existem as ameaças intencionais ou maliciosas e as não intencionais. Por exemplo, os vírus de computador são ameaças maliciosas desenvolvidas com a intenção específica de contaminar 105 GESTÃO E ANÁLISE DE RISCOS outros sistemas e, de alguma maneira, proporcionar algum impacto. Já os maremotos são ameaças não intencionais, ou seja, não há por trás deles uma intenção ou um plano, já que se trata de um fenômeno natural com relativo baixo nível de previsibilidade. Continuando com o mesmo exemplo anterior, podemos localizar algumas ameaças para os ativos de informação, como pode ser verificado na figura seguinte. Manter serviços de rede Servidor de arquivosFirewall Invasor interno Invasor externo Vírus Variação de energia Servidor de internet Tecnologia de informação Ameaças Figura 37 – Identificando a ameaça No exemplo da figura anterior, podemos perceber que é possível que a mesma ameaça atinja diferentes ativos ou que uma determinada ameaça seja específica de um determinado ativo. Em nosso exemplo, os ativos são sistemas computacionais, as ameaças levantadas aplicam-se a todos simultaneamente, todavia cabe ressaltar que em um processo real de identificação de ameaças existirá um nível de complexidade ainda maior. Sendo assim, o resultado do processo de identificação de ameaças origina uma planilha mais completa composta pelos ativos de informações, os processos que esses ativos apoiam, os proprietários desses ativos e, agora, as ameaçasque podem provocar algum incidente de segurança da informação envolvendo esses ativos. Evidentemente, conforme o tamanho da organização, essa planilha terá infinitos ativos e ameaças identificadas, o que pode tornar o processo de atualização extremamente complexo e pouco efetivo. Nesse caso, a introdução de um processo automatizado é fortemente recomendada para os gestores da segurança da informação. 106 Unidade III Quadro 28 – Relação de ativos × ameaças Processo Proprietário Ativo Ameaça Manter serviços de rede TI Firewall Invasor externo (hacker) Invasor interno Vírus Variação de energia Servidor de arquivo Invasor externo (hacker) Invasor interno Vírus Variação de energia Servidor de internet Invasor externo (hacker) Invasor interno Vírus Variação de energia Adaptado de: Campos (2006, p. 54). Segundo Campos (2006), o processo para identificar as vulnerabilidades remete a cada uma dessas ameaças que poderão explorar vulnerabilidades específicas dos ativos de informação em questão. Dessa forma, agora é hora de identificar quais vulnerabilidades esses ativos têm e que poderiam ser exploradas pelas ameaças levantadas. É importante ressaltar que existe relação total entre a identificação da vulnerabilidade e o controle de segurança da informação. Isso acontece porque os pontos vulneráveis são exatamente aqueles em que é possível a implementação de algum tipo de controle. Nesse sentido, fica claro que uma única vulnerabilidade poderá receber diversos controles para implantar a segurança no ativo em função da alta incidência de ocorrências anteriores ou em função do elevado nível da ameaça para aquela determinada vulnerabilidade. A identificação das vulnerabilidades demonstrada no exemplo pode ser observada na nuvem criada entre os ativos de segurança e as ameaças já identificadas, como disposto na figura seguinte. 107 GESTÃO E ANÁLISE DE RISCOS Manter serviços de rede Servidor de arquivosFirewall Portas TCP Acesso físico Ausência do antivírus Ausência do nobreak Invasor interno Invasor externo Vírus Variação de energia Servidor de internet Tecnologia de informação Vulnerabilidades Ameaças Figura 38 – Identificando as vulnerabilidades Cabe ressaltar que quanto maior for o controle implementado sobre a vulnerabilidade, tanto menor será o grau da vulnerabilidade. Por exemplo, o sistema antivírus pode não existir, existir e nunca ser atualizado, existir e ser atualizado com frequência irregular ou existir e ser atualizado regularmente em curtos intervalos de tempo. Dessa forma, é necessária uma gradação da vulnerabilidade entre vulnerabilidade máxima até vulnerabilidade mínima. A vulnerabilidade, de fato, seria a ausência de um sistema antivírus em qualquer um dos ativos identificados destacados no exemplo. O processo de identificação das vulnerabilidades fortalece a planilha da qual foram inventariados os ativos, identificadas as ameaças e, agora, identificadas as respectivas vulnerabilidades. Todo esse processo aliado à categorização dos níveis de frequência das ameaças servirá de base para a decisão de quais medidas serão aplicadas primeiramente e onde será necessário priorizar os investimentos em segurança da informação para, dessa maneira, conseguir atingir o objetivo, flexibilizando o custo-benefício nos investimentos em ativos de proteção. 108 Unidade III Quadro 29 – Relação de ativos × ameaças × vulnerabilidades Processo Proprietário Ativo Ameaça Vulnerabilidades Manter serviços de rede TI Firewall Invasor externo (hacker) Portas TCP abertas Invasor interno Sem controle de acesso físico Vírus Ausência de antivírus Variação de energia Ausência de nobreak Servidor de arquivo Invasor externo (hacker) Portas TCP abertas Invasor interno Sem controle de acesso físico Vírus Ausência de antivírus Variação de energia Ausência de nobreak Servidor de internet Invasor Externo (hacker) Portas TCP abertas Invasor interno Sem controle de acesso físico Vírus Ausência de antivírus Variação de energia Ausência de nobreak Adaptado de: Campos (2006, p. 56). Segundo Campos (2006), a parte final do processo está na identificação do nível de impacto que a ocorrência de um incidente de segurança da informação causaria para o negócio da organização, considerando o prejuízo imposto pela própria ocorrência do incidente, o tempo e o custo despendido para a reabilitação do ativo, o prejuízo à imagem, a terceiros e nos casos de furto ou vazamento de informações de clientes e fornecedores, entre outros. A figura seguinte demonstra os níveis relativos de impacto para cada um dos ativos identificados para o exemplo assumido como padrão. Lembrando que para uma melhor explicação, é utilizado um exemplo extremamente simples e, no caso da figura seguinte, destinado à disponibilidade dos ativos. Considerando de forma acadêmica que a organização exemplificada faz uso do sistema de servidor de arquivo em suas operações cujo impacto maior seria em caso da indisponibilidade desse ativo e de forma semelhantemente acadêmica à indisponibilidade do sistema de Firewall, não chega a ser um problema muito grave, uma vez que a organização utiliza uso limitado da internet, e o Firewall mencionado é aquele que conecta a organização à internet. 109 GESTÃO E ANÁLISE DE RISCOS Manter serviços de rede Servidor de arquivosFirewall Portas TCP Acesso físico Ausência do antivírus Ausência do nobreak Invasor interno Invasor externo Vírus Variação de energia Servidor de internet Tecnologia de informação Vulnerabilidades Ameaças Mé dio Mé dioAl to Figura 39 – Identificando impactos Quando se pensa além da questão da disponibilidade, o impacto pode ser mensurado e medido também quanto a incidentes de segurança da informação, que quebram confidencialidade e/ou a integridade de um determinado ativo. Caso altere o foco da análise, o nível de impacto para cada ativo pode ser diferente para confidencialidade, integridade e disponibilidade. Dessa forma, remete-se à seguinte conclusão: existe crescente complexidade em um projeto de análise de risco. Como o próprio exemplo demonstra, o impacto de um mesmo incidente de segurança poderá ser diferente em diversas organizações. Isso se dá porque o impacto guarda relação direta com o negócio da organização, com sua estratégia e modelo de processos. Sendo assim, não existe fórmula única, uma receita para a identificação do risco ou algo como risco padrão para as organizações. Muitas vezes a organização do mesmo setor apresenta resultados diferentes, a não ser que todas adotem a mesma estratégia de negócio. Isso não é natural, já que mesmo as organizações que adotam, por exemplo, o diferencial de custo como estratégia principal, há variações em suas estratégias secundárias para conseguir superar a concorrência de alguma forma. Desse modo, concluímos que a identificação e a análise de riscos precisam ser elaboradas e aplicadas para cada organização que pretenda implementar controles de segurança da informação para impedir ou diminuir a ocorrência de incidentes. 110 Unidade III O quadro seguinte representa a junção de tudo que foi apresentado, restando agora a avaliação dos riscos identificados. Quadro 30 – Relação de ativos × ameaças × vulnerabilidades × impactos Processo Proprietário Ativo Ameaça Vulnerabilidades Impacto Manter serviços de rede TI Firewall Invasor externo (hacker) Portas TCP abertas Médio Invasor interno Sem controle de acesso físico Médio Vírus Ausência de antivírus Médio Variação de energia Ausência de nobreak Médio Servidor de arquivo Invasor externo (hacker) Portas TCP abertas Alto Invasor interno Sem controle de acesso físico Alto Vírus Ausência de antivírus Alto Variação de energia Ausência de nobreak Alto Servidor de internet Invasor externo (hacker) Portas TCP abertas Médio Invasor interno Sem controle de acesso físico Médio Vírus Ausência de antivírus Médio Variação de energia Ausência de nobreakMédio Adaptado de: Campos (2006, p. 58). Segundo Campos (2006), a avaliação do risco se refere a comparar a estimativa de riscos contra os critérios de riscos, para, assim, identificar os níveis de riscos de incidentes de segurança da informação. Nesse momento, os critérios de risco já foram definidos, e um inventário de ativos por processo de negócio já foi realizado incluindo as ameaças, vulnerabilidades e impactos. Ao definir as tabelas, os critérios, é possível obter o formato de como os ativos foram relacionados ao processo por eles suportados, o que, para o caso específico do exemplo, foi o de manutenção dos serviços de rede. Quando levado a uma esfera prática de uma organização, todos os processos dentro do escopo do SGSI devem ser avaliados. Dessa forma, serão avaliados todos os ativos quanto a sua relevância para o negócio da organização. Os valores percentuais identificados vão possibilitar a realização do cálculo do risco. Quanto aos incidentes, é possível identificar as possibilidades de ocorrência para cada ativo, inclusive com o registro das suas ocorrências no ano anterior, gerando, assim, base de conhecimento, o que também poder ser transformado em uma taxa percentual quando se divide o total de dias em que aconteceu o incidente pelo total de dias no ano. Dessa forma, é possível obter os índices de ocorrência anteriores ao incidente em questão. Referente às vulnerabilidades quando são descritas, o nível da vulnerabilidade também pode ser demonstrado de forma percentual. Para isso, é necessário analisar cada ativo e definir o quanto está vulnerável em relação às ameaças existentes e identificadas. Cabe ressaltar que, para chegar a avaliar 111 GESTÃO E ANÁLISE DE RISCOS o nível de vulnerabilidade, devem-se ter os controles de segurança da informação já implementados. As ameaças são enumeradas, e um nível deve ser atribuído a cada uma delas. Com base nos níveis de ameaças, vulnerabilidades e no índice de ocorrência, será possível calcular o grau de probabilidade de uma nova ocorrência para cada incidente de segurança identificado. Considerando a probabilidade de uma nova ocorrência e o impacto gerado pela sua ocorrência efetiva, é possível determinar o nível de risco para o incidente e para cada um dos ativos que sustenta o processo. Assim será possível tomar decisões sobre o que fazer em relação a essas probabilidades. Segundo Campos (2006), ao realizar uma análise de risco, podemos perceber que não é uma atividade comum. Como já foi demonstrado ao longo dos estudos, envolve uma série de fases, planejamento e um grande esforço de trabalho para assegurar um resultado eficiente. Uma forma de viabilizar a execução da análise de risco é dividir o projeto em três frentes distintas que, unificadas, formam a análise de risco. Sendo assim, a primeira frente é sobre a divisão do trabalho por processo de negócio, que representa um passo primordial para a análise de risco, uma vez que a relevância do processo é uma variável importante para a definição do impacto de um eventual incidente de segurança da informação em determinada área. Todavia, além da definição de relevância dos processos, é importante entender o fluxo da informação entre esses processos, o que possibilita compreender quais informações precisam ser protegidas. Essa compreensão é importante para determinar sua geração quanto aos fluxos que esta percorre e quanto ao consumo dessa informação nos processos organizacionais. Uma forma interessante de modelagem de processos é a utilização da metodologia Aris (Arquitetura de Sistemas de Informação Integrados), que se baseia em dois principais modelos: • VAC (cadeia de valor agregado); • EPC (cadeia de processos orientados a eventos). No primeiro modelo, é possível construir uma visão geral da organização, a definição dos seus macroprocessos e, consequentemente, a definição da relevância desses macroprocessos. No segundo modelo, é possível compreender o fluxo da informação entre os processos, bem como sua geração e consumo. Vender Comprar Produzir Entregar Figura 40 – Exemplo de VAC 112 Unidade III Esse modelo demonstra uma organização que trabalha “contra pedido”, ou seja, ela fecha as encomendas. Depois compra os materiais necessários para produzir, produz e, finalmente, entrega o produto ao cliente. Evidentemente que outros processos são agregados, como da área financeira, da gestão de recursos humanos, entre outros. Esses processos não foram inclusos no exemplo para não gerar complexidade. Esse modelo já é suficiente para definir um nível de relevância para cada processo e ajudará a definir o impacto de um eventual incidente de segurança da informação. O próximo passo é compreender o fluxo de informações entre esses processos, conforme a figura seguinte. Vender Comprar Remessa de materiais Produzir Produtos a entregar Materiais a comprar Remessa de produtos finais Entrega Figura 41 – Fluxo de informações entre processos Analisando o fluxo das informações, é possível entender claramente onde as informações são geradas e, portanto, propor a implementação de controles para garantir a segurança dessas informações que são fundamentais aos processos. Outra contribuição que esse tipo de modelo pode oferecer é o entendimento da quantidade de fluxos que passam por um determinado processo. Pode parecer ser razoável acreditar que os processos que geram e consomem mais informações sejam os mais relevantes do ponto de vista da segurança da informação, mas isso não pode ser determinado como uma verdade absoluta. Após obtidas as informações de aspecto geral dos macroprocessos, tanto do ponto de vista da cadeia de valor quanto da compreensão do fluxo de informações entre esses processos, é necessário estudar em detalhes cada um desses macroprocessos para compreender melhor os pontos de produção e consumo das informações. É importante ressaltar que a segurança da informação deve se concentrar nas informações relevantes para os processos de negócio da organização. Isso se o objetivo da segurança da informação for contribuir com os objetivos estratégicos. A compreensão maior dos processos passa pelo desenho da cadeia de subprocessos e de seus eventos, ou seja, pela elaboração de um EPC. Um EPC é, na verdade, o detalhamento ou a explosão de um processo de nível maior, ou seja, em uma cadeia de valor agregado (VAC) ou em um diagrama de fluxo de informação (DFD). 113 GESTÃO E ANÁLISE DE RISCOS O processo definido no exemplo escolhido foi o de “Produzir”, detalhado na figura seguinte. Nessa figura, o primeiro e o último símbolo se referem a outros processos. O símbolo é uma interface, ou conexão, com o processo “Vender”, que o antecede, e com o processo “Comprar”, que o sucede. Do processo “Vender” vem a informação “Produtos a entregar”, que foi gerada naquele processo, e que é o compromisso de entrega dos produtos da organização para seus clientes. Essa informação é consumida no processo “Planejar capacidade de produção”, após o qual é realizado o processo “Planejar necessidade de materiais”. Esse processo produz a informação “Materiais a comprar”, que é na verdade a lista de matérias-primas necessárias para realizar a produção encomendada pelos clientes. A informação será enviada para o processo “Comprar”, que, em algum de seus subprocessos, a consumirá. Vender Planejar capacidade de produção Planejar necessidade de materiais Comprar Materias precisam ser comprados Capacidade de produção definida Necessidade de materiais definida Materiais a entregar Produtos a entregar Figura 42 – Exemplo de fluxograma de cadeia de processo EPC Observação O fluxograma de cadeia de processo mobilizada por eventos (EPC, em inglês) serve para documentar ou planejar um processo de negócio. 114 Unidade III Para analisar os processos, que na verdade são ativos de informação, pois produzem e consomem informações, é possível identificar as vulnerabilidades que apresentam e avaliaras ameaças que podem explorar essas vulnerabilidades, as probabilidades de ocorrência de incidente e os impactos que podem acometer as organizações. No exemplo analisado, uma possível vulnerabilidade remete ao fato de que a lista de materiais a comprar pode estar sendo transmitida de maneira não estruturada do processo de “Produzir” para o processo “Comprar”, talvez, por telefone ou e-mail. Esse tipo de vulnerabilidade pode se transformar em uma ameaça não intencional, como o esquecimento ou a exclusão da mensagem de e-mail por engano. Isso poderia gerar incidentes de segurança da informação, como a indisponibilidade da informação ou falha na sua integridade, que compromete o processo de compra de matérias-primas de forma incorreta ou insuficiente. Todos os processos da organização necessitam ser analisados quanto ao risco de incidentes de segurança. Segundo Campos (2006), as pessoas têm papel fundamental nas análises de riscos e também são consideradas ativos de informação. Assim, os riscos relacionados a esse tipo de ativo também precisam ser analisados. Algumas pessoas executam ou constituem os processos. Essas pessoas geram e consomem as informações desses processos. São as pessoas que utilizam as tecnologias e o ambiente. Não demora muito para compreender que as pessoas são os ativos mais importantes e, teoricamente, podem oferecer os maiores riscos. Não seria inteligente deixar de fora da análise de risco esse tipo de ativo. Na figura a seguir, está representada a relevância das pessoas como ativos importantes em uma organização e que representam o elo entre os demais ativos de informação. Processos Ambientes Tecnologias Pessoas Figura 43 – A importância dos ativos de informação pessoas Assim que analisadas com maior profundidade, é possível compreender as vulnerabilidades que as pessoas podem ter e as ameaças que podem explorar essas vulnerabilidades. 115 GESTÃO E ANÁLISE DE RISCOS O desconhecimento das diretrizes, normas e procedimentos de segurança da informação forma exemplos de vulnerabilidades comuns aos funcionários. Em algumas organizações, os funcionários desconhecem os conceitos essenciais de segurança da informação. Outras vezes, por mais estranho que possa parecer, os funcionários não têm conhecimento pleno das obrigações e responsabilidades relacionadas com sua própria posição na organização, originando conflitos sobre quem é responsável pela geração e consumo de determinadas informações essenciais aos processos organizacionais. Assim, pode acontecer que mais de um funcionário se sinta dono de determinada informação, enquanto outras informações ficam sem responsável definido, causando prejuízos aos processos. Nesse ambiente exemplificado, existe a possibilidade de extravio de informações pelos próprios funcionários, com a ausência de comprometimento na criação das informações prioritárias e a disputa por certo nível de poder por meio da indisponibilização de informações que deveriam estar fluindo nos processos. São apenas algumas das possíveis ameaças capazes de provocar a ocorrência de incidentes de segurança da informação. É possível também identificar as permissões e restrições de acesso para os sistemas de informação desde que a organização tenha realizado a lição de casa de classificar e identificar os níveis e permissão de acesso à informação em cada função na organização. Caso negativo, isso se transformará em uma tarefa complexa, pois pode gerar novos entraves nos processos por insuficiência ou indisponibilidade da informação. Outra vulnerabilidade a ser considerada remete às pessoas que realizam os processos de seleção e contratação de pessoal, pois elas podem ser enganadas. Os candidatos podem omitir ou acrescentar informações a respeito de si mesmos quando isso constituir um recurso extremamente necessário à obtenção de um resultado aguardado com grande expectativa, como é o caso de ocupar uma vaga de emprego ou de se galgar um cargo acima na hierarquia da organização. Esse tipo de vulnerabilidade pode constituir-se em incidente de segurança da informação quando essas pessoas passam a ocupar funções na organização, devido à quebra de integridade de suas próprias informações. Isso, em algum momento, causará danos ao negócio da organização, que poderão, ainda, serem maiores se essa pessoa contratada entrou na organização com intenções maliciosas, a fim de furtar informações sigilosas. É necessário considerar, ainda, as vulnerabilidades dos funcionários da organização que atuam em cargos de relevância do ponto de vista da informação. Por exemplo, um funcionário que ocupa uma função na área de compras, pesquisa, produção, recursos humanos, o que poderá constituir um ativo relevante. Os funcionários que acessam essas informações podem ter vulnerabilidades específicas, como problemas financeiros ou problemas legais. Essas vulnerabilidades poderão ser exploradas por ameaças. Alguém com acesso a informações privilegiadas, como um gerente da área de compras, poderá ser adulado por fornecedores que desejam vencer processos de licitação ou de concorrência, mesmo em empresas privadas. Isso seria fácil se as informações de preços ofertados nos processos fossem 116 Unidade III indevidamente divulgadas a esses interessados, sendo uma quebra da confidencialidade. Funcionários da área de pesquisa e produção poderão também ser induzidos a repassar informações industriais em troca de algum tipo de benefício. Um gerente de recursos humanos poderá vender informações a respeito dos talentos que atuam na organização, facilitando o agenciamento de contratação destes por outras organizações. Inúmeras são as possibilidades que aumentam proporcionalmente se os ativos possuírem vulnerabilidades específicas. Todos os riscos relacionados às pessoas precisam ser avaliados no processo de análise de risco. Segundo Campos (2006), quando a análise de risco envolve tecnologias, certamente, essa é a primeira preocupação dos profissionais de risco, ainda mais quando se trata de tecnologias de informação, como computadores e softwares. Todavia é importante ressaltar que existem outras tecnologias a serem consideradas, como sistemas de telefonia, equipamentos de mídias, como projetores, televisores, entre outros, ainda mais com o advento da internet das coisas, que conectou praticamente tudo à internet, ou seja, agora tudo deve ser considerado como ativo de informação, e todos apresentam algum tipo de vulnerabilidade e ameaças que devem estar devidamente mapeadas. Outra consideração a ser feita se refere às tecnologias mais antigas, como os arquivos em papel. Todo o ativo da categoria de tecnologia que tem alguma relevância para os processos precisa ser considerado na análise de risco. A análise de risco dessa categoria faz uso de diversos mecanismos de apoio, inclusive tecnologias especialmente criadas para esse fim, como softwares especialistas em detectar vulnerabilidades em ativos de informática. As vulnerabilidades são diversas e podem estar em sistemas desprotegidos contra vírus e invasões, sistemas sem senhas, arquivos de pastas sem proteção de tranca e chave, celulares suscetíveis à contaminação por vírus, webcams sujeitas à interceptação, equipamentos de mídia sem manutenção, entre muitos outros. Firewall Servidor de internet Servidor de arquivos Figura 44 – Exemplo de ativos tecnológicos 117 GESTÃO E ANÁLISE DE RISCOS Saiba mais O vídeo a seguir pode auxiliar na compreensão das ameaças e vulnerabilidades e sua importância na definição dos riscos: AMEAÇAS, vulnerabilidades e riscos. 12 set. 2018. 1 vídeo (9 min.). Publicado por Daniel Donda. Disponível em: https://bit.ly/3wXWPxm. Acesso em: 14 abr. 2021. Evidentemente que as vulnerabilidades podem ser exploradas por ameaças intencionais ou não intencionais, provocando de uma forma ou de outra a quebra de confidencialidade, integridade ou disponibilidade da informação, causando algum nível de prejuízo para a organização. Segundo Campos(2006), quando o foco da análise são os espaços físicos, onde ocorrem os processos, trabalham as pessoas, são instalados os equipamentos. É prudente adicionar a esse cenário de ambiente o trabalho remoto, conhecido como home office, e tudo o que essa estrutura traz de vulnerabilidades e ameaças, ampliando, assim, o cenário analisado. Dessa forma, os ambientes físicos estão amplificados. Convencionalmente os espaços físicos são onde são executados os processos, onde trabalham as pessoas e onde são instalados os equipamentos. Esse ambiente contempla os demais ativos, que, por sua vez, representam riscos diretos ao negócio da organização. Sendo assim, é fundamental analisar os riscos oferecidos por esses ambientes. As vulnerabilidades comuns nesse tipo de ativo são o desconhecimento ou não demarcação das áreas físicas que guardam informações relevantes e, consequentemente, a falta de ação no que se refere a proteger esses ambientes. As áreas são visitadas por pessoas de fora da organização o tempo todo. Em algumas organizações, fornecedores, clientes, amigos e familiares dos funcionários podem conseguir acesso a praticamente todas as áreas. Quando analisamos o trabalho remoto, as vulnerabilidades também são inúmeras, como a localidade de trabalho, que não pode ser um local público, a segurança dos mecanismos de rede do funcionário, como acesso à internet e configuração do roteador, verbalização das informações da organização, uso e guarda dos dispositivos de segurança para o acesso e para os casos de uso de equipamentos do próprio funcionário. Essas vulnerabilidades crescem exponencialmente. Algumas questões devem ser respondidas, como: o que são áreas críticas? Qual o nível de riscos que essas áreas podem oferecer em termos de segurança da informação? Quais as providências que podem ser tomadas para reduzir o risco? Todas essas questões devem ser respondidas pela análise de riscos nesses ambientes. Para isso, segundo Campos (2006), as pessoas que compõem o time de análise de risco devem conhecer todos os pontos fracos da organização. É fundamental que tenham consciência do grau 118 Unidade III de confidencialidade das informações, pois se elas forem utilizadas por pessoas mal intencionadas, provocam grandes prejuízos para a organização. Por isso, o time de análise de risco deve ser composto de pessoas de total confiança e que, além disso, assinem os termos de sigilo e confidencialidade. Isso se dá pelas características particulares de cada uma das quatro modalidades de análise de risco, elas exigem profissionais com qualificações distintas. É difícil imaginar alguém fazendo análise de risco na área de tecnologia sem formação e experiência nessa área. O mesmo acontece com as áreas de processos, pessoas e ambientes. 5.3 Definindo os critérios para tratamento do risco de segurança da informação A definição dos critérios para tratamento dos riscos de segurança da informação passa pela compreensão dos riscos que envolvem os ativos de informação e, por consequência, os processos de negócio da organização, em que é possível decidir o que fazer em relação a esse risco identificado e devidamente categorizado. Após o processo de identificação e categorização, é necessário dar uma resposta ao risco. Isso pode ocorrer basicamente de quatro formas: • Evitando. • Controlando. • Transferindo. • Aceitando. Ao contrário do que se possa pensar, a princípio, é qualquer tipo de risco teria que ser evitado ou controlado, porém analisando cada caso, é possível entender que as outras opções podem ser bastante razoáveis. A opção de resposta ao risco pode ser simplesmente evitá-lo, ou seja, não adotar tecnologias ou processos que ofereçam riscos ao negócio. Isso pode parecer impossível, mas não é. Considere o exemplo de uma organização que atua no mercado de fabricação e venda de móveis sob encomenda há muitos anos e mantém o nível de demanda relativamente estável por muito tempo. Dessa forma, se pode propor que o serviço da organização passe a ser ofertado por meio da internet. Isso envolverá a contratação de profissionais qualificados, equipamentos específicos e outros pontos a considerar. Essa decisão, com certeza, traz um novo risco para a organização, o que implicaria no risco de incidentes de segurança da informação, como eventual indisponibilidade dos serviços, tentativas de invasão, contaminação por vírus, entre outras. Quando avaliados todos os riscos envolvidos e contrapondo esses riscos à relevância desse processo para o negócio da organização, a conclusão dessa situação pode ser que o novo processo e seus riscos inerentes são inviáveis. Então, a organização decide simplesmente continuar como está, evitando, assim, completamente, os riscos mencionados. A decisão pode ser a de controlar o risco. Geralmente, isso ocorre quando a maior parte dos riscos não pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações 119 GESTÃO E ANÁLISE DE RISCOS que diminuam as vulnerabilidades dos ativos que suportam os processos. Um bom exemplo disso seria o caso de uma organização que oferece seus serviços pela internet e que vem sofrendo invasões regulares. A organização não pode deixar de trabalhar nesse modelo; a opção é controlar o risco, tentando reduzir sua incidência. Dessa forma, a organização decide implementar dois controles: • Sistema Firewall: impede a invasão dos computadores servidores através de portas lógicas eventualmente abertas. • Sistema de IDS (Intruder Detection System): a despeito da proteção oferecida pelo Firewall, continua monitorando as tentativas de ataque, possibilitando o fortalecimento das barreiras de defesa ao passo que as técnicas de ataque se tornam conhecidas. Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto. A organização simplesmente não conseguiria absorver nesse momento a melhor saída e a transferência. Nesses casos em que a análise de risco recomenda transferir o risco para outra entidade ou organização, uma das maneiras seria contratar um seguro cujo prêmio garanta a cobertura dos danos causados pela concretização do risco por meio de incidente de segurança da informação. Outra forma de transferência é o repasse do serviço para prestação de outra organização, firmando um contrato de prestação de serviço que garanta um nível mínimo de serviço tendo por base um Acordo de Nível de Serviço (ANS) ou, do inglês, um Service Level Agreement (SLA). Seguindo com o exemplo anterior daquelas duas organizações que precisavam manter um site na internet: uma delas, a que decidiu não seguir para evitar o risco; e a outra, que já possuía o site e teve que pensar em como controlar o risco. Poderiam simplesmente transferi-lo contratando uma empresa especializada para manter ou até mesmo implantar e manter o serviço ativo e seguro, exigindo dela um nível mínimo de serviços que garanta um máximo de horas do site inativo por mês ou por ano, cabendo ressaltar que quanto maior for a aderência da contratada às exigências do contratante, maior será a responsabilidade pela segurança e, consequentemente, maior será o custo do contrato. A última forma de tratar o risco seria o de simplesmente aceitar, mas até mesmo isso requer procedimentos bem estabelecidos e devidamente alicerçados. Quando analisados os riscos, são identificados os riscos relevantes, mas que ficam abaixo do risco considerado mínimo, o que demonstra que ações como evitar, controlar ou transferir seriam desnecessárias ou até mesmo inviáveis financeiramente. Nesse caso, o custo dos controles seria alto em relação à probabilidade de algo acorrer com o ativo identificado. Com essa análise em mãos, é possível direcionar os recursos financeiros de implantação de controles para os ativos que também foram identificados como relevantes, todavia, apresentam probabilidades maiores ou até mesmo danos maiores na ocorrência de incidentes de segurança da informação. Para esses casos,resta apenas aceitar. Quando a organização decide por esse caminho, sua abordagem para o tratamento de risco deverá especificar o que é considerado risco aceitável e o que é considerado risco inaceitável. Dessa forma, apenas o risco inaceitável é tratado de alguma maneira, uma vez que o tratamento de alguma forma significará alterações em processos, procedimentos, implantação de 120 Unidade III novos controles tecnológicos e assim por diante, que vão impactar o negócio, sem contar os custos financeiros envolvidos. O exemplo de Campos (2006) pode demonstrar bem essa situação. Uma organização que tem um arquivo de pastas (físico) contendo documentos importantes, mas que fica em uma área de difícil acesso (baixa vulnerabilidade), cuja existência é pouco conhecida ou notada (baixa ameaça), e que, mesmo em caso de roubo, significaria pouco prejuízo para a organização (baixo impacto), por que gastar tempo e recurso para proteger esse ativo de informação? Talvez seja este o caso para aceitar esse risco (CAMPOS, 2006, p. 70). Cabe ressaltar que o mais importante é ter em mente que o risco existe mesmo nesse caso. Existe uma diferença muito grande entre aceitar o risco e ignorá-lo. Ignorar o risco não é uma opção para as organizações no cenário atual, podendo ser considerada uma insanidade administrativa. Conhecer o risco permite o seu monitoramento constante e a tomada de ação caso ele venha a crescer. Tratamento do risco de segurança da informação Evitar: não adotar tecnologias ou processos que ofereçam riscos ao negócio Transferir: o risco é tão alto que a organização simplesmente não consegue absorver Controlar: quando o risco ou a maior parte dos riscos não pode ser evitada Aceitar: o risco fica abaixo do risco considerado mínimo. Todavia, não deve ser ignorado Figura 45 – Tratamento do risco Segundo Campos (2006), após efetivado o processo, a análise de risco aponta para as ações mais importantes e urgentes e para os controles que precisam ser implementados prioritariamente. Mesmo assim, existem mais de uma centena de controles que podem ser implementados e que são propostos nas normas ABNT NBR ISO 27001 e 27002. De forma simples, a ABNT NBR ISO 27001 (2013) propõe uma lista de controles mínimos a serem considerados; e a ABNT NBR ISO 27002 (2013), o formato de implantação para esses controles mínimos. Com as análises de riscos concluídas e as listas de possíveis controles, será possível pensar em duas formas de atuação: • Implementar todos os controles apontados pela análise de risco. • Implementar todos os controles da lista. 121 GESTÃO E ANÁLISE DE RISCOS O problema da primeira opção é que existe a possibilidade de estar deixando de analisar controles importantes para a organização, mas que, por algum motivo, não foram indicados pela análise de risco. Erros na análise de risco impediriam a implementação de controles que poderiam comprometer o negócio da organização. Sendo assim, esse método pode ser eficiente, mas pouco abrangente, pois vários controles importantes poderiam ser deixados de fora. O problema da segunda opção é que, apesar de garantir a implementação de todos os controles considerados como as melhores práticas de segurança da informação, é possível que a ordem de implementação não se enderece às necessidades mais urgentes, fazendo com que recursos preciosos sejam desperdiçados em ações de baixo impacto. Dessa forma, esse método pode ser abrangente, mas pouco eficiente. Uma saída para essa situação seria listar todos os controles possíveis e, depois disso, com base na análise de risco, selecionar aqueles que devem ser implementados primeiro. No quadro a seguir, está disposta uma sugestão de priorização de controles. Evidentemente, cada organização deve estabelecer a sua priorização conforme o resultado da análise de risco. O exemplo demonstrado a seguir gera um documento com informações que é chamado de declaração de aplicabilidade. Esse modelo não tem a pretensão de se tornar oficial, muito menos uma preposição de norma, muito embora essa proposta de documento possui todos os campos exigidos pela norma: • A lista de controles e seus objetivos – no quadro, foram mencionados apenas 10 controles dos 134 propostos pela ABNT NBR ISO 27002. • Os motivos da seleção dos controles. • Os motivos da eventual exclusão de algum controle. Além disso, consta no quadro uma relação com a prioridade recomendada pela análise de riscos, integrando, assim, as duas informações sobre a lista de controles e a análise de risco. Cabe ressaltar que esse documento deve ser revisitado periodicamente ou assim que a matriz de risco da organização sofrer alguma atualização ou alteração, possibilitando, dessa forma, manter-se sempre atualizada. Quadro 31 – Exemplo de declaração de aplicabilidade Controle Item da ISO Objetivo Justificativa Prioridade de análise de risco Políticas de segurança da informação 5 Diretrizes macros de segurança da informação Alta Organização da segurança da informação 6 Implantar estrutura de gestão de segurança da informação Alicerça as análises Máxima Segurança em recursos humanos 7 Estabelecer comportamentos Alta Gestão de ativos 8 Mapear os ativos Gerir o risco Máxima 122 Unidade III Controle Item da ISO Objetivo Justificativa Prioridade de análise de risco Controle de acesso 9 Gerir os acessos Alta Criptografia 10 Institucionalizar modelo de chaves Média Segurança física e do ambiente 11 Definir os controles físicos Média Segurança nas operações 12 Estabelecer controles para segurança das operações Média Segurança nas comunicações 13 Controles nas comunicações Média Aquisição, desenvolvimento e manutenção de sistemas 14 Controles de segurança no desenvolvimento Alta Relacionamento na cadeia de suprimento 15 Plano de contingência Baixa Gestão de incidentes de segurança da informação 16 Plano de identificação, resposta e comunicação Mantém a disponibilidade Máxima Aspectos da segurança da informação na gestão da continuidade do negócio 17 Plano de continuidade de negócio estabelecido Média Conformidade 18 Leis e regulamentações Sanções e multas Máxima Lembrete A organização deve estabelecer a sua declaração de aplicabilidade, que deve refletir os seus processos amparados evidentemente nas melhores práticas. 6 CONFORMIDADE E RISCO Igualmente importante à análise de risco, está a conformidade com as leis e regulamentações que devem compor as análises de riscos. Muitas vezes, ou na maioria das vezes, o não cumprimento de uma exigência regulatória pode impedir o próprio funcionamento da organização. Quando o assunto é legislação, existem outros impedimentos que vão além do impedimento operacional, como multas expressivas. Em termos de segurança da informação, a conformidade com as políticas e normas internas de segurança da informação estabelecidas pela organização, muitas vezes, atendem não apenas às melhores práticas, como leis, regulatórios, mas, se realmente forem eficientes, estão alicerçadas e amparadas pela análise e gestão dos riscos corporativos destinados à segurança da informação e cibernética. Evidentemente que um processo de auditoria deve ser implantado para verificar se a aderência do que está declarado realmente reflete a realidade do cotidiano corporativo, mas até mesmo as auditorias apresentam riscos que serão devidamente analisados. 123 GESTÃO E ANÁLISE DE RISCOS 6.1 A conformidade e a segurança da informação A importância de implantação de um processo de conformidade de segurança da informação está evidenciada na ABNT NBR ISO 27002 (2013), no seu capítulo 18, que descreve o objetivo da conformidade em segurança da informação como sendo o processo de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança. Para isso, é importante identificar toda a legislação aplicável ao ramo de negócio da organização,bem como todos os requisitos contratuais que lhe são exigidos e se devem aos seus parceiros de negócio, sendo devidamente documentados e mantidos atualizados para cada sistema de informação da organização. A norma também recomenda que algumas diretrizes de implantação sejam seguidas como premissas básicas para uma aferição de conformidade eficiente. • É recomendado que os controles específicos e as responsabilidades individuais para atender a estes requisitos sejam definidos e documentados. • É recomendado que os gestores identifiquem toda a legislação aplicável à sua organização para atender aos requisitos relativos ao seu tipo de negócio. Caso a organização realize negócios em outros países, convém que os gestores considerem a conformidade em todos esses países. Ainda segundo a norma, é importante que os direitos à propriedade intelectual sejam preservados, devidamente documentados e aferidos continuamente, seguindo a adoção de procedimentos apropriados implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos direitos de propriedade intelectual e sobre o uso de produtos de softwares proprietários. Devem ser adotados mecanismos de implantação que sigam procedimentos específicos para preservar a propriedade intelectual, evitando, dessa forma, que a organização sofra qualquer tipo de sanção ou processo legal: • Divulgar uma política de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de software e de informação. • Adquirir software somente por meio de fontes conhecidas e de reputação para assegurar que o direito autoral não esteja sendo violado. • Manter a conscientização das políticas para proteger os direitos de propriedade intelectual e notificar a intenção de tomar ações disciplinares contra pessoas que violarem essas políticas. • Manter, de forma adequada, os registros de ativos, e identificar todos os ativos com requisitos para proteger os direitos de propriedade intelectual. 124 Unidade III • Manter provas e evidências da propriedade de licenças, discos-mestres, manuais etc. • Implementar controles para assegurar que o número máximo de usuários permitidos, dentro da licença concedida, não esteja excedido. • Conduzir verificações para que somente produtos de software autorizados e licenciados sejam instalados. • Estabelecer uma política para a manutenção das condições adequadas de licenças. • Estabelecer uma política para disposição ou transferência de software para outros. • Cumprir termos e condições para software e informação obtidos a partir de redes públicas. • Não duplicar, converter para outro formato ou extrair de registros comerciais (filme, áudio) outros que não os permitidos pela lei de direito autoral. • Não copiar, no todo ou em partes, livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral. É importante ressaltar que os direitos de propriedade intelectual incluem direitos autorais de software ou documentos, direitos de projetos, marcas, patentes e licenças de código-fonte. Produtos de softwares proprietários são normalmente fornecidos sob um contrato de licenciamento que especifica os termos e as condições da licença, por exemplo, limitar o uso dos produtos em máquinas especificadas ou limitar a reprodução apenas para a criação de cópias de backup. Dessa forma, deve ser dada a devida importância à conscientização dos direitos de propriedade intelectual de software que sejam comunicados aos responsáveis pelo desenvolvimento de software na organização. Requisitos legais, regulamentares e contratuais podem colocar restrições sobre a cópia de material proprietário. Em particular, eles podem exigir que apenas o material desenvolvido pela organização ou que está licenciado ou fornecido pelo desenvolvedor para a organização possa ser utilizado. Violação de direitos autorais pode levar à ação judicial e pode envolver multas e processos criminais. Outra fonte importante de conformidade faz referência à gestão e proteção dos registros, em que a ABNT NBR ISO 27002 recomenda os seguintes controles. • Os registros sejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio. Dessa maneira, é importante se atentar no momento da implantação dos controles necessários para a devida proteção dos registros. • Quando a organização decidir proteger os registros específicos, que a classificação correspondente seja baseada no esquema de classificação da organização. 125 GESTÃO E ANÁLISE DE RISCOS • Os registros devem ser categorizados em tipos de registros, como registros contábeis, registros de base de dados, registros de transações, registros de auditoria e procedimentos operacionais, cada qual com detalhes do período de retenção e do tipo de mídia de armazenamento, como, por exemplo, papel, microficha, meio magnético ou ótico. • Quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais devem ser armazenadas para permitir a decifração de registros pelo período em que eles serão mantidos. • Cuidados devem ser tomados a respeito da possibilidade de deterioração das mídias usadas no armazenamento dos registros. • Devem existir procedimentos de armazenamento e manuseio implementados de acordo com as recomendações dos fabricantes. • Onde mídias eletrônicas armazenadas forem escolhidas, devem ter inclusos procedimentos para assegurar a capacidade de acesso aos dados (leitura tanto na mídia como no formato utilizado) durante o período de retenção, para proteger contra perdas ocasionadas pelas futuras mudanças na tecnologia. • Os sistemas de armazenamento de dados devem ser escolhidos de modo que o dado solicitado possa ser recuperado de forma aceitável, dependendo dos requisitos a serem atendidos. • Os sistemas de armazenamento e manuseio devem assegurar a clara identificação dos registros e dos seus períodos de retenção, conforme definido pela legislação nacional ou regional ou por regulamentações, se aplicáveis. • É fundamental que o sistema permita a destruição apropriada dos registros após esse período, caso não sejam mais necessários à organização. Para atender aos objetivos de proteção dos registros, convém que os seguintes passos sejam executados pela organização, conforme disposto na figura a seguir. Emitir diretrizes gerais para retenção, armazenamento, tratamento e disposição de registros e informações Elaborar uma programação para retenção, identificando os registros essenciais e o período recomendado para que cada um seja mantido Manter um inventário das fontes de informação-chave Figura 46 – Processo para proteção dos registros 126 Unidade III Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutários, regulamentares ou contratuais, bem como para apoiar as atividades essenciais do negócio. Os exemplos incluem os registros que podem ser exigidos como prova de que uma organização opera dentro de normas estatutárias ou regulamentares a fim de assegurar a defesa contra potencial ação civil ou criminal, ou para confirmar a situação financeira de uma organização perante os acionistas, partes externas e auditores. A legislação nacional ou a regulamentação pode definir conteúdo de dados e o período para a retenção de informações. Quando o assunto é a proteção e privacidade de informações de identificação pessoal, temos legislações consolidadas na Europa com a GDPR (General Data Protection Regulation) de 2016 e, no Brasil, a Lei n. 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados). Elas instituíram a posse das informações pessoais aos seus verdadeiros donos às pessoas que possam determinar onde, quando, quem, para que e por quanto tempo suas informações poderão ser utilizadas pelas organizações, aplicando sanções
Compartilhar