VII Simpsio Brasileiro de Sistemas de Informao

Modelo de Avaliao da Maturidade da Segurana da Informao

Evandro Alencar Rigon, Carla Merkle Westphall Departamento de Informtica e Estatstica (INE) Universidade Federal de Santa Catarina (UFSC) Caixa Postal 476 - 88.040-970 - Florianpolis - SC - Brasil
{rigon@inf.ufsc.br, carlamw@inf.ufsc.br }

Abstract. Business processes are supported by information technologies, although many processes and information systems were not designed to be secure. The lack of a security evaluation method might expose organizations to several risky situations. This work presents an information security maturity management process which uses a measurement method and a set of controls which treats information security on a comprehensive way. The results indicate that the method is efficient for evaluating the current state of information security, to support information security management, risks identification and business and internal control processes. Resumo. Os processos de negcio das organizaes so suportados por tecnologias da informao, apesar de muitos processos e sistemas no terem sido projetados para serem seguros. A falta de um mtodo para avaliar a segurana poder expor a organizao ao risco em diversas situaes. Este artigo apresenta um processo para a gesto da maturidade da segurana da informao atravs de um mtodo de medio e um conjunto de controles que tratam a segurana da informao de forma abrangente. Os resultados indicam que o mtodo eficiente para avaliar o estado atual da segurana, auxiliar no processo de gesto da segurana da informao e identificao de riscos, e apoiar a melhoria dos processos e controles internos da organizao.

1. Introduo
O gerenciamento da segurana da informao exige uma viso bastante abrangente e integrada de vrios domnios de conhecimento, englobando aspectos de gesto de riscos, de tecnologias da informao, de processos de negcios, de recursos humanos, da segurana fsica e patrimonial, de auditoria, de controle interno e tambm de requisitos legais e jurdicos. Uma abordagem gerencial que considera a segurana como um assunto somente de tecnologia, comum nas organizaes, pode ser a raiz de muitos problemas, pois gerenciam a segurana da informao dentro das estruturas de operaes de Tecnologia da Informao (TI), com menos viso e controle gerencial. A avaliao crtica e metdica dos controles relacionados segurana da informao torna-se necessria j que tecnologias, processos de negcio e pessoas mudam, alterando constantemente o nvel de risco atual e gerando novos riscos organizao (PINHEIRO e SLEIMAN, 2009). O desafio est em definir objetivos de segurana da informao, alcan-los, mant-los e melhorar os controles que os suportam, para assegurar a competitividade, a lucratividade, o atendimento a requisitos legais e a manuteno da imagem da

93

VII Simpsio Brasileiro de Sistemas de Informao

organizao junto sociedade e ao mercado financeiro. Modelos de maturidade podem ajudar a enfrentar este desafio. Os modelos de maturidade so baseados na melhoria de processos e na existncia de fundamentos para guiar e medir a implementao e a melhoria dos processos (CHAPIN e AKRIDGE, 2005). Atualmente existem pesquisas relacionadas ao uso de modelos para medir a maturidade de Sistemas de Gesto de Segurana da Informao (CHAPIN e AKRIDGE, 2005) (ACEITUNO, 2007) (WOODHOUSE, 2008) (PARK et al, 2008) (JANSSEN, 2008) (CUNHA, 2008). Este artigo prope um mtodo para a gesto da segurana da informao atravs de um processo de avaliao peridica de maturidade e da melhoria contnua dos controles. O modelo proposto genrico e aplicvel a todos os tipos de organizao, independente de tamanho ou rea de atuao, atravs do uso dos 133 objetivos de controle de segurana da informao constantes da norma ABNT NBR ISO/IEC 27002 (ABNT NBR ISO/IEC 27002:2005, 2007). O modelo proposto faz uso de controles adequados, dependentes da anlise do risco e da evoluo do ambiente geral. O texto do artigo est organizado em sete sees. A seo 2 apresenta os principais trabalhos relacionados. A seo 3 apresenta as principais normas tcnicas relacionadas segurana da informao e gesto de riscos. A seo 4 descreve conceitos bsicos sobre modelos de maturidade. A seo 5 dedicada especificao do modelo de avaliao da segurana da informao atravs da medio de nveis de maturidade. A seo 6 apresenta um estudo de caso onde o modelo foi aplicado em uma organizao para verificao da sua eficcia. A ltima seo apresenta as concluses.

2. Trabalhos relacionados
No trabalho de (JANSSEN, 2008), o objetivo principal propor um instrumento de avaliao da maturidade dos processos de segurana da informao para instituies hospitalares. um estudo exploratrio, de natureza qualitativa, com aplicao de questionrios semiestruturados para estudo de caso em 3 instituies hospitalares. Como concluso do trabalho foi destacada a aprovao do instrumento com relao sua utilidade para avaliar a maturidade dos processos de segurana da informao em instituies hospitalares. O trabalho desenvolvido por (JANSSEN, 2008) se assemelha a este trabalho na utilizao da norma ABNT NBR ISO/IEC 27002 e no uso de um modelo de maturidade. A principal diferena que no nosso trabalho apresentado um processo de gesto para melhoria contnua da segurana, na forma de um modelo genrico aplicvel a todos os tipos de organizao, independente de tamanho ou rea de atuao, atravs do uso dos 133 objetivos de controle de segurana da informao constantes da norma ABNT NBR ISO/IEC 27002. A principal diferena que o modelo proposto por (JANSSEN, 2008) apresenta proposies especficas, estticas, e que pode no possibilitar ao avaliador a adequada anlise dos riscos na medida em que haja evoluo das tecnologias, processos de negcio e/ou requisitos externos aplicveis. O trabalho de (CUNHA, 2008) teve como objetivo criar um modelo para que a alta administrao da organizao incorpore requisitos de segurana da informao como parte de seu processo de governana computacional, de forma a evidenciar de maneira objetiva os riscos relacionados informao no momento da definio do planejamento estratgico da organizao. As semelhanas com o nosso trabalho esto na utilizao da norma ABNT NBR ISO/IEC 27002, o modelo de governana de TI -

94

VII Simpsio Brasileiro de Sistemas de Informao

CobiT, e avaliaes de riscos. A principal diferena est no objetivo do estudo, uma vez que o foco do modelo proposto por (CUNHA, 2008) o alinhamento entre o planejamento estratgico da segurana da informao e o planejamento estratgico da organizao, no apresentando um mtodo para medio da situao atual da segurana e do acompanhamento e evoluo da segurana e de seus processos relacionados. Em (WOODHOUSE, 2008) existe uma proposta terica de um modelo de maturidade de um sistema de gesto da segurana da informao (SGSI), composto por nove nveis: -3 (Subversivo), -2 (Arrogante), -1 (Obstrutivo), 0 (Negligente), 1 (Funcional), 2 (Tcnico), 3 (Operacional), 4 (Gerenciado) e 5 (Estratgico). Os nveis com nmeros negativos demonstram uma postura de desinteresse e falta de responsabilidade na segurana da informao considerando riscos da prpria empresa e das empresas com as quais existem interaes. O trabalho de (WOODHOUSE, 2008) se assemelha a este trabalho por no utilizar uma metodologia baseada em checklists genricos criados com base em controles tcnicos. No entanto, (WOODHOUSE, 2008) no apresenta um mtodo para efetivamente realizar medies e apurar o nvel de maturidade da segurana da informao. O artigo se limita a definir nove nveis para avaliar a maturidade de um sistema de gesto da segurana da informao com base na cultura de uma organizao, e no a maturidade dos processos relacionados segurana da informao e respectivos riscos ao negcio da organizao. (PARK et al, 2008) apresenta uma maneira de medir a maturidade de gerenciamento de servios de tecnologia da informao e usa as melhores prticas definidas no IT Infrastructure Library (ITIL) como fundamento. O artigo demonstra a fase de entrevista com os responsveis, a fase de clculos da maturidade e ainda os resultados obtidos com os clculos. O modelo de (PARK et al, 2008), baseado nas melhores prticas do ITIL, apresenta a limitao de avaliar a segurana sob a tica dos processos de Suporte e Entrega de Servios, essencialmente vinculados Tecnologia da Informao, no permitindo uma anlise dos riscos segurana da informao gerados em processos do negcio no essencialmente relacionados TI.

3. Principais normas tcnicas relacionadas segurana da informao

As principais referncias normativas so as normas da famlia 27000 da International Organization for Standardization (ISO), especficas para gesto da segurana da informao, e adotadas pela Associao Brasileira de Normas Tcnicas (ABNT). ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao - Requisitos: uma traduo da ISO/IEC 27001:2005 e tem como objetivo prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto da Segurana da Informao (SGSI) (ABNT NBR ISO/IEC 27001:2006). ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao: verso atualizada da ABNT NBR ISO/IEC 17799 de 2005, o fundamento normativo da segurana da informao. O objetivo da norma estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da informao, atravs da definio de controles que podem ser utilizados para atender aos requisitos identificados por meio da anlise/avaliao de riscos (ABNT NBR ISO/IEC

95

VII Simpsio Brasileiro de Sistemas de Informao

27002:2005, 2007). A norma est estruturada em 11 sees de controles de segurana da informao, divididas em 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos. So definidos 133 controles aplicveis segurana da informao. A norma ABNT NBR ISO/IEC 27002:2005 no perfeita e prev que as organizaes possam vir a utilizar mais controles alm dos que ela recomenda. A ABNT NBR ISO/IEC 27005, adoo idntica ISO/IEC 27005:2008, fornece as diretrizes para a avaliao de riscos da segurana da informao, de acordo com os conceitos definidos na ABNT NBR ISO/IEC27001, para implementao da segurana da informao baseada na gesto de riscos (ABNT NBR ISO/IEC 27005, 2008).

4. Modelos de maturidade de segurana

Um modelo de maturidade de segurana fornece um guia para um programa de segurana completo. Define, tambm, a ordem na qual os elementos de segurana devem ser implementados, incentiva o uso de padres de melhores prticas e fornece um meio para comparar programas de segurana (CHAPIN e AKRIDGE, 2005). Aps identificar processos e controles crticos, o uso de um modelo de maturidade permite a identificao de lacunas que representam risco e sua demonstrao administrao. Com base nessa anlise podero ser avaliados e desenvolvidos planos de ao para melhoria dos processos e controles considerados deficientes at o nvel de desenvolvimento desejado (ITGI, 2007). Algumas abordagens de padres para gerenciamento da segurana da informao podem ser classificados da seguinte forma: orientados a processos como CobiT e ITIL; orientados a controles como ISO 27001; orientados a produtos como os Critrios Comuns (ISO 15408); orientados a gerenciamento de riscos como OCTAVE e ISO 27005 e orientados a melhores prticas como a ISO 27002. O trabalho de (ACEITUNO, 2007) define um modelo de maturidade para o gerenciamento da segurana da informao, compatvel com a norma ISO 27001.

5. O modelo de avaliao por nveis de maturidade

O modelo apresentado neste artigo almeja avaliar a segurana da informao de maneira abrangente, fazendo com que o foco da segurana da informao esteja de acordo com os objetivos organizacionais. O modelo tem como principais caractersticas: a) Ser estruturado na forma de um processo de gesto que possibilite avaliao e melhoria contnuas, atravs do uso da norma ABNT NBR ISO/IEC 27001. b) Ser baseado em controles apropriados para a segurana da informao, atravs do uso da norma ABNT NBR ISO/IEC 27002; c) Fornecer meio para medir a situao atual da gesto da segurana da informao e sua evoluo ao longo do tempo, atravs do uso de um modelo de maturidade; d) Fornecer subsdio para levar a aes de melhoria oportunas e viveis, baseadas nos riscos, suportado pelo uso da ABNT NBR ISO/IEC 27005. 5.1. Avaliao e melhoria contnua Como os riscos so dinmicos, os requisitos de segurana da informao so alterados constantemente. A norma ABNT NBR ISO/IEC 27001 adota o modelo Plan-Do-CheckAct (PDCA) para estruturar os processos do SGSI e garantir a melhoria contnua.

96

VII Simpsio Brasileiro de Sistemas de Informao

5.2. Controles de segurana da informao O modelo de avaliao deste artigo utiliza a estrutura de objetivos de controle da norma ABNT NBR ISO/IEC 27002. A norma define 133 controles que podero ser avaliados. 5.3. Medio e Acompanhamento O CobiT (Control Objectives for Information and Related Technology) apresnta um conjunto de indicadores obtidos atravs do consenso de experts, mais focados no controle das atividades do que na sua execuo, que auxiliam na otimizao de investimentos em TI, garantem a entrega de servio e providenciam uma medida para emitir julgamento e permitir a comparao.
O modelo de gesto da segurana da informao apresentado neste artigo tem a sua base de medio suportada na escala de maturidade do CobiT (figura 1).

Figura 1. Representao grfica do modelo de maturidade utilizado no CobiT (adaptado de ITGI, 2007).

A escala de maturidade utilizada neste artigo apresentada na tabela 1.

Tabela 1. Escala utilizada para os nveis de maturidade (adaptado de ITGI, 2007)

Nvel 0 NoExistente 1 Inicial 2 Repetitivo

3 Definido

4 Gerenciado

Caractersticas Completa falta de qualquer processo reconhecvel. A organizao ainda no reconheceu que h um risco a ser tratado. Existe uma evidncia de que a organizao reconheceu que riscos existem e precisam ser tratados. No entanto, no h qualquer processo padronizado; existem alguns processos aplicados caso-a-caso por iniciativas individuais. Processos foram desenvolvidos at o estgio em que procedimentos similares so seguidos por diferentes pessoas que realizam a mesma tarefa. No h treinamento formal ou comunicao dos procedimentos, e a responsabilidade individual. Existe uma alta confiana no conhecimento das pessoas, sendo os erros comuns. Procedimentos foram documentados, formalizados e comunicados atravs de treinamento. obrigatrio que os procedimentos sejam seguidos; entretanto, improvvel que desvios sejam detectados. Os procedimentos no so, por si s, sofisticados, mas so a formalizao das prticas existentes. A gerncia monitora e mensura a conformidade com os procedimentos e toma aes quando os processos parecem no funcionar efetivamente. Processos esto sob constante melhoria e utilizam boas prticas. Ferramentas e automao so utilizadas em uma maneira limitada e fragmentada.

97

VII Simpsio Brasileiro de Sistemas de Informao

Nvel 5 Otimizado

Caractersticas Os processos foram refinados ao nvel de melhores prticas, baseado no resultado de melhorias contnuas e de comparao com outras organizaes. TI utilizada de maneira integrada para automatizar fluxos de trabalho.

5.4. Fases do ciclo de avaliao e melhoria contnua Uma mtrica, ou indicador, por si s, no a resposta para gerenciar os problemas de segurana da informao de uma organizao. Alm de medir, deve existir ao sobre os problemas encontrados e o acompanhamento da evoluo ao longo do tempo. A figura 2 apresenta as oito fases que compem o ciclo de avaliao da maturidade da segurana da informao (SI) proposto.

Figura 2. Fases do ciclo de avaliao e melhoria da segurana da informao (SI)

5.4.1. Definio do escopo de avaliao Nesta fase ser definido o escopo para a avaliao do nvel de maturidade da segurana. Uma organizao pode possuir atividades administrativas, industriais e de prestao de servios, e considerar conveniente dividir a avaliao da maturidade em partes. A definio do escopo consiste em identificar as reas, tecnologias e processos da organizao que sero includos na avaliao (ABNT NBR ISO/IEC 27001, 2006). 5.4.2. Anlise dos riscos relacionados segurana da informao Nesta fase a organizao realizar a identificao global dos riscos relacionados segurana das suas informaes, para garantir que os controles selecionados estejam relacionados ao tratamento dos riscos (ABNT NBR ISO/IEC 27001, 2006). A metodologia de anlise pode ser quantitativa, qualitativa ou uma combinao de ambas. A estimativa qualitativa frequentemente utilizada em primeiro lugar, para que se obtenha uma indicao geral do nvel de risco e tornar evidentes grandes riscos, e normalmente menos complexa e menos onerosa (ABNT NBR ISO/IEC 27005, 2008). Este modelo utiliza o mtodo qualitativo para anlise de riscos, atravs do uso de uma escala com atributos qualificadores que descrevem a magnitude das consequncias potenciais (impacto) e a probabilidade dessas consequncias ocorrerem. Essa abordagem foi considerada suficiente para a identificao dos riscos e para suportar a deciso de escolha dos controles de segurana da informao a serem avaliados.

98

VII Simpsio Brasileiro de Sistemas de Informao

5.4.3. Seleo dos controles de segurana da informao Nesta fase so selecionados os controles de segurana da informao, constantes da ABNT NBR ISO/IEC 27002, considerados aplicveis para a cobertura dos riscos identificados na fase de anlise dos riscos relacionados segurana da informao. Apesar de o modelo utilizar a estrutura de controles da ABNT NBR ISO/IEC 27002 como base de avaliao, as organizaes devem ser capazes de identificar outros controles, considerando, por exemplo, a anlise dos riscos corporativos, a gesto da conformidade, outras fontes de requisitos legais ou regulamentares aplicveis, ou de melhores prticas adotadas no setor ao qual a organizao estiver inserida. 5.4.4. Planejamento da anlise dos controles de segurana da informao Nesta fase ser realizado um planejamento para anlise e avaliao dos objetivos de controle considerados aplicveis e suas respectivas atividades de controle. Esta fase tem por finalidade identificar e comprometer as partes envolvidas nas anlises, identificar as partes interessadas, definir um cronograma para as atividades de avaliao do ciclo, e criar um plano de comunicao para os resultados obtidos. 5.4.5. Anlise e avaliao da maturidade dos controles de segurana da informao Nesta fase o nvel de maturidade de cada controle ser comparado com a anlise de riscos e, caso necessrio, aes devem ser propostas para correo e/ou melhoria das atividades relacionadas. Esta fase dividida em cinco etapas: a) Identificao dos processos e atividades relacionadas: os controles de segurana da informao so cumpridos nas atividades dos processos de negcio, operacionais (execuo da tarefa) ou de controle (verificao ou aprovao da tarefa executada). Esta etapa consiste em identificar e relacionar ao controle de segurana todos os processos, procedimentos e atividades que contribuam para que seja cumprido; b) Anlise do nvel de maturidade do controle: com base nos processos e atividades que suportam o controle avaliado, apurar o nvel de maturidade do controle de acordo com a escala de maturidade utilizada pelo modelo. Possivelmente haver atividades relacionadas ao mesmo controle com nveis de maturidade distintos; c) Avaliao da maturidade do controle: nesta etapa ser avaliado se a maturidade do controle, apurada pelo conjunto das atividades que o suportam, est de acordo com a maturidade necessria para tratar os riscos relacionados ao negcio; d) Definio de melhorias necessrias: com base nas possveis deficincias encontradas no cumprimento dos controles, nesta etapa sero documentadas as aes e melhorias nas atividades relacionadas ao controle de segurana, ou mesmo a criao de novas atividades, para manter o risco em nvel adequado. As alteraes devem ser documentadas em conjunto com os responsveis pelos processos de negcio; e) Comunicao dos resultados aos responsveis pelo controle: nesta etapa os resultados da anlise do controle de segurana so comunicados aos responsveis, para que tomem conhecimento e possam avaliar as aes necessrias e possveis intervenes emergenciais. 5.4.6. Consolidao dos planos de ao de segurana da informao razovel esperar que diversos objetivos de controle possam ter planos de ao em comum, relacionados ou mesmo interdependentes. Nesta fase todas as melhorias

99

VII Simpsio Brasileiro de Sistemas de Informao

propostas sero consolidadas e organizadas de acordo com os processos e atividades de negcio aos quais esto relacionadas. Esta fase est dividida em quatro etapas. a) Reviso e organizao das melhorias identificadas: nesta etapa todas as melhorias identificadas so analisadas em conjunto, para identificao de pontos em comum e para a convergncia das aes de melhoria; b) Definio do responsvel pela execuo: esta etapa tem a finalidade de indicar, para cada plano de ao proposto, um responsvel pela sua execuo e acompanhamento; c) Aprovao dos planos de ao: nesta etapa os planos de ao devem ser aprovados. Tambm ocorre a priorizao dos planos e a definio da data de incio da execuo; d) Comunicao dos planos de ao: nesta etapa os planos de ao so comunicados aos responsveis, de maneira a torn-los conscientes dos trabalhos a serem realizados. 5.4.7. Acompanhamento dos planos de ao de segurana da informao Nesta fase ser realizado um acompanhamento da execuo dos planos de ao para verificar o cumprimento dos prazos e avaliar possveis desvios de execuo. 5.4.8. Fechamento, documentao e emisso de relatrios Nesta fase so registradas as aes realizadas durante o ciclo de avaliao e confeccionados relatrios operacionais e gerenciais. Nesta fase documentada a evoluo do nvel de maturidade dos objetivos de controle. A documentao de fechamento dever ser completa o suficiente para demonstrar a evoluo da segurana da informao, conscientizar a direo para os principais pontos de ateno e riscos remanescentes, justificar a necessidade de recursos para melhorar o nvel de segurana, e embasar as anlises crticas de melhoria do SGSI.

6. Estudo de caso de avaliao da maturidade da segurana da informao

Um estudo de caso foi realizado para aplicao do modelo de avaliao do nvel de maturidade da segurana da informao. A organizao que participou do estudo possui sua sede administrativa situada em Florianpolis, no Estado de Santa Catarina. O escopo de avaliao escolhido foi o conjunto de processos e atividades administrativas da organizao. A organizao j havia realizado, em anos anteriores, avaliaes de segurana da informao com mtodo semelhante ao descrito neste artigo, fato que facilitou as tarefas de avaliao e diminuiu o tempo de anlise. A organizao avaliada no possua, no incio dos trabalhos, uma avaliao formal dos riscos especificamente relacionados segurana da informao. Considerouse que uma anlise completa dos controles de segurana da informao seria adequada para a apurao do atual nvel de maturidade e identificao de riscos desconhecidos. Inicialmente, em virtude da grande extenso dos processos de negcio da organizao, decidiu-se por considerar como sendo aplicvel a maioria dos controles de segurana da informao propostos na norma ABNT NBR ISO/IEC 27002. O controle 10.9.1 - Comrcio Eletrnico - foi o nico controle excludo do escopo de anlise, pois a organizao no apresenta este tipo de atividade. A avaliao dos controles foi realizada pelo responsvel pela segurana da informao, com a possibilidade de consulta aos especialistas em cada rea.

100

VII Simpsio Brasileiro de Sistemas de Informao

Foi selecionado para exemplo o controle 11.2.4 - Anlise crtica dos direitos de acesso de usurio, objetivo de controle 11.2 - Gerenciamento de acesso do usurio. De acordo com a ABNT NBR ISO/IEC 27002, convm que o gestor conduza a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo formal, a fim de manter um efetivo controle sobre os acessos. As atividades realizadas nos cinco passos de avaliao foram: a) Identificao dos processos e atividades relacionadas: a organizao possua um processo semestral de reviso dos direitos de acesso ao ambiente computacional. Todo o processo de reviso estava formalizado em um procedimento de gesto, e a Poltica de Segurana de Informaes atribua as responsabilidades pelo processo de reviso aos usurios chave de cada sistema, mdulo ou ambiente computacional. Houve treinamento dos responsveis pela reviso e h material de apoio disponvel. A coordenao do processo era realizada pelo responsvel pela segurana da informao. Entretanto, a solicitao da reviso de acessos e a resposta de concluso eram realizadas por e-mail, com pouco controle sobre a execuo do processo; b) Anlise do nvel de maturidade do controle: de acordo com a escala de maturidade utilizada neste trabalho, a existncia de um processo formalmente definido e aprovado, com responsabilidades identificadas, e com treinamento dos envolvidos caracteriza o nvel de maturidade 3 Definido; c) Avaliao do nvel de maturidade do controle: a organizao, por estar submetida a exigncias de controles nos processos de TI, necessitava demonstrar que possua controle sobre o processo de reviso de direitos de acesso. Neste caso no bastava para a organizao ter um processo definido para realizar a atividade, mas um processo para controlar a atividade de modo a garantir que fosse executada de acordo com o definido. Como consequncia a organizao considerou necessrio melhorar o processo de reviso de direitos de acesso de modo a atingir o nvel 4 - Gerenciado. d) Definio de melhorias necessrias: para alcanar o nvel 4 de maturidade (gerenciado) as seguintes aes foram sugeridas: i. Fazer um sistema para registrar todos os ciclos de reviso de direitos de acesso, contendo ambientes que participaram do ciclo, responsveis e data de concluso; ii. Modificar o processo de reviso de direitos de acesso para que houvesse controle documentado sobre a realizao das revises; iii. Realizar comunicao formal ao responsvel pelo sistema, mdulo ou ambiente que no tivesse seu processo de reviso concludo no prazo estipulado; e iv. Realizar comunicao formal sobre o acompanhamento do processo ao gerente da rea de TI e auditoria interna sobre a finalizao do ciclo de reviso. e) Comunicao dos resultados aos responsveis pelo controle: as aes propostas foram documentadas e encaminhadas ao gerente de TI e auditoria interna. Aps a finalizao das avaliaes do nvel de maturidade de todos os controles selecionados, as aes propostas deram origem a planos de ao. Os planos de ao que no necessitavam de recursos financeiros foram selecionados para serem executados primeiro. Os planos de ao que necessitavam de investimento ou exigiam mudanas maiores em processo sero acompanhados pela organizao. A cada novo ciclo de avaliao os controles aplicveis sero reavaliados e os planos de ao revisados. A tabela 2 apresenta os resultados dos nveis de maturidade mdios apurados para cada seo da norma ABNT NBR ISO/IEC 27002 na avaliao.

101

VII Simpsio Brasileiro de Sistemas de Informao

Tabela 2. Nveis de maturidade mdios apurados Seo 5 6 7 8 9 10 11 12 13 14 15 Descrio ABNT NBR ISO/IEC 27002 Poltica de segurana da informao Organizando a segurana da informao Gesto de ativos Segurana em recursos humanos Segurana fsica e do ambiente Gerenciamento das operaes e comunicaes Controle de acessos Aquisio, desenvolvimento e manuteno de sistemas de informao Gesto de incidentes de segurana da informao Gesto da continuidade do negcio Conformidade Maturidade mdia 3,17 2,78 2,55 2,35 3,24 2,61 2,59 2,80 1,55 2,02 2,24

A figura 3 apresenta a visualizao dos nveis de maturidade mdios apurados.

Figura 3. Visualizao dos nveis de maturidade mdios apurados no estudo de caso

Atravs da anlise dos resultados obtidos, considera-se que a organizao possui um nvel de maturidade mdio geral de 2,54. Isso indica que, em mdia, seus processos relacionados segurana da informao esto sendo estruturados para serem definidos formalmente. A organizao considera que a maioria dos seus processos possui nvel de maturidade adequado sua realidade, sendo que os principais controles relacionados conformidade com requisitos externos esto classificados nos nveis entre 3 e 4. Diversos planos de ao criados objetivaram pequenas melhorias em processos, no estando necessariamente relacionados a incrementos do nvel de maturidade. A partir das anlises realizadas durante o estudo de caso observou-se que a organizao participante do estudo delegou a responsabilidade pela realizao das anlises e avaliaes a apenas uma pessoa. O fato de o responsvel pela avaliao estar subordinado ao departamento de TI poderia caracterizar falta de independncia para avaliao. Considera-se, contudo, que tal situao tem pouca influncia na avaliao do mtodo em si e nos benefcios gerados pela sua utilizao. De acordo com a percepo da organizao, o mtodo de avaliao dos controles da norma ABNT NBR ISO/IEC 27002 por meio de nveis de maturidade proporcionou algumas vantagens, conforme relato do responsvel pela rea de TI: Este mtodo no

102

VII Simpsio Brasileiro de Sistemas de Informao

ser utilizado apenas como uma forma de avaliao isolada, e sim como um instrumento de gesto para a segurana das nossas informaes. Alm de fornecer uma foto do cenrio atual dos nossos controles, o mtodo proporciona a criao de documentao para avaliao e direcionamento dos esforos para a melhoria da segurana. Muitas aes de melhoria foram identificadas com a avaliao individual de cada item de controle, e o modelo de maturidade auxilia na sua priorizao.

7. Concluses e Trabalhos Futuros

O detalhamento de um mtodo para a gesto da segurana da informao atravs da avaliao peridica da maturidade e melhoria contnua dos controles foi mostrado. O uso da escala de maturidade aliado ao processo cclico de avaliao proporcionou a gerao de indicadores instantneos e temporais para a gesto da segurana da informao (RIGON, 2010). A semelhana entre este trabalho e os trabalhos relacionados apresentados est no uso da norma ABNT NBR ISO/IEC 27002 e de um modelo de maturidade. A principal diferena reside no fato de que os modelos propostos que apresentam proposies especficas, estticas, podem no possibilitar ao avaliador a adequada anlise dos riscos inerentes ao negcio na medida em que haja evoluo do ambiente. Outra importante diferena que este trabalho procura definir um modelo genrico de avaliao, aplicvel a todos os tipos de organizao, atravs do uso de todos os objetivos de controle constantes da norma ABNT NBR ISO/IEC 27002. Consideramos que o uso de modelos com proposies estticas e especficas para um determinado setor til para avaliadores iniciantes ou inexperientes, pois pode conter exemplos do que poderia ser feito para melhorar os seus processos de segurana; contudo, limitam a avaliao s questes propostas, viso do elaborador e ao tempo em que foram criadas. J o uso de um modelo genrico pode no ser o mais adequado para avaliadores iniciantes, que devem primeiro compreender e interpretar as normas; no entanto, propiciam ao avaliador experiente espao para adequaes e expanses do escopo de avaliao de acordo com mudanas dos nveis de risco ao longo do tempo, sendo mais condizente com o ciclo de melhoria contnua. A percepo da organizao que participou do estudo de caso indica que o mtodo de avaliao apresentado pode ser eficaz para avaliar o estado atual da segurana da informao da organizao, para auxiliar nos processos de gesto, identificao de riscos, e para apoiar a melhoria dos processos e controles internos. Alguns trabalhos futuros podem ser sugeridos: (a) Projetar ferramenta para automatizar a vinculao dos resultados das avaliaes de riscos dos objetivos de controle a nveis de maturidade mnimos a serem atingidos; (b) Aplicar o instrumento de avaliao proposto em outras organizaes para possibilitar comparaes entre organizaes do mesmo setor; (c) Criar modelos que possam ser utilizados em todas as fases e etapas de avaliao; e (d) Inserir no ciclo de avaliao uma fase para auditoria independente dos resultados, para as organizaes que optarem pela auto avaliao.

8. Referncias
ACEITUNO, Vicente. ISM3 - Information Security Managemente Maturity Model v. 2.1. ISM3 Consortium. 2007. Disponvel em <http://www.ism3.com/page1.php>. Acesso em: 20 janeiro 2011.

103

VII Simpsio Brasileiro de Sistemas de Informao

ABNT. NBR ISO/IEC 27001:2006: Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro, 2006. 34 p. ABNT. NBR ISO/IEC 27002:2005: Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 120 p. ABNT. NBR ISO/IEC 27005:2008: Tecnologia da informao - Tcnicas de segurana - Gesto de riscos de segurana de informao. Rio de Janeiro, 2008. 55 p. CHAPIN, D. A. e AKRIDGE, S. "How can security be measured," Information Systems Control Journal, vol. 2, pp. 43-47, 2005. CUNHA, Renato Menezes da. Modelo de Governana da Segurana da Informao no Escopo da Governana Computacional. UFPE. 2008. Disponvel em < http://www.bdtd.ufpe.br/tedeSimplificado/tde_arquivos/26/TDE-2009-0309T123252Z-5469/Publico/rmc.pdf >. Acesso em: 29 abril 2010. ITGI IT GOVERNANCE INSTITUTE. CobiT 4.1 - Control Objectives for Information and related Technology - Framework. Rolling Meadows - USA: [s.n.], 2007. Disponvel em <http://www.isaca.org/KnowledgeCenter/cobit/Pages/Downloads.aspx>. Acesso em: 12 setembro 2010. JANSSEN, Luis Antonio. Instrumento de avaliao de maturidade em processos de segurana da informao: estudo de caso em instituies hospitalares. PUC-RS. 2008. Disponvel em <http://tede.pucrs.br/tde_arquivos/2/TDE-2008-0422T140541Z-1200/Publico/400421.pdf >. Acesso em: 29 abril 2010. MARANHO, Mauriti; ISO Srie 9000: manual de implementao: verso ISO 2000. 6 ed. Rio de Janeiro: Qualitymark, 2001. 220p. PARK, Jung-Oh; KIM, Sang-Geun; CHOI, Byeong-Hun; JUN, Moon-Seog. The Study on the Maturity Measurement Method of Security Management for ITSM. In: Proc. of the International Conference on Convergence and Hybrid Information Technology, pp.826-830, 2008. IEEE Press. PINHEIRO, Patrcia Peck; SLEIMAN, Cristina Moraes. Tudo o que voc precisa saber sobre direito digital no dia-a-dia. So Paulo: Saraiva, 2009. 58p. RAMOS, Anderson (org.). Security Officer - 1: guia oficial para formao de gestores em segurana da informao. Porto Alegre: Zouk, 2006. 460p. RIGON, Evandro Alencar. Modelo de Avaliao da Maturidade da Segurana da Informao. UFSC. 2010. Disponvel em <http://projetos.inf.ufsc.br/arquivos_projetos/projeto_1055/Modelo_Avaliacao_Matu ridade_Seguranca_Informacao_Rigon.pdf>. Acesso em: 08 abril 2011. WOODHOUSE, Steven. 2008. An ISMS (Im)-Maturity Capability Model. In: Proceedings of the 2008 IEEE 8th International Conference on Computer and Information Technology Workshops (CITWORKSHOPS '08). IEEE Computer Society, Washington, DC, USA, pp. 242-247.

104