Escolar Documentos
Profissional Documentos
Cultura Documentos
RESUMO
Este artigo apresenta um conjunto de recomendaes para o desenvolvimento de um modelo que permitir, aos administradores de uma organizao, a incorporao da governana da segurana da informao, como parte do seu processo de governana organizacional. A partir da utilizao desse modelo, pretende-se que o conhecimento sobre os riscos relacionados com a infra-estrutura de Tecnologia da Informao e Comunicao (TIC) seja apresentado de forma objetiva ao conselho administrativo, ao longo do desenvolvimento de seu planejamento estratgico. Uma reviso de literatura, sobre governana de TIC, foi realizada para a identificao de modelos que pudessem oferecer contribuies.
52
F onte Fonte
Julho/Dezembro de 2007
de TIC, de controlar o planejamento e a implementao das estratgias de TIC e, dessa forma, permitir a fuso da TIC ao negcio (Van Grembergen, 2003); especificao das decises corretas em um modelo que encoraje o comportamento desejvel no uso de TIC, nas organizaes (Weill & Ross, 2004).
A governana envolve direcionamento de TIC e controle da gesto, verificao do retorno do investimento e do controle dos riscos, anlise do desempenho e das mudanas na TIC e alinhamento com as demandas futuras da atividade fim foco interno e com a atividade fim de seus clientes foco externo. Essa abrangncia ilustrada na Figura 1. A gesto preocupa-se com o planejamento, a organizao, a implementao, a
implantao e a manuteno da infra-estrutura de TIC e com o gerenciamento dos processos com foco no suporte e no fornecimento dos servios (Van Grembergen, 2003). Para alcanar a governana da tecnologia da informao e comunicao, as organizaes utilizam modelos que definem as melhores prticas para a gesto de TIC. Entre esses modelos, os de maior aceitao so o COBIT (ITGI, 2000) e ITIL (OGC, 2000).
Atvidade-fim
Externo Governana de TI
Julho/Dezembro de 2007
F onte Fonte
53
Considerando a dependncia atual das organizaes do correto funcionamento de sua rea de TIC, para a realizao de sua misso, as aes relacionadas com a segurana computacional esto deixando cada vez mais de ser tratadas apenas como uma responsabilidade da rea de TIC e esto sendo vistas como um desafio para os gestores das organizaes. Os gestores atuais esto cada vez mais necessitados de incorporar as
responsabilidades relacionadas com a segurana computacional em seu processo de tomada de deciso. Alm disso, os administradores atuais necessitam que no s a TIC esteja alinhada com as estratgias da organizao, mas que estas estratgias estejam tirando o melhor proveito da infra-estrutura de TIC existente. Eles tero que assumir cada vez mais a responsabilidade de garantir que as organizaes estejam oferecendo aos
seus usurios e clientes um ambiente de TIC seguro e confivel. As organizaes necessitam de proteo contra os riscos inerentes ao uso da infra-estrutura de TIC e simultaneamente obter indicadores dos benefcios de ter essa infra-estrutura segura e confivel. Dessa forma, alm da governana de TIC, as organizaes precisam estruturar especificamente a governana da segurana da informao.
54
F onte Fonte
Julho/Dezembro de 2007
conflitos em relao ao oramento destinado a essa rea e necessidade de impor medidas que vo alm de seu escopo de atuao. Dessa forma, muito comum observar um cenrio, em que as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo, como conseqncia, a falta de recursos para minimizar os riscos existentes no patamar exigido pela estratgia organizacional. A responsabilidade pelo nvel correto de segurana computacional dever ser uma deciso estratgica de negcios, tendo como base um modelo de governana da segurana da informao que contemple uma anlise de risco. Em um relatrio do Corporate Governance Task Force proposto que, para proteger melhor a infra-estrutura de TIC, as organizaes deveriam incorporar as questes de segu-
rana computacional em suas aes de governana corporativa (CGTFR, 2004). Em um trabalho publicado em 2003, o Business Software Alliance (BSA) chama a ateno para a necessidade de desenvolver um modelo de governana da segurana da informao, que possa ser adotado imediatamente pelas organizaes (BSA, 2003). Esse trabalho sugere que os objetivos de controle contidos na ISO 27000 devam ser considerados e ampliados para o desenvolvimento de um modelo, em que governana da segurana da informao no seja considerada apenas no plano tecnolgico, mas parte integrante das melhores prticas corporativas, no deixando de cobrir aspectos relacionados com as pessoas, processos e tecnologia. Para que as organizaes obtenham sucesso na segurana de sua
informao, os gestores precisam tornar a segurana computacional uma parte integrante da operao do negcio da organizao (ENTRUST, 2004). A forma proposta para se conseguir isso utilizar um modelo de governana da segurana da informao como parte do controle interno e polticas que faam parte da governana corporativa. Considerando-se esse modelo, segurana computacional deixaria de ser tratada apenas como uma questo tcnica, passando a ser um desafio administrativo e estratgico. Um modelo de governana da segurana da informao dever considerar as observaes apresentadas anteriormente e apresentar-se fortemente acoplado ao modelo de governana de TIC, detalhando e ampliando seu escopo de atuao na rea de interseo com a segurana computacional.
Julho/Dezembro de 2007
F onte Fonte
55
8. As organizaes precisam divulgar as informaes sobre segurana computacional, treinando, conscientizando e educando todos os envolvidos. 9. As organizaes precisam conduzir testes peridicos e avaliar a eficincia das polticas e procedimentos relacionados com a segurana da informao. 10. As organizaes precisam criar e executar um plano para remediar vulnerabilidades ou deficincias que comprometam a segurana da informao. 11. As organizaes precisam desenvolver e colocar em prtica procedimentos de resposta a incidentes. 12. As organizaes precisam estabelecer planos, procedimentos e testes para prover a continuidade das operaes. 13. As organizaes precisam usar as melhores prticas relacionadas com a segurana computacional, como a ISO 20000 (antiga ISO 17799), para medir a performance da segurana da informao. Tendo como base a estrutura de tomada de deciso em sistemas de informao gerenciais, os princpios citados podem ser organizados
em trs nveis: operacional, ttico e estratgico. A organizao nesses nveis ir permitir a evoluo de dados do nvel operacional em informao do nvel ttico e, posteriormente, em conhecimento do nvel estratgico, que possa ser til aos gestores no planejamento estratgico das organizaes. Estruturado dessa forma, o modelo poder ser utilizado para prover conhecimento necessrio para motivar os administradores a patrocinar a utilizao das melhores prticas de segurana computacional em todos os nveis da organizao. Dessa forma, o modelo dever ainda ser capaz de apontar as melhores prticas a serem seguidas em cada um dos nveis da organizao, contemplando trs pontos principais em cada um desses nveis: O que se espera de cada indivduo: o que deve e o que no deve ser feito. Como cada indivduo poder verificar se est cumprindo o que esperado: indicadores de produtividade. Quais mtricas devem ser utilizadas para medir a eficincia dos processos executados e para apontar ajustes que necessitem ser aplicados. Uma reviso de literatura sobre prticas de gerenciamento de segurana computacional aponta, pelo
menos, quatro pontos chaves a serem considerados na definio de um modelo para a governana da segurana da informao, a saber: Necessidade de uma avaliao de risco. Os riscos precisam ser conhecidos e as medidas de segurana correspondentes devem ser identificadas. Necessidade de uma estrutura organizacional de segurana computacional, tratada em todos os nveis da organizao. Necessidade de criar, endossar, implementar, comunicar e monitorar uma poltica de segurana por toda a organizao, com comprometimento e apoio visvel dos gestores. Necessidade de fazer com que cada indivduo da organizao conhea a importncia da segurana computacional e trein-los, para que possam utilizar as melhores prticas neste sentido. Embora esses quatro pontos chave sejam os mais comuns apontados pela literatura, os seguintes pontos so citados com freqncia: Necessidade de monitorar, auditar e revisar as atividades de forma rotineira. Necessidade de estabelecer um plano de continuidade de negcio que possa ser testado regularmente.
56
F onte Fonte
Julho/Dezembro de 2007
Julho/Dezembro de 2007
F onte Fonte
57
governana tecnolgica. Os domnios do COBIT so os seguintes: a) Planejamento e Organizao: esse domnio possui onze objetivos de controle que dizem respeito s questes estratgicas associadas a como a TIC pode contribuir, da melhor forma possvel, para alcanar os objetivos da organizao. b) Aquisio e Implementao: possui seis objetivos de controle que definem as questes de identificao, desenvolvimento e aquisio da infraestrutura de TIC, conforme as diretivas estratgicas e de
projeto predefinidos no Plano Estratgico de Informtica da empresa, tambm conhecido como Plano Diretor de Informtica (PDI). c) Entrega e Suporte: esse domnio, com treze objetivos de controle, define as questes ligadas ao uso da TIC, para atendimento dos servios oferecidos para os clientes, a manuteno e as garantias ligadas a estes servios. d) Monitorao: com quatro objetivos de controle, esse domnio define as questes de auditoria e acompanhamento
Objetivos do Negcio
dos servios de TIC, sob o ponto de vista de validao da eficincia dos processos e evoluo destes em termos de desempenho e automao. O modelo COBIT define objetivos de controle como sendo declaraes de resultado desejado ou propsito a ser atingido, pela implementao de procedimentos de controle numa atividade de TI em particular. A Figura 2 ilustra os quatro domnios do COBIT, os objetivos de controle para cada domnio e seus inter-relacionamentos.
Governana de TIC
COBIT
M1 - Monitorar os Processos M2 - Avaliar a Adequao do Controle Interno M3 - Obter Certificao Independente M4 - Providenciar Auditoria Independente
PO1 - Definir um Plano Estratgico de TI PO2 - Definir a Arquitetura da Informao PO3 - Determinar a Direo Tecnolgica PO4 - Definir a Organizao e Relacionamentos de TI PO5 - Gerenciar o Investimento em TI PO6 - Comunicar Metas e Diretivas Gerenciais PO7 - Gerenciar Recursos Humanos PO8 - Garantir Conformidade com Requisitos Externos PO9 - Avaliar Riscos PO10 - Gerenciar Projetos PO11 - Gerenciar Qualidade
Monitorizao
Objetivos do Negcio
Informao
Entrega e Suporte
DS1 - Definir e Gerenciar Nveis de Servio DS2 - Gerenciar Servios de Terceiros DS3 - Gerenciar Desempenho e Capacidade DS4 - Garantir Continuidade dos Servios DS5 - Garantir Segurana de Sistemas DS6 - Identificar e Alocar Custos DS7 - Educar e Treinaar Usurios DS8 - Auxiliar e Aconselhar Clientes DS9 - Gerenciar Configurao DS10 - Gerenciar Problemas e Incidentes DS11 - Gerenciar dados DS12 - Gerenciar Instalaes DS13 - Gerenciar a Operao
Aquisio e Implementao
AI1 - Identificar Solues Automatizadas AI2 - Adquirir e Manter Software Aplicativo AI3 - Adquirir e Manter Infra-Estrutura Tecnolgica AI4 - Desenvolver e Manter Procedimentos AI5 - Instalar e Validar Sistemas AI6 - Gerenciar Mudanas
58
F onte Fonte
Julho/Dezembro de 2007
Alm dos quatro domnios principais, que guiam o bom uso da tecnologia da informao na organizao, existe tambm a questo de auditoria, que permite verificar, por meio de relatrios de avaliao, o nvel de maturidade dos processos da organizao. O mtodo de auditoria segue o modelo do Capability Maturity Model for Software (CMMS) (Paulk et al., 1993) e estabelece os seguintes nveis: 0) Inexistente: Significa que nenhum processo de gerenciamento foi implementado. 1) Inicial: O processo implementado realizado sem organizao, de modo no planejado. 2) Repetitvel: O processo implementado repetido de modo intuitivo, isto , depende
mais das pessoas do que de um mtodo estabelecido. 3) Definido: O processo implementado realizado, documentado e comunicado na organizao. 4) Gerenciado: Existem mtricas de desempenho das atividades, de modo que o processo implementado monitorado e constantemente avaliado. 5) Otimizado: As melhores prticas de mercado e automao so utilizadas para a melhoria contnua dos processos envolvidos. O resultado da auditoria da metodologia COBIT, para a avaliao do nvel de maturidade, ajuda a rea de TIC a identificar o nvel atual e como evoluir para melhorar os
processos da organizao, permitindo a evoluo gradativa desses. O resultado da auditoria permite identificar o nvel de evoluo dos processos na organizao, de modo concreto, com base em relatrios confiveis de auditoria e parmetros de mercado. O sumrio executivo do relatrio gerado pela auditoria traz as seguintes informaes: se existe um mtodo estabelecido para o processo; como o mtodo definido e estabelecido; quais os controles mnimos para a verificao do desempenho do mtodo; como pode ser feita a auditoria no mtodo; quais as ferramentas utilizadas no mtodo e o que avaliar no mtodo para sua melhoria. A partir desse ponto, a organizao define os objetivos de controle a serem atingidos.
Julho/Dezembro de 2007
F onte Fonte
59
informao. Essas adaptaes esto relacionadas, principalmente, com a forma de tratar incidentes de segurana computacional.
Considerando a estrutura de tomada de deciso em sistemas de informao, este trabalho prope ainda um mapeamento dos
mdulos Suporte a Servios e Entrega de Servios do modelo ITIL, no nvel operacional e no nvel ttico, conforme descrito a seguir.
O N e g c i o
A T e c n o l o g i a
Gerenciamento da Segurana
7. Consideraes Finais
Neste artigo apresentaram-se a necessidade de um modelo para governana da segurana da informao e os requisitos para isto. Para atender todos os requisitos necessrios a um modelo de governana da segurana da informao, prope-se a utilizao integrada dos modelos COBIT e ITIL e da norma ISO 27002. O modelo COBIT e a norma ISO 27002 iro fornecer os objetivos de controle necessrios para atender aos requisitos apresentados. Os processos descritos no modelo ITIL sero utilizados para guiar a implementao desses objetivos de controle. Por meio de uma correlao desses objetivos, presentes no modelo COBIT e na norma ISO 27002, com os processos descritos no modelo ITIL, neste trabalho identificou-se que os mdulos de Suporte a Servios e Entrega de Servios do modelo ITIL no esto estruturados para implementar todos os objetivos de controle apresentados para o nvel operacional e ttico. Para que o modelo ITIL seja capaz de implementar todos os objetivos de controle apresentados pela norma ISO 27002 e pelo modelo COBIT, para os nveis operacional e ttico, este trabalho props, no Captulo 6, uma expanso de seus processos. A combinao do modelo COBIT com a norma ISO 27002 e o modelo ITIL permitir a utilizao das potencialidades de cada uma dessas
60
F onte Fonte
Julho/Dezembro de 2007
Referncias
(ABNT, 2001) ABNT. Tecnologia da informao Cdigo de prtica para a gesto da segurana da Informao. NBR ISO/IEC 17799. 30/09/2001. (Atualmente substituda pela ISO 27002) (BSA, 2003) BUSINESS SOFTWARE ALLIANCE. Information Security Governance: Toward a Framework for Action. Disponvel on-line em http://www.bsa.org.Visitado em 12/12/2004. (CARUSO, 2003) CARUSO, J.B. Information Technology Security: Governance, Strategy and Practice in Higher Education. EDUCASE Center for Applied Research, September, 2003. Disponvel on-line em http://www.educause.edu/ecar/. Visitado em 16/03/2005. (CERT, 2005b) CERT CORDINATION CENTER, Governing for Enterprise Security. (2005) Disponvel on-line em http://www.cert. org/governance/ges.html. Visitado em 01/03/2005 (CGTRF, 2004) CORPORATE GOVERNANCE TASK FORCE REPORT. Information Security Governance: A Call to Action. April, 2004. Disponvel on-line em: www.cyberpartnership.org/InfoSecGov4_04.pdf. Visitado em 15/11/2004. (ENTRUST, 2004) ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate Governance. April, 2004. Disponvel on-line em: http://www.entrust.com/governance/. Visitado em 16/03/2005. (IIA, 2001) THE INSTITUTE OF INTERNAL AUDITORS. Information Security Governance: What Directors Need to Know. (2001). The Critical Infraestructure Assurance Project. ISBN 0-89413-457-4. Disponvel on-line em www.theiia.org/eSAC/pdf/ISG_1215. pdf. Visitado em 14/01/2005. (ISO, 2000) International Organization for Standardization / International Eletrotechnical Committee. Information technology- Code of practice for information security management. Reference number ISO/IEC 17799:2000(E). (Atualmente substituda pela ISO 27002) (ITGI, 2000) THE IT GOVERNANCE INSTITUTE.COBIT: Control Objectives for information and related Technology. Printed in the United States of America, 2000. ISBN: 1-893209-13-X. (ITGI, 2001) THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Boards of Directors and Executive Management. Printed in the USA, 2001. ISBN 1-893209-28-8. Disponvel on-line em: http://www.itgi.org/template_ITGI. cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=6672. Visitado em 02/02/2005. (NCSP, 2004) NATIONAL CYBER SECURITY PARTNERSHIP. Information Security Governance Assessment Tool for Higher Education. 2004. Disponvel on-line em: http://www.cyberpartnership.org. Visitado em 15/03/2005. (OGC, 2000) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Support. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330015 8, (OGC, 2001a) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Delivery. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330017 4. (OGC, 2001b) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Security Management. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330014 X. (PAULK et al, 1993) PAULK, M.C.; CURTIS, B; CHRISSIS, M.B.;WEBER, C.V. Capability Maturity Model for Software, version 1.1. Technical Report, Carnegie Mellon Software Engeneering Institute, CMU/SEI-93-TR-024, February 1993. Disponvel on-line em: http://www.sei.cmu.edu/cmm/. Visitado em 12/01/2005. (RUDD, 2004) RUDD, Colin. An Introductory Overview of ITIL. Publicado por iTSMF ltd, Webbs Court, United Kingdom, 2004. Version 1.0a. Disponvel on-line em: http://www.itsmf.com/publications/ITIL/Overview.pdf. Visitado em 13/03/2005. (van GREMBERGEN, 2003) VAN GREMBERGEN, Wim. Strategies for Information Technology Governance. Idea Group Publishing, 2003. ISBN 1-591140-140-2. (WEILL&ROSS, 2004) WEILL, Peter; Ross, Jeanne W. IT Governance: how top performers manage IT decision rights for superior results. Harvard Business School Publishing, 2004. ISBN 1-59139-253-5.
Julho/Dezembro de 2007
F onte Fonte
61