Escolar Documentos
Profissional Documentos
Cultura Documentos
Centro Tecnológico da Marinha em São Paulo (CTMSP) – Av. Prof. Lineu Prestes,
2468 – Cidade Universitária – São Paulo – SP - Brasil
claudia@ctmsp.mar.mil.br , claudio@ctmsp.mar.mil.br
1. Introdução
A informação é um ativo de valor que deve ser protegido. Este reconhecimento criou a
necessidade de implantação de projetos de Gestão de Segurança da Informação nas
organizações. Todo projeto gera uma mudança, seja ela um novo produto ou uma nova
forma de produzir um produto existente, e neste caso, tem trazido conseqüências
relevantes, sejam elas administrativas, técnicas ou financeiras.
Fatores críticos de sucesso para este projeto estão relacionados com a definição
de uma política de segurança, objetivos e atividades, alinhados com os objetivos do
negócio. A política de segurança necessita ser divulgada e entendida por todos na
Organização. A cultura organizacional deve ser respeitada. O bom entendimento dos
requisitos de segurança, a avaliação de risco e seu gerenciamento, além do envolvimento
e comprometimento da direção da Organização, são imprescindíveis no estabelecimento
de uma política de segurança adequada.
A necessidade de estabelecer a segurança das informações tem levado a
aproximação do profissional de TI com o profissional ligado à atividade fim da
Organização. Desta forma, o profissional de TI deixa de ter apenas perfil técnico e passa
a ter um perfil mais abrangente obrigando-o a ser capaz de entender o negócio, analisar
formas de demonstrar o retorno do investimento, viabilizar aplicações e reduzir o risco.
Outra constatação, é a necessidade da ligação deste profissional com a direção,
determinada pela característica do projeto, cujo produto, muitas vezes é a adoção de
ações normativas além da política de segurança. A gestão de segurança como um
fundamento de gestão de negócio, transcende os aspectos meramente tecnológicos.
De acordo com a NBR ISO/IEC 17799:2001, existem três fontes para se
estabelecer os requisitos de segurança: a primeira, avaliação de riscos dos ativos da
organização; a segunda, é a legislação vigente, os estatutos, a regulamentação e as
cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de
serviços têm que atender; e a terceira, é o conjunto particular de princípios, objetivos e
requisitos para o processamento da informação que a Organização tem que desenvolver
para apoiar suas operações.
Vulnerabilidades de
Recursos Humanos
Falta de Conhecimento
Vulnerabilidades
Físicas
Falta de Falta de Redes Segregadas e Salas de Projeto
Falta de
Interesse Treinamento
Preocupação
Medidas de controle individual de informações inadequadas
Pouco Falta de
Controle de
uso de acesso inadequado Segurança
criptografia Quanto à Incêndio
Ataques Espionagem
3. Política de Segurança
Para que o gerenciamento de segurança seja efetivo e não dependa de talentos humanos,
são necessárias a criação e a implementação de uma política de segurança, dirigida
especialmente para a organização e integrada ao seu negócio.
A política de segurança tem como propósito criar critérios adequados para o
tratamento seguro das informações. A informação está vulnerável durante o seu
manuseio, armazenamento, transporte e descarte. Diretrizes, normas e procedimentos
poderão orientar a criação ou atualização da política de segurança na organização nos
níveis estratégico, tático e operacional.
Planejar as
Contenções
Planejar as Plano de
Contingências Contingências
C
Severidade
M
D
I P MP EP
Ocorrência
Situação de alto risco associado Situação de baixo risco associado
Figura 4. Severidade X Ocorrência: Quantificação de Risco
Todos os riscos, que na etapa 3 da análise de risco não foram classificados como
Impacto Aceitável, devem ser mensurados e acompanhados na gestão de risco. Quando
conveniente, o agrupamento deverá ser feito para facilitar a análise. Como dito
anteriormente, uma vez estabelecidos os riscos a serem analisados, seja individualmente
ou agrupados, é importante manter a classificação para manter a padronização.
A organização desta proposta pode ser evidenciada em uma tabela de Pontuação
dos riscos identificados na Organização (tabela 3), onde serão descritos os riscos, a
situação como eles estão sendo tratado na organização e a pontuação baseada na tabela
2. O exemplo abaixo é meramente didático, uma vez que estes tipos de informação são
sigilosos e muito específicos de cada organização.
Tabela 3. Pontuação dos riscos identificados na Organização
Item Descrição Situação Pontuação
1 Comitê de Segurança de O comitê foi designado oficialmente. Sua 7
Informações existência e objetivos foram comunicados
a toda organização. Os trabalhos foram
iniciados.
2 Política de Segurança de A política de segurança está em execução. 1
Informações
3 Histórico de tentativas de Não existem formalmente descritos os 0
obtenção de informações incidentes. Existe alguma coisa
documentada em áreas isoladas. É
necessária a centralização e
documentação do que for encontrado.
4 Instalações elétricas e os As instalações seguem todas as normas de 10
sistemas de alimentação segurança. São sempre vistoriadas.
Existem vistorias programadas e sempre
são gerados relatórios e medidas
corretivas são imediatamente aplicadas.
5 Avaliação dos Perímetros de Os perímetros estão demarcados e 4
Segurança procedimentos de reação descritos.
6 Controles dos acessos físicos Área 1:Existe rigoroso controle de acesso 7
aos locais onde estão as aos locais identificados com informações
informações críticas críticas. Existe monitoramento eletrônico
e alarmes instalados e monitorados.
Procedimentos documentados.
A medição deverá ser feita no início do projeto e sempre que for desejada uma nova
avaliação. É interessante na primeira medição, estabelecer a meta a final a ser atingida e
na próxima fase, quando for o caso.(Figura 5.e Figura 6.). No nosso estudo, foram
usados como exemplos os itens contidos na tabela 3., referentes às vulnerabilidades
administrativas e físicas.
5. Considerações finais
Os graus de tolerância aos riscos são diferentes entre organizações, por suas
características de negócio ou mesmo por razões culturais. É essencial que o Comitê de
Segurança valide com a Direção os critérios de definição dos limites de aceitação e as
ações propostas para os riscos avaliados. Os riscos podem ser dinâmicos e, portanto,
devem ser avaliados constantemente durante a execução do projeto. Além disso, a
implementação de uma resposta a um risco pode mitigar um risco primário, mas criar as
condições para o surgimento de um risco secundário ou residual.
A necessidade de se conseguir enxergar várias alternativas e um pouco de
conservadorismo são características de uma boa gestão de riscos, e estes fatores, podem
reduzir drasticamente os custos de um projeto.
Cabe ressaltar que o projeto de Implantação de Segurança de Informação deve
ser classificado como Confidencial, e em certos casos, até mesmo como Secreto. A
análise de Risco, em especial, expõe a Organização, explicitando todas as suas
vulnerabilidades e possíveis Planos de Contingência.
6. Conclusão
A necessidade de implantação de projeto de Segurança da Informação é um fato
reconhecido pela maioria das organizações. Este projeto envolve todos da organização e
traz uma aproximação do profissional de TI com os profissionais de áreas ligadas à
atividade fim, área financeira / administrativa e à direção. Desta forma é necessário que
a linguagem utilizada deve ser comum e de fácil entendimento para todos. Além disto, é
de conhecimento que na gestão empresarial, aquilo que não se pode medir, não se pode
gerenciar.
O uso de metodologias e métricas é fundamental para a aproximação de áreas,
propiciando uma melhor integração entre os setores.O objetivo de implantação da
segurança na Organização, é facilitado quando se utilizam os conhecimentos distribuídos
pela Organização além de da utilização de metodologia de gerenciamento de projeto.
6. Referências
ABNT, NBR ISO/IEC 17799 “Tecnologia da Informação-Código de Prática Para
Gestão da Segurança da Informação” , 2001
CMU/SEI-93-TR-24 Paulk, Mark C.; Curtis, Bill; Chrissis, Mary Beth Chrissis, and
Weber, Charles, “Software Engineering Institute Capability Maturity Model for
software,V1.1”, 1993.