Escolar Documentos
Profissional Documentos
Cultura Documentos
Definido o nvel de segurana que a empresa julga necessrio ter em cada processo
de negcio, entra o pessoal de TI com a sugesto de solues baseadas em suas
normas internas de governana, para automatizar as atividades de proteo,
conteno e correo de falhas. Melhor ainda se a governana estiver atrelada a
regras de transparncia financeira e controle de riscos, como a Lei Sarbanes-Oxley.
"CIOs sempre souberam que era necessrio aprimorar os processos de controle,
mas quando faziam a conta era difcil de atingir o ROI. A Sarbanes-Oxley um
grande auxlio, pois os investimentos em segurana de TI agora passam a ser
justificados pela conformidade com a legislao e a preservao da reputao da
empresa", diz Fran Meylan, scio para information
risk da consultoria e auditoria KPMG.
Mas quanto necessrio investir para manter os riscos sob controle? Essa quantia
corresponde a cerca de 8% do oramento de TI, de acordo com uma pesquisa
divulgada pela ISS, empresa de servios de segurana de TI que foi adquirida no
ano passado pela IBM.No setor financeiro o percentual mais alto, em torno de
10%."J tivemos pico de 15% do oramento aplicado em segurana, com foco num
grande plano de continuidade de negcios", diz Jos Waldir de Carvalho, gerente de
segurana de TI da Nossa Caixa, o terceiro maior banco pblico brasileiro. Se
gundo Carvalho, o conceito de gesto de risco torna a segurana de TI proativa,
alinhada com o negcio e, portanto, capaz de gerar resultados mensurveis. "Ao
usar os mesmos indicadores de negcio, fica fcil mostrar o quanto cada soluo de
TI contribui para melhorar a produtividade da empresa e preservar sua
reputao.Os ganhos so provados", diz Carvalho.
Definio de responsabilidades
Regras internacionais do mercado financeiro, como Sarbanes-Oxley e Basilia II,
exigem que as empresas atribuam responsabilidades e recursos para a gesto de
risco.Em outras palavras: algum deve ser nomeado para essa rea e ter uma
verba predeterminada. No caso dos riscos relativos segurana da informao, o
CIO quem faz a nomeao desse gestor, que assume a posio de CSO (Chief
Security Officer).No Brasil, normalmente esse cargo responde ao lder de TI, j que
o oramento de segurana de TI costuma ser centralizado. Por falar em budget, a
advogada Patricia Peck, especializada em segurana, recomenda uma reserva
financeira para contingncia jurdica." A poltica de segurana da informao, antes
de mais nada, um documento jurdico. Sendo assim, extremamente importante
que sua elaborao tenha a participao do departamento jurdico ou de um
advogado externo", diz Patricia.
Alm das reservas para eventuais problemas, o oramento da gesto de risco pode
seguir a tendncia, apontada por especialistas, de ser compartilhado com as reas
usurias.A deciso de investimento passaria a ser do respectivo gestor para cobrir
os riscos de negcio." uma maneira de evitar que o CIO leve a culpa sempre que
h um problema de segurana. A responsabilidade muitas vezes da rea usuria",
diz Fernando Nery, presidente da Mdulo, empresa especializada em segurana.V
inicius Freitas, supervisor de sistemas de informao da Secretaria da Fazenda do
Rio Grande do Sul, concorda, e por isso faz a gesto compartilhada do controle de
acesso aos sistemas."O controle de acesso aos dados de responsabilidade das
reas que os utilizam", afirma Freitas, que adota basicamente as tecnologias de
gerenciamento de identidade desenvolvida pela Companhia de Processamento de
Dados do Rio Grande do Sul (Procergs) e filtros da McAfee.
Novas tecnologias
Para minimizar os riscos e se antecipar s ameaas, uma das tecnologias mais
quentes disposio de CIOs a de correlacionamento de eventos. A ferramenta
faz a anlise de logs de forma automatizada e com base em regras de negcio
previamente estipuladas. Assim possvel identificar uma tentativa de fraude no
minuto em que ela ocorre, em vez de contar com a sorte de o tcnico passar os
olhos na tela de registros daquele aplicativo naquele exato momento. A maioria das
empresas no Brasil, de portes variados, ainda estuda o assunto."O grande vilo da
gesto de segurana de TI so os logs, que se multiplicam a cada minuto. Uma
ferramenta que pudesse unificar e cruzar dados, mapeando as causas e os efeitos
de uma determinada ao de forma imediata, agilizaria o nosso processo de debug.
Mas ainda no vi no mercado um software que nos atenda plenamente", afirma
Eduardo Paes, gerente de TI da Autotrac, empresa de monitoramento e
rastreamento de frotas, presidida pelo ex-piloto de Frmula-1 Nelson Piquet. O
plano de abertura de capital da Autotrac, previsto para este ano, trouxe a
necessidade de documentao e maior formalismo da poltica de segurana."H
redundncia dos equipamentos, dos servios e da gesto de risco, que aberta
para toda a equipe", diz Paes. Um dos itens redundantes um IPS, sistema de
deteco e preveno a intruso da Tipping Point (3Com).
Recompensa
A principal maneira de reforar internamente a necessidade de controle dos
processos, na opinio Lauretti, atrelar a gesto de risco remunerao varivel
dos lderes de TI. Tanto o CIO quanto seus trs principais auxiliares, que so os
gerentes de desenvolvimento, atendimento ao cliente e infra-estrutura, tm de
mostrar os resultados da estratgia de segurana de TI. Se as metas no forem
atingidas,os gestores sofrero a penalidade no bolso. Por outro lado,se suas aes
superarem as expectativas,ele s sero recompensados por isso."O exemplo deve vir
de cima para trazer resultados", afirma.
Normas
A fatia do oramento de TI dedicada a segurana vem aumentando, principalmente
motivado por exigncias legais. Os controles para a gesto de risco seguem a
norma NBR ISO/IEC 17799 e as recomendaes do Cobit, combinao que tambm
foi utilizada para o atendimento aos requisitos de segurana durante o processo de
certificao na Lei Sarbanes-Oxley. "As exigncias legais e regulatrias so tambm
grandes aliadas na justificativa dos investimentos em segurana, e por isso
precisam ser apresentadas de forma clara e objetiva", afirma Tasca. Seu
departamento responsvel por um plano de segurana corporativo, com o
horizonte de cinco anos,que abrange toda a empresa,nas operaes de gerao,
transformao e distribuio de energia eltrica. "Apesar de ter sido desenvolvido
dentro da rea de TI, o plano teve a preocupao de no contemplar apenas as
informaes em meio digital, mas tambm a classificao de risco da informao
falada e escrita", diz Luiz Guelman, gestor de administrao de segurana da
informao da Cemig.
Parceiros
No que se refere ao pilar das pessoas, h um programa extenso de treinamento
para os 24 mil usurios de TI e tambm para os clientes e a comunidade.
Internamente, a cartilha fica disponvel na intranet e, no final do ano, h um dia
especial para falar do tema, com uma srie de palestras, desde as bsicas at as
estratgicas, algumas proferidas pelos parceiros. o caso da True Access, que
participa como integradora de solues de segurana contra intruso (antivrus,
firewall) e prestadora de servio de rotinas de criptografia. Na hora da
implementao, Carvalho faz questo que os fabricantes, como Symantec e
CheckPoint, entrem no projeto. "No porque atua por meio de um integrador que
o detentor da tecnologia no vai participar. Ao contrrio, todos os envolvidos so
co-responsveis."
Valor dos ativos: Determine o valor que cada ativo de TI representa para os
negcios. Um servidor de banco de dados mais crtico que um desktop, por
exemplo
Aceitar: O custo de eliminar um risco no pode ser maior do que o ativo em si. H
nveis de risco que podem ser aceitos ou tolerados
Transferir: Terceirizar a gesto de alguns riscos pode trazer mais resultado do que
alocar poucos recurso e esforo a eles
A IMAGEM DE TI