Segurana com ROI

Elaborar uma poltica de gesto de riscos a maneira mais

eficiente de aproximar a segurana da estratgia de negcios.
E o melhor: ajuda o CIO a justificar os investimentos para o
board
POR Luana Pavani | ILUSTRAES NIK

Esquea antivrus, firewall ou anti-spam na

hora de mostrar o retorno do investimento
(ROI) em segurana da informao. O CEO
no est interessado em falar sobre intruso,
mas certamente ficar sensibilizado ao saber
que o nvel de exposio da companhia pode
aumentar caso determinado processo no
esteja bem protegido. Ao tratar a questo da
segurana pelo vis da gesto de riscos, o CIO
consegue aproximar o assunto da estratgia
de negcios.

"O ROI vem da aderncia da TI necessidade

corporativa de gerenciar e reduzir os riscos. A
informao um ativo importante que, se for
comprometido, pode afetar os objetivos de
negcios", diz Orson Kalil, scio da consultoria
Deloitte e especialista em gerenciamento de
riscos. Embora a segurana da informao
seja capaz de gerar retorno, o ROI costuma
ser empregado de maneira informal pelos
CIOs, j que na maioria das empresas a
questo tratada como despesa. Tambm
difcil atribuir uma medida de segurana especfica para cada tipo de risco.

A tendncia que as ferramentas de segurana combinem uma gama cada vez

maior de tecnologias sob uma nica interface, gerenciando vrios riscos de maneira
integrada. Esse avano das tecnologias de proteo, principalmente nos ltimos
dois anos, permitiu ao CIO mudar o discurso."O CEO no enxergava o ROI em
segurana porque, na melhor das hipteses, nada acontecia, j que os sistemas
continuavam rodando. Mas quando o CIO fala em minimizar os riscos, consegue
sensibilizar as reas de negcio para os gastos necessrios e com elas apurar os
resultados", afirma Cassio Dreyfuss, vice-presidente de pesquisas do Gartner.

De acordo com o instituto de pesquisas, o nvel de segurana adequado

proporcional ao grau de risco, que por sua vez vai direcionar o volume de
investimentos que a empresa aceita fazer." um erro nivelar os gastos pelo valor
mais alto em segurana de TI", diz Dreyfuss. O que importa, segundo ele,
mensurar o impacto das ameaas do ponto de vista dos processos, em vez de
abordar as ameaas em si. Um determinado nvel de risco pode ser aceitvel,
enquanto outro precisa ser evitado a todo custo e, portanto, demanda um
desembolso maior.

Definido o nvel de segurana que a empresa julga necessrio ter em cada processo
de negcio, entra o pessoal de TI com a sugesto de solues baseadas em suas
normas internas de governana, para automatizar as atividades de proteo,
conteno e correo de falhas. Melhor ainda se a governana estiver atrelada a
regras de transparncia financeira e controle de riscos, como a Lei Sarbanes-Oxley.
"CIOs sempre souberam que era necessrio aprimorar os processos de controle,
mas quando faziam a conta era difcil de atingir o ROI. A Sarbanes-Oxley um
grande auxlio, pois os investimentos em segurana de TI agora passam a ser
justificados pela conformidade com a legislao e a preservao da reputao da
empresa", diz Fran Meylan, scio para information
risk da consultoria e auditoria KPMG.

Mas quanto necessrio investir para manter os riscos sob controle? Essa quantia
corresponde a cerca de 8% do oramento de TI, de acordo com uma pesquisa
divulgada pela ISS, empresa de servios de segurana de TI que foi adquirida no
ano passado pela IBM.No setor financeiro o percentual mais alto, em torno de
10%."J tivemos pico de 15% do oramento aplicado em segurana, com foco num
grande plano de continuidade de negcios", diz Jos Waldir de Carvalho, gerente de
segurana de TI da Nossa Caixa, o terceiro maior banco pblico brasileiro. Se
gundo Carvalho, o conceito de gesto de risco torna a segurana de TI proativa,
alinhada com o negcio e, portanto, capaz de gerar resultados mensurveis. "Ao
usar os mesmos indicadores de negcio, fica fcil mostrar o quanto cada soluo de
TI contribui para melhorar a produtividade da empresa e preservar sua
reputao.Os ganhos so provados", diz Carvalho.

Mesmo atuando em conformidade com as principais normas de segurana e de

posse de uma poltica de gesto de risco detalhada, o CIO costuma esbarrar na
desobedincia dos usurios, inclusive os da diretoria. "Toda empresa tem um drive
compartilhado, o 'X': no qual os diretores colocam os documentos mais es
tratgicos da companhia, para a secretria imprimir. Depois o arquivo fica l e
qualquer um v", diz Ricardo Chisman, scio da consultoria Accenture. Segundo
ele, o foco da gesto de segurana deve ser a informao, mais do que a
tecnologia."O risco de ter um balancete roubado da impressora muito maior do
que a invaso de um hacker", afirma Chisman.

Definio de responsabilidades
Regras internacionais do mercado financeiro, como Sarbanes-Oxley e Basilia II,
exigem que as empresas atribuam responsabilidades e recursos para a gesto de
risco.Em outras palavras: algum deve ser nomeado para essa rea e ter uma
verba predeterminada. No caso dos riscos relativos segurana da informao, o
CIO quem faz a nomeao desse gestor, que assume a posio de CSO (Chief
Security Officer).No Brasil, normalmente esse cargo responde ao lder de TI, j que
o oramento de segurana de TI costuma ser centralizado. Por falar em budget, a
advogada Patricia Peck, especializada em segurana, recomenda uma reserva
financeira para contingncia jurdica." A poltica de segurana da informao, antes
de mais nada, um documento jurdico. Sendo assim, extremamente importante
que sua elaborao tenha a participao do departamento jurdico ou de um
advogado externo", diz Patricia.

Alm das reservas para eventuais problemas, o oramento da gesto de risco pode
seguir a tendncia, apontada por especialistas, de ser compartilhado com as reas
usurias.A deciso de investimento passaria a ser do respectivo gestor para cobrir
os riscos de negcio." uma maneira de evitar que o CIO leve a culpa sempre que
h um problema de segurana. A responsabilidade muitas vezes da rea usuria",
diz Fernando Nery, presidente da Mdulo, empresa especializada em segurana.V
inicius Freitas, supervisor de sistemas de informao da Secretaria da Fazenda do
Rio Grande do Sul, concorda, e por isso faz a gesto compartilhada do controle de
acesso aos sistemas."O controle de acesso aos dados de responsabilidade das
reas que os utilizam", afirma Freitas, que adota basicamente as tecnologias de
gerenciamento de identidade desenvolvida pela Companhia de Processamento de
Dados do Rio Grande do Sul (Procergs) e filtros da McAfee.

Aps determinar o grau de risco, a verba, as prticas, as responsabilidades e as

ferramentas, surge um ponto crucial: a monitoria.Ter dispositivos de segurana
instalados no garantia de que a empresa esteja a salvo."Mais de 70% dos
firewalls so mal administrados. Os CIOs se esquecem de instalar a ltima verso",
diz Rogrio Morais, diretor da ISS.

As melhores prticas de gesto de TI, como Cobit (Control Objectives for

Information and Related Technology) e Itil (Information Technology Infrastructure
Library), indicam nos seus captulos de controles que o que funciona delegar
responsabilidades e estabelecer rotinas de monitoramento das polticas que a
empresa resolver adotar. O passo seguinte realizar uma anlise de gaps dos
processos de TI em relao aos elementos de risco ao negcio. "TI ajuda a levantar
os riscos, mas a deciso da rea de negcio", diz Dreyfuss. Quando o cliente
interno entregar o mapa de riscos, ento o CIO e sua equipe de segurana partiro
em busca de ferramentas e servios para gerenci-los. O problema que no h
um pacote nico. "No existe um ERP para gesto de risco", diz Nery, da Mdulo.
So muitos fornecedores e muitas ferramentas. Para completar, h uma profuso
de normas nacionais e internacionais de segurana da informao, sendo as
principais a ISO NBR 17799 e o captulo 404 da Lei Sarbanes-Oxley, referente g
esto de c ontroles de TI.

Novas tecnologias
Para minimizar os riscos e se antecipar s ameaas, uma das tecnologias mais
quentes disposio de CIOs a de correlacionamento de eventos. A ferramenta
faz a anlise de logs de forma automatizada e com base em regras de negcio
previamente estipuladas. Assim possvel identificar uma tentativa de fraude no
minuto em que ela ocorre, em vez de contar com a sorte de o tcnico passar os
olhos na tela de registros daquele aplicativo naquele exato momento. A maioria das
empresas no Brasil, de portes variados, ainda estuda o assunto."O grande vilo da
gesto de segurana de TI so os logs, que se multiplicam a cada minuto. Uma
ferramenta que pudesse unificar e cruzar dados, mapeando as causas e os efeitos
de uma determinada ao de forma imediata, agilizaria o nosso processo de debug.
Mas ainda no vi no mercado um software que nos atenda plenamente", afirma
Eduardo Paes, gerente de TI da Autotrac, empresa de monitoramento e
rastreamento de frotas, presidida pelo ex-piloto de Frmula-1 Nelson Piquet. O
plano de abertura de capital da Autotrac, previsto para este ano, trouxe a
necessidade de documentao e maior formalismo da poltica de segurana."H
redundncia dos equipamentos, dos servios e da gesto de risco, que aberta
para toda a equipe", diz Paes. Um dos itens redundantes um IPS, sistema de
deteco e preveno a intruso da Tipping Point (3Com).

Assim como o IPS, a tecnologia de appliance (dispositivo de rede com software

instalado) no novidade, mas s nos ltimos anos ganhou fora, na esteira da
busca dos CIOs por simplificar os pontos de contato no quesito segurana."As
ferramentas de proteo devem gerar informaes teis para a tomada de deciso.
Afinal, as ameaas esto cada vez mais especficas e individualizadas", diz Fbio
Peake, gerente de contas da fornecedora Trend Micro.

Tambm so crescentes os casos de clientes que aderem aos servios terceirizados

de anlise de vulnerabilidades do ambiente de TI, in loco ou de forma remota. O
CIO fecha um contrato mensal para ter a avaliao de fragilidades e a atualizao
de patches feitas por um provedor especializado.
"As pequenas e mdias empresas aderiram com fora aos servios de anlise
remota, e agora as grandes esto fechando seus primeiros contratos", diz Mrcio
Lebro, presidente da McAfee no Brasil, empresa que tem como um dos principais
clientes de grande porte a Tecban, com seus 3 mil caixas eletrnicos integrados a
uma soluo de gerenciamento centralizado de segurana.

Embora muitos controles possam ser terceirizados ou automatizados, a poltica de

gesto de risco complexa e estratgica. "No um configurador de firewall que
pode virar gestor de risco", diz Fernando Nery, presidente da Mdulo. O profissional
deve combinar a viso tcnica com a corporativa, para ser capaz de pensar no
apenas em controle de acesso, mas tambm em planos de continuidade de negcio
e estabelecimento de uma poltica organizacional de segurana. Dessa maneira,
segurana passa a ser um atributo de cada funcionrio de TI, no seu dia-a-dia.
"Gerir os ativos de forma separada no permite um diagnstico completo da
segurana", afirma Dario Caraponale, diretor da True Access Consulting. De acordo
com ele, fora do setor financeiro so poucas as empresas com modelos eficazes de
gesto de risco. "O mais comum ver investimentos pontuais, reativos", afirma.
Para saber como tornar sua TI mais proativa em segurana, acompanhe, nas
prximas pginas, as estratgias e prticas de gesto de risco das empresas
Albras, Cemig, Nossa Caixa e Tecban.

Tecban associa gesto de riso remunerao da equipe de TI

Os grandes bancos brasileiros tm solues avanadas de segurana de TI e de

anlise de risco. E esperam o mesmo de seus parceiros transacionais,c omo o
caso da Tecban,empr esa que administra a rede de caixas eletrnicos
Banco24Horas, composta de 3,2 mil terminais instalados em aproximadamente 260
cidades brasileiras." Gesto de risco obrigao no setor financeiro. Somos uma
extenso de nossos clientes, e por isso precisamos ter um nvel semelhante ou
melhor de segurana", afirma Lisias Lauretti,CIO da Tecban,que presta servios
transacionais a dez grandes bancos e a outras 35 instituies financeiras no Brasil.

O oramento para segurana,bem como toda a verba de TI da Tecban,t em

administrao centralizada, nas mos de Lauretti. As reas de negcio participam
das decises sobre as ferramentas e servios de proteo aos sistemas em reunies
de comit para aprovao de investimentos. Todo novo projeto proposto pela TI
deve estar em conformidade com as regras de governana corporativa e as normas
do Banco Central para o setor financeiro, o que necessariamente passa por uma
prvia avaliao de risco. Dessa forma,os projetos de TI sempre envolvem em
maior ou menor grau aspectos de segurana. "Solues de segurana entram
inicialmente como investimento,e depois de implementadas passam a ser
contabilizadas como custo. Isso refora nossa busca pelo estado da arte em
tecnologia para a gesto de risco", diz Lauretti.

Recompensa
A principal maneira de reforar internamente a necessidade de controle dos
processos, na opinio Lauretti, atrelar a gesto de risco remunerao varivel
dos lderes de TI. Tanto o CIO quanto seus trs principais auxiliares, que so os
gerentes de desenvolvimento, atendimento ao cliente e infra-estrutura, tm de
mostrar os resultados da estratgia de segurana de TI. Se as metas no forem
atingidas,os gestores sofrero a penalidade no bolso. Por outro lado,se suas aes
superarem as expectativas,ele s sero recompensados por isso."O exemplo deve vir
de cima para trazer resultados", afirma.

Para simplificar o caminho rumo s metas,os principais indicadores de gesto de

risco da Tecban so apenas trs: quantidade de eventos; o suporte de TI s
atividades e ao crescimento da empresa; e a flexibilidade do ambiente tecnolgico
dentro de padres controlados. Lauretti planeja em 2007 estender a aplicao
desses indicadores para outros nveis hierrquicos dentro do time de TI, que soma
160 profissionais. Tambm est nos planos reduzir a complexidade da gesto das
diversas solues de segurana em uso, algumas terceirizadas, como anlise de
vulnerabilidades. "Alm de restringir os perfis de acesso, estamos unificando as
senhas. Assim, o ambiente fica mais controlado e ganhamos tempo para gerir em
vez de reagir aos riscos", diz Lauretti.

Cemig monitora todo tipo de informao

A conscientizao dos benefcios da gesto de

risco para os negcios a melhor forma de
sensibilizar o board para o ROI em segurana de
TI, na opinio de Srgio Tasca, superintendente
de informtica e telecomunicaes da Companhia
Energtica de Minas Gerais,empr esa de capital
misto que possui a maior rede de distribuio de
energia eltrica da Amrica Latina e cinco
dezenas de usinas de gerao. Para defender os
investimentos em segurana, a TI da Cemig
procura demonstrar as vantagens que essas
aes podem gerar para o negcio,em vez de
enfocar as ameaas existentes. "Caso as ameaas
no se concretizem, pode-se criar uma falsa
sensao de segurana, levando a uma incorreta
priorizao dos investimentos, com conseqente
aumento da vulnerabilidade e necessidade futura de mais recursos para a
recuperao do ambiente",af irma Tasca.

Normas
A fatia do oramento de TI dedicada a segurana vem aumentando, principalmente
motivado por exigncias legais. Os controles para a gesto de risco seguem a
norma NBR ISO/IEC 17799 e as recomendaes do Cobit, combinao que tambm
foi utilizada para o atendimento aos requisitos de segurana durante o processo de
certificao na Lei Sarbanes-Oxley. "As exigncias legais e regulatrias so tambm
grandes aliadas na justificativa dos investimentos em segurana, e por isso
precisam ser apresentadas de forma clara e objetiva", afirma Tasca. Seu
departamento responsvel por um plano de segurana corporativo, com o
horizonte de cinco anos,que abrange toda a empresa,nas operaes de gerao,
transformao e distribuio de energia eltrica. "Apesar de ter sido desenvolvido
dentro da rea de TI, o plano teve a preocupao de no contemplar apenas as
informaes em meio digital, mas tambm a classificao de risco da informao
falada e escrita", diz Luiz Guelman, gestor de administrao de segurana da
informao da Cemig.

Antes, as aes de segurana estavam pulverizadas nas diversas gerncias dentro

da equipe de TI da Cemig e estavam voltadas basicamente para atividades de
proteo contra as ameaas. "O risco no era mensurado e seu tratamento
dependia da percepo individual de tcnicos e gerentes", afirma Guelman. Hoje, o
risco est incorporado administrao estratgica da empresa, com indicadores no
Balanced Scorecard corporativo. Um software de gesto de risco da informao,
adquirido no mercado, faz a anlise de controles para identificar o grau de risco dos
ativos e os pontos crticos que requerem cuidados imediatos. Com essa anlise, a
TI da Cemig calcula periodicamente o ndice de segurana e estabelece uma meta,
que passa a ser acompanhada pelo comit de segurana da informao e pela
diretoria. Tambm mensurada a exposio financeira caso uma determinada
ameaa se concretize e h uma anlise qualitativa de como os incidentes podem se
transformar em impactos para a imagem da empresa. Mas quando um funcionrio
infringe de alguma maneira a poltica de segurana, a rea de TI da Cemig procura
agir com leveza. "As violaes da poltica devem ser tratadas com aes educativas
evitando ao mximo as punies para que a segurana da informao no seja
vista como polcia", afirma Guelman.

Para o treinamento dos 11 mil funcionrios da companhia de energia, h um

programa com atividades ldicas, chamado "Em dia com a segurana", e um curso
de e-learning, desenvolvido com base nos principais vcios comportamentais
detectados a partir de pesquisas internas. Segundo Luiz Guelman, nesses
treinamentos necessrio dedicar uma ateno especial camada gerencial. "So
os gerentes que iro incentivar seus colaboradores a participar dos programas de
conscientizao, viabilizar a implementao dos controles de segurana e auxiliar
na obteno dos recursos necessrios", afirma Guelman.

Nossa Caixa investe R$40 milhes por ano em

segurana de TI

A rea de segurana da informao da Nossa Caixa,

banco pblico do estado de So Paulo, trabalha
alinhada com outras trs reas: auditoria interna,
controladoria e risco operacional, que fiscaliza o
cumprimento das normas do Banco Central e das
internacionais, como Basilia. "A segurana de TI
est alinhada com o negcio. Ento, quando
apresento um projeto, quem me ajuda a defender o
investimento no so meus colegas de TI, mas os de
negcio", diz Jos Waldir Carvalho, gerente de
segurana da informao do banco estadual paulista.
Segundo ele, a deciso sobre as solues de
segurana feita em comits de planejamento
estratgico. Dessa forma, os indicadores da rea de
segurana de TI se relacionam com os de risco
operacional, e os mecanismos de controle so
avaliados pela auditoria. "Hoje, a empresa entende
que no d para sobreviver no sistema financeiro sem uma segurana proativa. o
tipo de despesa que traz ganhos para a companhia", afirma Carvalho. A justificativa
dos ganhos numa soluo de antivrus, por exemplo, dada em relao melhora
da produtividade dos funcionrios e preservao da imagem da empresa. "Tudo
isso se mostra com nmeros, com estatsticas e dados de pesquisa", diz. No papel
de CSO, Carvalho reporta para a diretoria de TI, de onde sai seu oramento, de
aproximadamente 40 milhes de reais anuais. A gesto de segurana da
informao da Nossa Caixa dividida no trip tecnologia, pessoas e processos. As
solues so implementadas de acordo com a norma de segurana NBR ISO 17799
e a governana de TI do banco, que baseada em Cobit."Os frameworks ajudam a
rever as normatizaes, mas somente com ferramentas que se tem o
cumprimento das regras. Afinal, no adianta baixar normas sem mecanismos para
monitor-las", diz Carvalho. Entre as principais solues, Carvalho destaca
gerenciamento de identidade, classificao das informaes, certificao de
aplicaes crticas e reviso de normas.

Parceiros
No que se refere ao pilar das pessoas, h um programa extenso de treinamento
para os 24 mil usurios de TI e tambm para os clientes e a comunidade.
Internamente, a cartilha fica disponvel na intranet e, no final do ano, h um dia
especial para falar do tema, com uma srie de palestras, desde as bsicas at as
estratgicas, algumas proferidas pelos parceiros. o caso da True Access, que
participa como integradora de solues de segurana contra intruso (antivrus,
firewall) e prestadora de servio de rotinas de criptografia. Na hora da
implementao, Carvalho faz questo que os fabricantes, como Symantec e
CheckPoint, entrem no projeto. "No porque atua por meio de um integrador que
o detentor da tecnologia no vai participar. Ao contrrio, todos os envolvidos so
co-responsveis."

Albras opta por outsourcing de segurana

Empresas de manufatura no tm TI como core business, portanto, o oramento

para as aes de segurana do ambiente tecnolgico costuma ser bem apertado.
Uma sada encontrada pela produtora de alumnio Albras - Alumnio Brasileiro S.A.,
controlada pela Companhia Vale do Rio Doce, foi terceirizar essa funo, com o
pagamento de mensalidade pelo servio de proteo dos ativos de TI. Antonio
Farinha, gerente de segurana da informao da Albras, diz-se satisfeito com o
outsourcing de segurana, realizado desde 2002, com o mesmo fornecedor, a
Disec. "Quando aparece no mercado
alguma ameaa em potencial, a empresa parceira atua antes que ela se torne um
risco para ns", afirma. Essa estratgia, segundo Farinha, foi importante
principalmente nos ltimos dois anos, nos quais a Albras passou por um processo
de certificao na Lei Sarbanes-Oxley. "A Sarbox s veio ajudar a justificar as aes
da rea de segurana. Todos entendem a necessidade de controles, que so
muitos", diz. Ele e os outros 16 profissionais da equipe de TI, mais 32 terceirizados,
trabalham tambm para a Alunorte - Alumina do Norte do Brasil S.A., outra
empresa da Vale na cadeia produtiva de alumnio. A poltica de segurana vale para
ambas, o que significa proteger 1,3 mil estaes de trabalho, 55 servidores e cerca
de 50 sistemas, alm do ERP Oracle Business Suite.

O contrato mensal com a Disec monitorado por acordo de nvel (SLA).

Atualmente, so realizados os servios de preveno de intruso (IPS), com
redundncia do equipamento, antivrus e anti-spam nas 2,5 mil caixas postais, filtro
de contedo para acesso internet e firewall. Alm disso, h checagem de
vulnerabilidades, o que resvala na infra-estrutura de TI, gerenciada por outro
prestador de servio, a IBM, que faz o outsourcing de data center, help desk,
controles de ativos e de licenas. Para 2007, Farinha prev investir na redundncia
de links e na contingncia dos equipamentos de segurana.

COMO MEDIR OS RISCOS...

Antes de comprar ferramentas, saiba que a identificao dos riscos torna os

investimentos mais adequados em relao real necessidade de porteo. Para
tanto deve-se observar alguns fatores:

Valor dos ativos: Determine o valor que cada ativo de TI representa para os
negcios. Um servidor de banco de dados mais crtico que um desktop, por
exemplo

Vulnerabilidade: Mensure para para cada ativo de TI seu nvel de vulnerabilidade,

ou seja, fatores ou circunstncias que podem lhes causar danos

Ameaas: Avalie o que pode dar errado em cada processo de negcio e a

intensidade com que essa ameaa ocorre. Qual a possibilidade de uma parada
completa dos servidores e por quais motivos?
Impacto: A avaliao do risco deriva do impacto causado por uma eventual falha
ou brecha de segurana. A mtrica de impacto permite contrapor os efeitos de um
incidente em relao aos investimentos em proteo

... E QUAIS AES TOMAR

Aceitar: O custo de eliminar um risco no pode ser maior do que o ativo em si. H
nveis de risco que podem ser aceitos ou tolerados

Mitigar: Ferramentas de segurana como firewalls, deteco de invases e

antivrus ajudam a detectar e reagir s ameaas

Transferir: Terceirizar a gesto de alguns riscos pode trazer mais resultado do que
alocar poucos recurso e esforo a eles

Evitar: Quando o custo e a probabilidade do risco so grandes, desista da operao

ou do sistema em questo

Controlar: Com ferramentas e procedimentos de preveno, deteco e correo

A IMAGEM DE TI

Das categorias de risco, quais so as mais significativas?

52% Reputao - danos imagem da empresa

41% Regulatrio - descumprimento de leis
35% Tecnologia da Informao - falhas de sistema

O que mais afeta a reputao da empresa?

66% No cumprimento de leis e regulamentos

58% Prticas de tica duvidosa
57% Falhas na segurana da informao