Você está na página 1de 50

Governana de Segurana

da Informao

TTULO DO DOCUMENTO 1
Aula 1:
Ttulo da aula: Governana Corporativa
1. Introduo
De acordo com o Instituto Brasileiro de Governana Corporativa IBGC
(2009),
Governana Corporativa o sistema
pelo qual as organizaes so dirigidas,
monitoradas e incentivadas, envolvendo os
relacionamentos entre proprietrios,
conselho de administrao, diretoria e
rgos de controle. As boas prticas de
Governana Corporativa convertem
princpios em recomendaes objetivas,
alinhando interesses com a finalidade de
preservar e otimizar o valor da
organizao, facilitando seu acesso ao
capital e contribuindo para a sua
longevidade.

O Cdigo das Melhores Prticas de Governana Corporativa do IBGC (2009)


estabelece que independente de tratar-se de um tipo de sociedade
caracterizado por aes de capital aberto ou fechado, limitada ou civil, as
melhores prticas da Governana Corporativa tm como objetivo indicar
caminhos visando a aumentar o valor da sociedade, a melhorar o seu
desempenho, a facilitar seu acesso ao capital a custos mais baixos e a
contribuir para sua perenidade.

Os princpios bsicos que inspiram esse cdigo so:


Transparncia: baseada na obrigao e no desejo de informar;
Equidade: tratamento justo e igualitrio para todos os
acionistas;

TTULO DO DOCUMENTO 2
Prestao de contas: os agentes da governana corporativa
devem prestar contas de sua atuao a quem os elegeu e
assumir a responsabilidade pelos seus atos e omisses;
Responsabilidade corporativa: conselheiros e executivos devem
zelar pela perenidade das organizaes, com viso de longo
prazo e de sustentabilidade, incorporando consideraes de
ordem social e ambiental na definio dos negcios e
operaes.
A governana corporativa est associada ao processo decisrio da alta
gesto e aos relacionamentos entre os principais atores das organizaes,
caracterizados principalmente pelos executivos, conselheiros e acionistas.
Neste contexto, podemos entender a governana corporativa como um
sistema baseado em um conjunto de mecanismos pelo qual os negcios e as
corporaes possam ser dirigidos e controlados, fazendo com que as
decises corporativas sejam sempre tomadas com a finalidade de maximizar
a perspectiva de gerao de valor de longo prazo para o negcio.

Conflito de interesse e o problema do agente-principal

A teoria mais aceita para discutir a temtica da governana corporativa a


do agente-principal. Segundo essa teoria, existe uma explicao para os
problemas de desalinhamento de interesses que ocorrem nas empresas e
quais mecanismos podem ser empregados para reduzir seus custos.

Esta teoria fundamentada no agente-principal e na compreenso entre


agente (tomadores de deciso) e principal (pessoas que confiam as decises
para terceiros). Segundo a teoria, no se pode afirmar que o agente sempre
agir no melhor interesse do principal. Isto implicar em um problema entre
ambos, conhecido como problema do agente-principal ou problema de
agncia.

2. Exemplo de Estrutura de Governana Corporativa e melhores prticas

TTULO DO DOCUMENTO 3
A figura 1 a seguir, mostra um exemplo de modelo de estrutura de
governana e gesto, segundo o IBGC.

Existem trs permetros demarcados para que possam ser observados com
foco mais individualizado. O permetro de governana mostra o contorno da
governana corporativa e nele observa-se um subconjunto representado
pelo permetro administradores, que faz interseo com o permetro de
gesto. No permetro de governana, so estabelecidas as diretrizes que
definem como a organizao ser dirigida. Tal direcionamento deve ir ao
encontro dos interesses de todos os acionistas, das agncias reguladoras e
das demais partes interessadas da empresa.

No permetro de governana se encontra o Conselho de Famlia, prprio


para as organizaes familiares. O objetivo discutir os assuntos familiares
pertinentes e o alinhamento das expectativas dos membros da famlia em
relao empresa. Entre as principais prticas do Conselho de Famlia
encontra-se a definio dos limites entre os interesses familiares e os da
organizao.

TTULO DO DOCUMENTO 4
O principal componente da estrutura de governana o Conselho de
Administrao, responsvel pelo direcionamento estratgico da empresa. Os
scios delegam poderes ao Conselho de Administrao que, em
contrapartida, devem prestar contas da empresa aos scios. O Conselho de
Administrao deve estar sempre trabalhando em favor do melhor interesse
da empresa, agindo com autonomia, independente das partes que indicaram
ou elegeram seus membros.
Outro componente do permetro de governana o Conselho Fiscal,
presente no sistema de governana das organizaes brasileiras, sendo
permanente ou no. Quando no permanente, sua instalao ocorre de
acordo com o estatuto e por solicitao de um ou mais scios. Dentro dos
principais objetivos do Conselho Fiscal, encontra-se a fiscalizao, por
qualquer dos seus membros, dos atos dos administradores e a verificao do
cumprimento dos seus deveres legais e estatutrios.

Os Comits so rgos assessrios ao Conselho de Administrao. Como


exemplos, podem ser citados: Comit de Auditoria, Comit de Recursos
Humanos e Remunerao, Comit de Governana e Comit de Finanas,
entre outros.

fortemente recomendado que se formalize um Comit de Auditoria.


Dentre os principais objetivos, o Comit de Auditoria deve analisar as
demonstraes financeiras e garantir que a Diretoria desenvolva controles
internos confiveis. Cuida ainda para que a Auditoria Interna desempenhe
adequadamente o seu papel e que os Auditores Independentes avaliem,
atravs de seus prprios mtodos, a conformidade das prticas da Diretoria
e da Auditoria Interna.

O Diretor Presidente funciona como interface entre o Conselho de


Administrao e o restante da empresa. Sua funo proporciona a ligao
entre a governana e a gesto, bem como, entre o Conselho de
Administrao e a Diretoria. Fica responsvel pela execuo das diretrizes
fixadas pelo Conselho de Administrao e deve prestar contas a ele. Tem

TTULO DO DOCUMENTO 5
ainda responsabilidade sobre a gesto da organizao e a coordenao da
Diretoria.

O diretor presidente indica seus diretores e prope as remuneraes, para


que sejam aprovadas pelo Conselho de Administrao.

Cada diretor deve se responsabilizar pelas suas atribuies na gesto da


empresa. Deve prestar contas ao diretor presidente e, quando solicitado, ao
Conselho de Administrao, aos scios e demais envolvidos, desde que tenha
a concordncia do diretor presidente.

3. COSO, SOX e Basileia II

COSO
O Comit das Organizaes Patrocinadoras The Committee of Sponsoring
Organizations of the Treadway Commission (COSO) , uma entidade sem
fins lucrativos, dedicada melhoria dos relatrios financeiros atravs da
tica, efetividade dos controles internos e governana corporativa. O
comit trabalha com independncia em relao a suas entidades
patrocinadoras.

Em 1992, o COSO publicou um trabalho intitulado Internal Control


Integrated framework (Controle Interno Estrutura Integrada). Trata-se
de uma estrutura para desenvolvimento, implementao e conduo dos
controles internos e tambm para avaliar a sua eficcia. Essa primeira
verso teve grande aceitao e acabou se tornando uma referncia global
para que as empresas pudessem criar seus respectivos sistemas de controles
internos.

Ampliando este contexto, existem duas regulamentaes ajudando


substancialmente s reas de controle interno de muitas empresas e com
forte impacto na rea de TI: a Lei Sarbanes-Oxley e o Acordo da Basileia II.

TTULO DO DOCUMENTO 6
Lei Sarbanes-Oxley

A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo


presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei
afeta a divulgao financeira de empresas que tm aes negociadas em
bolsas dos Estados Unidos da Amrica. Ela engloba tanto as empresas norte-
americanas com aes em bolsas de valores norte-americanas, como as
empresas estrangeiras com aes American Depositary Receipt ADR,
negociadas em bolsas norte-americanas.

Essa lei pode ser entendida como uma resposta legislativa aos escndalos
financeiros que aconteceram por volta de 2001-2002, em companhias
abertas nos Estados Unidos, como Enron, Worldcom, Tyco e outras. Seu
objetivo proteger os investidores por meio do aprimoramento da preciso
e da confiabilidade das informaes divulgadas pelas companhias.

Basileia II

Trata-se de uma regulamentao que atinge as instituies financeiras, de


uma maneira geral. patrocinada pelo Bank International Settlements ou
BIS, que pode ser entendido como o Banco Central dos Bancos Centrais,
tendo sua sede, na cidade de Basileia, na Sua. Essa regulamentao foi
desenvolvida para buscar o mximo de ajuste entre os requisitos de capital
das instituies financeiras e os riscos a que esto expostas. Ela estipula
capital mnimo em funo dos seus riscos de crdito e operacionais,
buscando preservar a solidez do sistema financeiro.

O Acordo da Basileia II fez com que as principais autoridades bancrias, de


vrios pases, criassem seus modelos derivados. Em junho de 2006, o Banco
Central do Brasil publicou a Resoluo 3380, determinando que as
instituies financeiras e as demais instituies autorizadas a funcionar,
pelo Banco Central, criassem e implantassem sua prpria estrutura de
gerenciamento de riscos.

TTULO DO DOCUMENTO 7
4. Integrao entre Governana Corporativa e outros tipos de
governana

A palavra governana tem no seu significado o ato de governar. O termo


est ligado forma de se conduzir algo com direcionamento, controle e
monitoramento. No se limita aos contextos da Governana Corporativa e
da Governana de Tecnologia da Informao. Alm desses, pode-se pensar,
por exemplo, em Governana Ambiental, Governana de Indicadores,
Governana de Projetos e Governana de Segurana da Informao.

Segundo Weill e Ross (2006), as empresas costumam concretizar suas


estratgias e gerar valor para o negcio atravs dos seguintes ativos
principais: ativos humanos, ativos financeiros, ativos fsicos, ativos de
propriedade intelectual, ativos de informao e TI, e ativos de
relacionamento. Os executivos seniores, atravs de suas equipes, elaboram
mecanismos para governar a administrao e a utilizao de cada um desses
ativos, tanto independentemente como em conjunto.

Considerando que a Governana Corporativa est atrelada diretamente com


ativos de informao e que esses so representados atravs de dados
digitalizados, informaes de clientes, desempenhos de processos e outras
representaes, torna-se fcil justificar a importncia da Governana de
Segurana da Informao permeando, dentro do contexto da Governana
Corporativa, para que se possa ter uma estrutura de relacionamentos entre
pessoas, processos e tecnologia, transitando a informao de forma segura e
mantendo sua eficcia, eficincia, confidencialidade, integridade,
disponibilidade, conformidade e confiabilidade.

Aula 2:
Ttulo da aula: Governana de TI e Governana de SI
1. Introduo

TTULO DO DOCUMENTO 8
A internet, a mobilidade da tecnologia convergente e o avano das
redes de comunicaes foram os grandes viles que fizeram com que a
preocupao com segurana da informao se multiplicasse nos ltimos
anos. Nos tempos atuais, as ameaas deixaram de se limitar a
vazamentos, corroses, enchentes, incndios, exploses,
desmoronamentos, sabotagens, vandalismos, roubos, furtos, fraudes,
grampos em linhas telefnicas, falta de energia eltrica e greves;
estendendo-se para vrus, rootkits, backdoors, worms, spywares,
spoofing, sniffings, keyloggers, screenloggers, clonagens de URL e
conformidades, dentre outras. Se, por um lado, o mundo virtual abriu
novas possibilidades de negcios, por outro, aumentou a possibilidade
de vulnerabilidades, fazendo com que as organizaes multiplicassem
suas preocupaes para proteger as informaes.

A preocupao com a segurana da empresa e o controle das


informaes passou a ser foco das reunies executivas da alta gesto.
Manter um Sistema de Governana Corporativa de qualidade para evitar
fracassos de abusos de poder, erros estratgicos e fraudes virou tema
recorrente no dia a dia dos altos executivos. A Governana de
Tecnologia da Informao ganhou importncia como um dos pilares da
Governana Corporativa, transpassando a empresa e interagindo com
sistemas de controle interno e de gesto de riscos corporativos.

Com uma necessidade cada vez maior de se manter a qualidade da


informao com todas as suas protees, mais recentemente, a
segurana da informao tambm ascendeu categoria de governana,
ganhando mais visibilidade nas organizaes com o nome de Governana
de Segurana da Informao.

2. Governana de Tecnologia da Informao e Governana de Segurana


da Informao

TTULO DO DOCUMENTO 9
Ao tratar os assuntos de Governana de Tecnologia da Informao e de
Governana de Segurana da Informao importante lembrar que ambos
so componentes uteis para a Governana Corporativa e que cada um possui
seu escopo bem definido.

Governana de Tecnologia da Informao

Segundo Weill e Ross (2006), Governana de Tecnologia da Informao a


especificao dos direitos decisrios e do framework de responsabilidades
para estimular comportamentos desejveis na utilizao da TI. Ainda,
segundo os autores, uma Governana de Tecnologia da Informao eficaz
deve abordar trs questes:
(1) Quais decises devem ser tomadas para garantir a gesto e o uso
eficazes da TI?

Para garantir a gesto e o uso eficazes da TI, a empresa deve tomar cinco
decises: (1.1) princpios de TI; (1.2) arquitetura de TI; (1.3) infraestrutura
de TI; (1.4) necessidades de aplicaes de negcio; e (1.5) investimentos e
priorizao de TI.

(2) Quem deve tomar essas decises?

Trata-se da identificao e formalizao da combinao de pessoas que


possuem direitos decisrios ou que contribuem para a tomada de decises
de TI.

(3) Como essas decises sero tomadas e monitoradas?


As decises so tomadas e monitoradas, a partir de um conjunto de
mecanismos de governana, composto por estruturas de tomadas de
deciso, processos de alinhamento e abordagens de comunicaes.

O alinhamento da Tecnologia da Informao (TI) aos requisitos do negcio


o ingrediente principal para criao da Governana de TI sob a guarda da

TTULO DO DOCUMENTO 10
Governana Corporativa. A norma ABNT NBR ISO/IEC 38500:2009 oferece
princpios para orientar os dirigentes das organizaes (incluindo
proprietrios, membros do conselho de administrao, diretores, parceiros,
executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitvel da
Tecnologia da Informao (TI) dentro de suas organizaes.

Governana de Segurana da Informao

Os altos executivos das empresas vm percebendo que cada vez se faz mais
necessrio tratar a segurana da informao como uma questo de risco
para o negcio e no se limitar a um problema operacional de Tecnologia da
Informao. Tais percepes esto fundamentadas no apenas nos requisitos
regulamentares que se tornam cada vez maiores, mas principalmente por
impacto direto, derivado de fragilidades que acabam influenciando na
reputao da organizao e que tm como consequncia o prejuzo
financeiro. Neste sentido, torna-se altamente recomendvel que os altos
executivos incluam a Governana de Segurana da Informao como parte
de suas responsabilidades, colaborando para que os objetivos da
organizao possam ser alcanados.
A Governana de Segurana de Informao necessita de uma forte
comunicao e interao entre os altos executivos e os responsveis pela
implementao e operao do Sistema de Gesto de Segurana da
Informao, fornecendo o direcionamento das iniciativas de segurana da
informao para toda a organizao.

Uma Governana de Segurana da Informao bem implementada permitir


que os altos executivos recebam dados relevantes sobre as atividades
relacionadas com a segurana de informao dentro do contexto de
negcio. Como consequncia, decises pertinentes e oportunas sobre
segurana da informao podero ser tomadas para apoiar os objetivos
estratgicos da organizao.

TTULO DO DOCUMENTO 11
Relacionamento entre Governana de Tecnologia da Informao e
Governana de Segurana da Informao

Segundo a norma ABNT NBR ISO/IEC 27014:2013, modelos de governana


podem sobrepor-se. Cada modelo se junta a outros modelos para configurar
os padres que compem a Governana Corporativa. A figura 2, por
exemplo, mostra o relacionamento entre a Governana de Tecnologia da
Informao e a Governana de Segurana da Informao subordinadas
Governana Corporativa.

A Governana de Tecnologia da Informao trata das questes relacionadas


s decises que devem ser tomadas para garantir a gesto e o uso eficazes
da TI, quem deve tomar essas decises e como essas decises sero tomadas
e monitoradas, ajudando os altos executivos a garantirem o cumprimento
das obrigaes relativas ao uso aceitvel da Tecnologia da Informao.

J a Governana de Segurana da Informao envolve os conceitos bsicos


de confidencialidade, integridade e disponibilidade. A interseo das duas

TTULO DO DOCUMENTO 12
governanas contm o processo interno de divulgao, a comunicao para
as partes interessadas, a busca de alinhamento de suas estratgias com a
estratgia do negcio e a agregao de valor para os altos executivos, para
as partes interessadas e para o negcio. Ambos os modelos de governana
devem estar submetidos ao ciclo avaliar-dirigir-monitorar.

Aula 3:
Ttulo da aula: Desafios da Segurana da Informao

1. Introduo

As empresas esto integrando seus processos cada vez mais, utilizando


diversas solues, incluindo a Enterprise Resource Planning (ERP),
facilitadas pela utilizao de redes de comunicao que suportam a
internet, a intranet e a extranet.

Fuses entre empresas, parcerias estratgicas e diversas formas de


comunicao no param de ocorrer no mundo dos negcios. Essas grandes
transformaes se beneficiaram da internet e fizeram com que surgisse um
novo ambiente cooperativo com vrias empresas se relacionando e trocando
informaes por meio de uma infraestrutura tecnolgica com rede
heterognea integrada.

Essa rede conecta empresas, clientes, fornecedores e usurios. A


infraestrutura montada para que a comunicao possa ser realizada e as
transaes possam ser executadas, preferencialmente de forma rpida,
segura e correta.

A informao circula dentro e fora das organizaes, tendo em seus


processos de negcio ameaas constantes, alimentadas mais ainda por conta
das transaes que ocorrem no mundo virtual. Tais ameaas no se prendem
apenas aos aspectos tecnolgicos, mas se estendem tambm a
interferncias fsicas e humanas.

TTULO DO DOCUMENTO 13
2. Desafios a serem enfrentados

De uma maneira geral, a boa prtica sugere que todo problema deva ser
analisado em detalhes para que se possa identificar o motivo que est
gerando tal problema. Especificamente quando o assunto est relacionado
com a segurana da informao na empresa, o desafio se torna muito maior
em funo da variao de fatores pertencentes ao tema.

Anatomia do problema

Smola (2014) cunhou o termo viso do iceberg para representar a


deficincia na viso de muitos executivos quando o assunto segurana da
informao. A poro de gelo que vemos fora da linha dgua comumente
correspondente a apenas 1/7 de todo o bloco do gelo que permanece
submerso e, portanto, escondido dos nossos olhos.

Por analogia, o desafio na empresa o de realizar aes que possam


permitir mapear a situao atual, visvel e invisvel, inventariando as
ameaas, as vulnerabilidades, os riscos e os possveis impactos, para que
posteriormente possa se fazer a modelagem da soluo que ser proposta. O
fato das empresas apresentarem cenrios com fragilidades diferentes faz
com que as solues tambm se apresentem de forma personalizada.

Viso corporativa

Em todo momento, as empresas so vtimas de ameaas buscando


fragilidades que possam ajudar a concretizar um ataque. E, quando essa
possibilidade aparece e o ataque realizado, a segurana quebrada.

Para ter ideia do escopo que deve ser dado proteo da informao,
reflita sobre trs situaes em sua empresa: (a) as informaes
confidenciais que se encontram em papel e que devem ser descartadas so

TTULO DO DOCUMENTO 14
trituradas? (b) todos os colaboradores sabem o que engenharia social e
esto preparados para lhe dar com ela? (c) considere que sua empresa
fature R$120.000.000,00 mensalmente pela internet e que o local onde se
encontra a infraestrutura do ambiente de TI pegou fogo. Isto significa uma
perda de faturamento mdio de R$4.000.000,00 dirios. A empresa possui
um plano de continuidade de negcio capaz de retomar as atividades de
forma rpida?

Os altos executivos devem enxergar e propagar por toda a empresa que a


segurana da informao possui viso corporativa e que deve ser comparada
a uma corrente, onde o elo mais fraco determina o seu grau de resistncia e
proteo.

Reflexes do dia a dia

A segurana da informao ainda entendida por muitos dos altos


executivos com o escopo restrito tecnologia. Em funo desse
entendimento parcial, uma srie de aes tomada de forma equivocada,
conforme exemplos citados por Smola (2014) e listados a seguir: atribuir a
segurana da informao exclusivamente rea tecnolgica; posicionar a
rea de segurana da informao hierarquicamente abaixo da diretoria de
TI, e ter esse posicionamento como definitivo; definir investimentos
subestimados e limitados abrangncia da diretoria de TI; elaborar planos
de ao orientados reatividade; no perceber a interferncia direta da
segurana com o negcio; tratar as atividades como despesa e no como
investimento; adotar ferramentas pontuais como medida paliativa;
satisfazer-se com a sensao de segurana provocada por aes isoladas;
no cultivar corporativamente a cultura da gesto de riscos; e tratar a
segurana como um projeto e no como um processo.

Conscientizao do corpo executivo

TTULO DO DOCUMENTO 15
Partindo-se da premissa que a segurana da informao deve se instalar no
mbito de toda a organizao, a boa prtica determina que a sua
implementao deva ocorrer sensibilizando e mobilizando primeiro os altos
executivos para que eles possam apoiar as aes necessrias, no s com a
determinao para que todos os colaboradores possam segui-las, como
tambm para a aprovao de oramento do projeto.

Conscientizar os altos executivos para aprovarem um projeto de segurana


da informao no simples. Eles esto acostumados com situaes nas
quais o dinheiro que investido ir retornar em um determinado espao de
tempo e, em seguida, alguma vantagem financeira direta ou indireta poder
ser observada. Caber ao profissional responsvel pela segurana da
informao, na empresa, mostrar aos altos executivos os riscos potenciais
da empresa e os prejuzos que podero ocorrer como, por exemplo, se a
empresa for invadida por um hacker e o ambiente de TI tiver que ficar
indisponvel gerando prejuzo financeiro; se o site for pichado e gerar
prejuzo de imagem; ou ainda, se a empresa pegar fogo e no existir um
plano de continuidade e negcio.

Retorno sobre o investimento

O return on investment (ROI) a relao que existe entre a quantidade de


dinheiro ganho (ou perdido) atravs de um investimento e o montante de
dinheiro que foi investido.

Com este recurso pode-se criar alguns cenrios e justificar para os altos
executivos um projeto de segurana da informao corporativa. Um
exemplo a contabilizao anual de contaminao de vrus que infectaram
os computadores dos colaboradores. O tempo perdido com a paralizao, as
transaes que deixaram de ocorrer e o custo homem/hora desses
profissionais e dos que atuaro para normalizar a situao mostram o
impacto no negcio.

TTULO DO DOCUMENTO 16
Posicionamento hierrquico

Os muitos desafios que esto associados segurana da informao fazem


com que a estrutura hierrquica da empresa tenha que ser reorganizada. A
estratgia da segurana da informao necessita estar alinhada com a
estratgia da empresa, sendo necessria uma viso corporativa que possa
contribuir com o retorno sobre o investimento. Para facilitar que isso possa
ocorrer, autonomia e posicionamento estratgico tornam-se condies
bsicas para se estabelecer uma estrutura de segurana com um processo
dinmico e de qualidade.

Gerncia de mudanas

Uma mudana significa a alterao de uma situao anterior. As mudanas


influenciam nos riscos operacionais da organizao e pressupem uma
anlise detalhada sobre o surgimento de novos riscos ou do aumento dos que
existem. Mais uma vez, a segurana se justifica como um processo
corporativo com abrangncia sobre as mudanas fsicas, tecnolgicas,
contextuais e humanas e com capacidade de dinamismo em suas reaes.

Modelo de gesto corporativa de segurana

Para implementar a segurana da informao, na empresa, deve-se


estabelecer um escopo com contedo que contemple todas as etapas
necessrias para fazer sua gesto de forma corporativa. Smola (2014)
sugere um modelo de gesto corporativo de segurana da informao com as
seguintes etapas: (1) comit corporativo de segurana da informao; (2)
mapeamento de segurana; (3) estratgia de segurana; (4) planejamento
de segurana; (5) implementao de segurana; (6) administrao de
segurana; e (7) segurana na cadeia produtiva.

TTULO DO DOCUMENTO 17
O modelo de gesto no garante o sucesso. Soma-se a ele uma equipe de
especialistas com boa formao terica, com experincia no assunto e que
se mantenha atualizada.

Agregando valor ao negcio

O modelo de gesto corporativa de segurana da informao cria diferencial


para a empresa, trazendo benefcios, como por exemplo: valorizao das
aes da empresa; fortalecimento da imagem da empresa; aumento da
disponibilidade operacional; reduo dos custos provocados por ameaas
que exploram as falhas de segurana; e reduo dos riscos operacionais. O
negcio sempre deve ser o foco principal da segurana da informao.

Aula 4:
Ttulo da aula: SI nos processos crticos de negcio

1. Introduo

Quais so os processos crticos para o negcio? Esta uma pergunta fcil de


entender e difcil de responder. No entanto, esta resposta importante
para a implementao da gesto de segurana corporativa na empresa.
Ento, o que fazer? A orientao das boas prticas sugere que comece
identificando a misso da empresa, a viso e seus objetivos estratgicos. Em
seguida, deve ser feito o processo de mapeamento dos componentes
organizacionais que so as reas (divises, departamentos, setores etc.),
seus processos de negcio e seus principais ativos de informao. Ao final de
todo esse trabalho, o resultado pode ser representado de forma consolidada
em uma matriz que mostre o estudo de impacto e o estudo de prioridade.

2. Mapeamento dos componentes organizacionais

A rea, o processo de negcio e o ativo de informao compem os itens


organizacionais e so utilizados para definir a abrangncia da segurana da

TTULO DO DOCUMENTO 18
informao na empresa. Esses componentes devem ser identificados e
mapeados durante a realizao do projeto de segurana da informao
corporativa. O resultado desse trabalho permitir que se faa uma anlise
cujo resultado servir de base para diagnosticar a situao atual da
segurana da informao, na empresa, e tambm para enderear o escopo
da gesto de riscos.

3. Mapeamento das reas

Como exemplo de mapeamento das reas, ser utilizada a proposta de


Manoel (2014). Nela, so definidas as seguintes reas: rea comercial; rea
financeira; rea de produo; rea internacional; e rea jurdica.

Aps o mapeamento das reas, ser necessrio identificar os respectivos


responsveis e a relevncia de cada rea, levando em considerao os
objetivos estratgicos da empresa. Se a relevncia fosse obtida
simplesmente perguntando ao responsvel da rea, provavelmente ele iria
classificar a sua rea como a de maior relevncia para a empresa.

Para mostrar um exemplo de relevncia de cada rea, mais uma vez ser
utilizada a proposta de Manoel (2014). A classificao deve ser feita de
forma independente por algum que conhea o processo e a sua importncia
para o negcio da empresa.

A tabela 1 mostra um exemplo de classificao de relevncia.

Tabela 1: Exemplo de classificao de relevncia.


Fonte: Manoel (2014), 1. ed., p. 51.
Relevncia da Valor Auxlio para interpretao
rea
A interrupo das operaes da rea causa impactos irrelevantes
Muito baixa 1
para a organizao.
Baixa 2 A interrupo das operaes da rea causa impactos apenas

TTULO DO DOCUMENTO 19
considerveis para a organizao.
A interrupo das operaes da rea causa impactos parcialmente
Mdia 3
significativos para a organizao.
A interrupo das operaes da rea causa impactos muito
Alta 4
significativos para a organizao.
A interrupo das operaes da rea causa impactos incalculveis,
Muito alta 5
podendo comprometer a continuidade da organizao.

A tabela 2 mostra um exemplo de anlise de relevncia das reas da


empresa.

Tabela 2: Exemplo de anlise de relevncia.


Fonte: Manoel (2014), 1. ed., p. 51.
Nome da rea Responsvel Relevncia
rea comercial Diretor Carlos Muito alta
Diretor
rea financeira Muito alta
Marcus
rea de Diretor
Muito alta
produo Eduardo
rea
Diretor Pedro Mdia
internacional
Diretor
rea jurdica Muito baixa
Jarbas

4. Mapeamento dos processos de negcio

Seguindo a mesma lgica que foi aplicada para se identificar a relevncia de


cada rea de negcio, agora sero identificados os principais processos
dessas reas e, em seguida, sero classificados segundo a relevncia de cada
um.

A figura 4 mostra um exemplo com unidades de medida consideradas teis


para identificar processos de negcio crticos.

TTULO DO DOCUMENTO 20
Anlise de relevncia

Para identificar a relevncia de cada processo ser utilizada a tabela 3,


tendo como referncia para anlise a figura 4.

Tabela 3: Escalas para classificao da relevncia dos processos de negcio.


Fonte: Smola (2014), 2. ed., p.90.
Escala Auxlio de interpretao
1 No
Envolve o atingimento gerencivel do processo de negcio
considerv
podendo provocar impactos praticamente irrelevantes.
el
Envolve o atingimento gerencivel do processo de negcio
2 Relevante
podendo provocar impactos apenas considerveis.
3 Envolve o atingimento gerencivel do processo de negcio
Importante podendo provocar impactos parcialmente significativos.
Envolve o atingimento gerencivel do processo de negcio
4 Crtico
podendo provocar impactos muito significativos.
Envolve o atingimento gerencivel do processo de negcio
5 Vital podendo provocar impactos incalculveis na recuperao e
na continuidade do negcio.

TTULO DO DOCUMENTO 21
Segue tabela 4 com um exemplo de classificao de relevncia de
processos, utilizando a tabela 3 como referncia.

Tabela 4: Exemplo de anlise de escala de relevncia do processo da


rea da organizao.
Fonte: Manoel (2014), 1. ed., p. 52.
Nome do
rea Responsvel Relevncia
processo
Vendas Comercial Diretor Carlos 5 Vital
Faturamento Financeira Diretor Marcus 5 Vital
Engenharia Produo Diretor Eduardo 5 Vital
Exportao Internacional Diretor Pedro 3 Importante
1 No
Contratos Jurdica Diretor Jarbas
considervel

Anlise de sensibilidade

A tabela 5 mostra a anlise de sensibilidade em cada um dos processos


mapeados, sendo esta tcnica um detalhamento importante para auxiliar no
encaminhamento da soluo, que ir suprir as necessidades da segurana da
informao na empresa. Esse estudo deve ocorrer atravs de entrevistas
isoladas com o principal gestor de cada processo.

Tabela 5: Exemplo de anlise de sensibilidade dos processos de negcio.


Fonte: Adaptado de Smola (2014), 2. ed., p. 91.

TTULO DO DOCUMENTO 22
Anlise GUT
Na sequncia, deve ser feita a anlise GUT reunindo-se individualmente com
o principal gestor de cada um dos processos crticos de negcio. A matriz
GUT um recurso utilizado para auxiliar na priorizao de resoluo de
problemas. Ela classifica cada problema utilizando trs variveis: a
gravidade (G) do problema; a urgncia (U) de resoluo do problema; e a
tendncia (T) do problema piorar com mais rapidez ou de forma mais lenta.

A prioridade obtida aplicando valores dentro da faixa de 1 a 5,


aumentando a priorizao medida que a pontuao se aproxima de 5. Uma
vez obtidos os valores de cada dimenso (G, U, T), esses valores de
classificao so multiplicados (G x U x T), gerando o GUT final. A utilizao
das cores verde, amarela e vermelha facilita a visualizao por faixas de
prioridade. Como exemplo, a faixa de 1 a 40 pode ser pintada de verde, a
faixa de 45 a 80 pintada de amarela e a faixa de 100 a 125 pintada de
vermelha.

A tabela 6 mostra a escala de classificao da prioridade utilizando a matriz


GUT.

Tabela 6: Escala de prioridades utilizando a matriz GUT.


Fonte: Adaptado de Smola (2014), 2. ed., p. 93.

TTULO DO DOCUMENTO 23
A tabela 7 mostra um exemplo de aplicao da matriz GUT nos
processos estudados.
Tabela 7: Exemplo de classificao de prioridade utilizando a matriz
GUT.
Fonte: Adaptado de Manoel (2014), 1. ed., p. 54.
Classificao da prioridade utilizando a matriz GUT
GUT (G x U x
Nome do processo Gravidade Urgncia Tendncia
T)
Vendas 5 5 5 125
Faturamento 5 5 5 125
Engenharia 5 5 5 125
Exportao 3 3 3 27
Contratos 1 1 1 1

Consolidao dos resultados

De posse das informaes que foram obtidas, hora de planejar as aes a


partir da consolidao dos resultados. Porm, antes disso, ainda fica
faltando montar um mapa de relacionamento e dependncia entre os
processos de negcio, as aplicaes e a infraestrutura fsica, tecnolgica e
humana. Em outras palavras, devem ser estudados todos os ativos que
sustentam os processos de negcio. Sero entrevistados os gestores
capacitados para ajudar a levantar nmeros e informaes topolgicas,
fsicas e tecnolgicas, ligadas aos processos de negcio.

TTULO DO DOCUMENTO 24
Com tudo inventariado, passa-se elaborao de um Plano Diretor de
Segurana da Informao, estabelecendo as diretrizes bsicas que nortearo
as atividades e os projetos necessrios que sero distribudos ao longo do
tempo e de acordo com a prioridade relacionada com a relevncia de cada
processo de negcio.

Aula 5:
Ttulo da aula: Modelo de Governana de SI
1. Introduo

De uma maneira simples, governar a segurana da informao fazer gesto


da Gesto da Segurana da Informao. E, para dar suporte a este
conhecimento foi publicada, em 2013, a norma ABNT NBR ISO/IEC
27014:2013 Tecnologia da Informao Tcnicas de Segurana
Governana de Segurana da Informao. Essa norma fornece orientao
sobre conceitos e princpios para a governana de segurana da informao,
pela qual as organizaes podem avaliar, dirigir, monitorar e comunicar as
atividades relacionadas com a segurana da informao dentro da
organizao. (ABNT, 2015)

O modelo de Governana de Segurana da Informao (GSI) prope uma


orientao de direcionamento de como e quem deve implantar uma GSI que
possa ser eficaz, transparente, alinhada com o negcio e que considere a
evoluo dos objetivos estratgicos da organizao e as tendncias de
mercado.

Objetivos

A norma ABNT NBR ISO/IEC 27014:2013 possui os seguintes objetivos:


Alinhamento entre os objetivos e a estratgia da segurana da
informao com os objetivos e a estratgia do negcio;
Fazer com que os riscos relacionados com a informao possam
ser encaminhados para as pessoas responsveis.

TTULO DO DOCUMENTO 25
Resultados esperados

De acordo com a norma ABNT NBR ISO/IEC 27014:2013, desejado que a


implantao de uma GSI eficiente e eficaz possua os seguintes resultados:
(1) alta direo com visibilidade sobre o contexto da segurana da
informao; (2) rpida abordagem para tomada de decises sobre os riscos
da informao; (3) investimentos eficientes e eficazes em segurana da
informao; e (4) conformidade com requisitos externos (legais;
regulamentares e contratuais).

Princpios

De acordo com a ABNT NBR ISO/IEC 27014:2013, existem seis princpios


orientadores da GSI. Trata-se de declaraes de alto nvel que definem
como a segurana da informao ser utilizada no negcio da organizao.
So eles:
P1: Estabelecer a segurana da informao em toda a
organizao;
P2: Adotar uma abordagem baseada em riscos;
P3: Estabelecer a direo de decises de investimento;
P4: Assegurar conformidade com os requisitos internos e
externos;
P5: Promover um ambiente positivo de segurana;
P6: Analisar criticamente o desempenho em relao aos
resultados de negcios.

2. Primeiros passos para a GSI

A primeira providncia a ser tomada para estabelecer um modelo de GSI na


empresa convencer a alta direo dessa necessidade para que possa se
comprometer com o sucesso do empreendimento. A implementao de um

TTULO DO DOCUMENTO 26
modelo de GSI na empresa deve ser tratada como um projeto,
estabelecendo incio e fim a partir de um planejamento.

Obtendo-se a aprovao e o comprometimento da alta direo, deve-se


nomear um responsvel que ser cobrado pelos resultados. Uma das opes
o Chief Information Security Officer (CISO) Chefe de Segurana da
Informao , cuja funo deve estar preferencialmente subordinada ao
presidente da empresa.

Como prximo passo, deve-se definir o que GSI para a organizao,


conforme citado em Manoel (2014):
A GSI representada por um conjunto de
estruturas e de processos que visa a
garantir a direo, a avaliao, a
monitorao e a comunicao das
atividades da segurana da informao,
para suportar os objetivos estratgicos da
organizao, adicionando valor aos servios
entregues, balanceando os riscos,
viabilizando o retorno sobre os
investimentos em segurana e garantindo a
continuidade do negcio.

Como regra geral, a GSI deve buscar o alinhamento da segurana da


informao com os objetivos estratgicos da empresa, de forma que possa
contribuir para o sucesso do negcio. Um dos caminhos para esta prtica
conhecer o planejamento estratgico da empresa e os seus principais
objetivos entrevistar a alta direo. Tambm uma boa prtica para esta
etapa, utilizar tcnicas como o Balanced Scoredcard (BSC) direcionar o
planejamento estratgico, e SWOT analisar cenrios, a partir de foras,
fraquezas, oportunidades e ameaas.

TTULO DO DOCUMENTO 27
Como produto final deve ser elaborado um documento que pode ser
identificado como Requisitos de Segurana da Informao.

Comit Corporativo de Segurana da Informao

Como um dos fatores crticos de sucesso, deve-se organizar uma equipe para
elaborar diretrizes, tomar decises estratgicas e deliberar sobre aspectos
que necessitam do envolvimento da alta direo. Para isso, esse comit
deve ter um posicionamento na estrutura organizacional compatvel com as
atribuies que lhes so designadas.

Comits Interdepartamentais de Segurana da Informao

Comits com abrangncia menor, orientados pelo Comit Corporativo de


Segurana da Informao. Suas responsabilidades abrangem a medio de
resultados de seus ambientes especficos, informar sobre novas necessidades
e tambm sobre situaes que possam expor a informao.

3. Modelo de GSI

A figura 5 mostra o modelo de Governana da Segurana da Informao


proposto pela norma ABNT NBR ISO/IEC 27014:2013.

TTULO DO DOCUMENTO 28
Processo: avaliao

Neste processo, deve ser feita uma avaliao para verificar se os objetivos
de segurana da informao foram atingidos, conforme os indicadores
propostos durante a implantao do GSI.

Processo: direo

Processo que deve fornecer o direcionamento sobre os objetivos da


segurana da informao, tais como: investimentos em recursos; aprovao
de polticas de segurana da informao; aprovao do plano de gesto de
riscos; e aprovao das estratgias e dos objetivos da segurana da
informao.

Processo: monitorao

Neste processo, deve ser feita uma validao da eficincia, eficcia e


evoluo dos objetivos da segurana da informao, considerando o seu
desempenho e a agregao de valor ao negcio.

TTULO DO DOCUMENTO 29
Processo: comunicao

Neste processo, so realizadas as trocas de informao com as partes


interessadas, considerando os objetivos da segurana da informao e
tambm as aes pertinentes que foram implantadas.

Processo: garantia

Trata-se de um processo que planejado pelo Comit Corporativo de


Segurana da Informao e que deve ser executado por uma auditoria
externa organizao.

Posicionamento estratgico da GSI

A figura 6 mostra que a GSI deve se posicionar na rea de gesto da


empresa, respondendo diretamente ao presidente.

Framework para o modelo de GSI

Uma proposta de framework para a GSI a utilizao do COBIT 5,


considerando que ele j utilizado por muitos profissionais como base da

TTULO DO DOCUMENTO 30
Governana de Tecnologia da Informao e que possui flexibilidade com
outras normas e metodologias.

Como a Governana de Tecnologia da Informao e a GSI possuem


relacionamento e pontos de interseo; e tambm, pelo fato do modelo do
COBIT 5 ser genrico o bastante para representar todos os processos
encontrados nas funes de TI, uma boa prtica utilizar o COBIT 5 com a
adaptao necessria para os processos de segurana da informao. Ele
deve servir como padronizao para guiar a rea de segurana da
informao e sua evoluo mantendo o alinhamento com o negcio.

Aula 6:
Ttulo da aula: Modelo de Gesto de SI
1. Introduo

A palavra controle representativa para resumir a questo da segurana da


informao. O controle remete a possibilidades de autorizar ou bloquear
acessos; inibir tentativas de ataque ao roteador; no fazer descarte de
material crtico sem o devido cuidado; impedir tentativas de sabotagem e
fraude; reagir em tempo hbil s quebras de segurana; mensurar prejuzos
originados da quebra de segurana etc.
O controle no significa necessariamente o bloqueio. At porque o bloqueio
pode criar um engessamento com propores prejudiciais ao negcio da
empresa. Neste sentido, a inteligncia do controle est exatamente na
equao que protege a informao sem prejudicar a rotina de trabalho.

Embora muitas funes da estrutura organizacional se repitam nas


empresas, ainda assim, cada empresa nica. As informaes em cada uma
delas possuem importncias e valores distintos, transpassando vrios
ambientes para sustentar os processos de negcio. Assim, considerando que
as diferenas existem entre empresas e ainda que, mesmo em uma nica
empresa informaes distintas podem necessitar de protees distintas,
torna-se interessante identificar os permetros fsicos, tecnolgicos e

TTULO DO DOCUMENTO 31
humanos de cada empresa para que se possa proteger cada um deles com o
investimento ideal para equilibrar a segurana da informao em propores
adequadas a cada necessidade. Esta soluo viabiliza a reduo de riscos e
aumenta a segurana nas transaes de negcio sem que a burocracia de
segurana possa prejudic-las.

H necessidade de se estabelecer um modelo de gesto de segurana da


informao (GSI) que possa se adequar aos atuais e futuros desafios de cada
empresa. Uma opo a utilizao do modelo de organizao proposto pela
ABNT NBR ISO/IEC 27001:2013 Tecnologia da informao Tcnicas de
segurana Sistemas de gesto da segurana da informao Requisitos.
Essa norma especifica os requisitos para estabelecer, implementar, manter
e melhorar continuamente um sistema de gesto da segurana da
informao dentro do contexto da organizao. Esta Norma tambm inclui
requisitos para a avaliao e tratamento de riscos de segurana da
informao voltados para as necessidades da organizao.. (ABNT, 2015)

A norma est baseada no modelo PDCA, possuindo as seguintes fases: Plan


(P) Planejar; Do (D) Fazer; Check (C) Checar; e Act (A) Agir.

2. Fases PDCA

A figura 7 mostra o modelo PCCA aplicado nos processos do modelo do


Sistema de Gesto de Segurana da Informao (SGSI).

TTULO DO DOCUMENTO 32
Figura 7: Modelo PDCA aplicado aos processos do SGSI
Fonte: ABNT NBR ISO/IEC 27001:2013

Fase: Plan (P) Planejar

Esta fase abrange todo o ciclo de vida da informao em um SGSI. Trata de


estabelecer poltica, objetivos, processos e procedimentos do SGSI,
relevantes para a gesto de riscos e a melhoria da segurana da informao
para produzir resultados de acordo com as polticas e objetivos globais de
uma organizao. (ABNT NBR ISO/IEC 27001:2013)

Fase: Do (D) Fazer

Esta para implementar e operar a poltica, controles, processos e


procedimentos do SGSI. (ABNT NBR ISO/IEC 27001:2013)

Fase: Check (C) Checar

Fase para monitorar e analisar criticamente o SGSI. Trata de avaliar e,


quando aplicvel, medir o desempenho de um processo frente poltica,
objetivos e experincia prtica do SGSI e apresentar os resultados para a
anlise crtica pela direo. (ABNT NBR ISO/IEC 27001:2013)

Fase: Act (A) Agir

TTULO DO DOCUMENTO 33
Fase para manter e melhorar o SGSI. Trata de executar as aes corretivas
e preventivas, com base nos resultados da auditoria interna do SGSI e da
anlise crtica pela direo ou outra informao pertinente, para alcanar a
melhoria contnua do SGSI. (ABNT NBR ISO/IEC 27001:2013)

Atividades do PDCA

Smola (2014) prope as seguintes atividades para cada fase do PDCA,


representadas na tabela 8:

Tabela 8: Atividades do PDCA, segundo Smola (2014).


Fonte: Prprio autor.
Fase Atividade Descrio da atividade
Aponta o caminho e tudo o que
necessrio para suprir as
Plano Diretor de
necessidades de segurana do
Segurana (PDS)
negcio, conduzindo-o a operar com
risco controlado.
Planeja a continuidade das atividades
Plano de de negcio, caso ocorra alguma falha
Continuidade de ou desastre significativos. Permite a
Negcios (PCN) retomada das atividades em tempo
Plan (P)
hbil, sempre que necessrio.
Planejar
Escrita para orientar e apoiar a
direo da segurana da informao,
de acordo com os requisitos de
Poltica de negcio e com as leis e as
Segurana da regulamentaes inerentes.
Informao (PSI) Mantendo-se as propores, a PSI
est para a empresa assim como a
Constituio Federal est para o pas.
Deve ser aprovada pela

TTULO DO DOCUMENTO 34
administrao, publicada e
comunicada aos colaboradores.

Implementao de Aplica mecanismos de controle de


controles de segurana para atingir o nvel de
segurana risco adequado.
Do (D)
Forma uma cultura de segurana para
Fazer
Treinamento e integrar o dia a dia dos funcionrios e
sensibilizao em colaboradores em geral, sendo
segurana percebida como instrumento de
autoproteo.
Realiza um diagnstico da situao
atual de segurana da empresa,
considerando o negcio, o
Anlise de riscos mapeamento dos processos de
negcio e o relacionamento os ativos
fsicos, tecnolgicos e humanos,
sensveis a falhas de segurana.
Simula tentativas de acesso indevido
Check (C) e invaso a partir de pontos distintos.
Checar O teste de invaso costuma ser
classificado de quatro maneiras:
interno analista dentro da empresa
alvo; externo analista fora da
Teste de invaso
empresa alvo; cego ausncia de
informaes privilegiadas para
subsidiar o analista; e no cego
presena de informaes
privilegiadas para subsidiar o
analista.
Equipe para Cuida para que as fragilidades e os
Act (A) Agir
resposta a eventos relacionados segurana da

TTULO DO DOCUMENTO 35
incidentes informao possam ser tratados em
tempo hbil.
Administrao e Administrao com controles
monitorao da adequados e utilizando ndices para o
segurana monitoramento.
Cuidado para no acreditar que, por
estar conforme ou mesmo certificada
em uma norma, sua empresa est
segura. (Smola, 2014)
Evitar violaes de quaisquer
Risco de
obrigaes legais, estatutrias,
conformidade
regulamentares ou contratuais, e de
quaisquer requisitos de segurana da
informao. (ABNT NBR ISO/IEC
27002:2013)

Aula 7:
Ttulo da aula: Cultura em Segurana da Informao
1. Introduo

Ser que melhor reconhecer a Poltica de Segurana da Informao (PSI)


da empresa e, eventualmente, infringir de forma consciente uma de suas
diretrizes ou melhor fazer isso sem o reconhecimento da tal poltica?
Provavelmente, a maioria dos trabalhadores deve optar por conhecer a PSI.
melhor fazer errado conhecendo o certo do que fazer errado porque no
se conhece o certo.

Figura 8: Fluxo das atividades do PDCA


A empresa seFonte
v: Smola
na obrigao de fazer uma imerso com todos os
(2014), 2 ed., p.83.

funcionrios novos, para que possam ser apresentados aos limites

TTULO DO DOCUMENTO 36
geogrficos e aos principais recursos fsicos, tecnolgicos e humanos. Alm
disso, nessa oportunidade, tambm costuma disponibilizar para esses
funcionrios os principais documentos que servem de orientao no dia a
dia, como por exemplo, o Cdigo de Conduta e a Poltica de Segurana da
Informao.

Aps tudo isso exposto, o funcionrio assina um documento que costuma ser
chamado de Termo de Responsabilidade e Confidencialidade. A assinatura,
nesse documento, ratifica que ele teve cincia das regras relacionadas com
a segurana da informao que subsidiam a operao da empresa e os
compromissos a serem assumidos com relao ao uso das informaes da
empresa, estejam elas contidas em sistemas de informao automatizados
ou no.

Alm da assinatura do Termo de Responsabilidade e Confidencialidade,


importante que a empresa mantenha uma cultura de segurana da
informao entre os funcionrios e todos os colaboradores que representam
pessoas fsicas ou jurdicas, utilizando recursos que reforcem questes
importantes para o Sistema de Gesto de Segurana da Informao (SGSI),
como por exemplo, senhas seguras, mesa limpa, tela limpa, golpes virtuais e
fraude eletrnica.

A importncia da segurana da informao deve ser mantida, atravs de


treinamentos e de outros recursos, buscando a conscincia dos
trabalhadores e a relevncia da segurana da informao contribuindo para
alcanar os objetivos do negcio da empresa.

2. Cultura de segurana da informao

Confiar exclusivamente nos recursos fsicos e tecnolgicos para fazer


segurana da informao se limitar a controles tcnicos, preventivos e
reativos, sem que tenha uma soluo completa. O fator humano talvez seja
a questo mais importante a ser tratada em uma PSI.

TTULO DO DOCUMENTO 37
Cuidar da conscientizao em segurana da informao um pr-requisito
para a implantao de uma Governana de Segurana da Informao bem-
sucedida. A implantao de uma cultura em segurana da informao
transformar um ambiente negligente em um ambiente vigilante. Significa
criar um padro de comportamentos, crenas, suposies, atitudes e
maneiras de fazer as coisas.

Existe uma srie de recursos utilizados para implantao e manuteno da


cultura de segurana da informao na empresa. A utilizao desses
recursos deve embutir conceitos relacionados ao assunto e fazer parte de
um calendrio que permita: repetio, para no deixar esquecer; reforo,
para fixar o contedo com mensagens complementares; e estmulo, com a
utilizao mtodos variados para no dispersar a ateno.

Classificao da informao

importante que a empresa defina um nvel de proteo adequado para


cada tipo de informao e que isso seja disseminado. A norma ABNT NBR
ISO/IEC 27002:2013 recomenda que a informao seja classificada levando
em considerao o seu valor, os requisitos legais, a sensibilidade e a
criticidade para a organizao.

Em geral, a classificao da informao determina como essa informao


ser tratada e protegida. Cada empresa deve estabelecer a quantidade de
nveis que considera adequada. Como exemplo, mostrada uma
classificao com quatro nveis: informao confidencial representando o
mais alto nvel de confidencialidade da informao; informao restrita
representando um nvel mdio de confidencialidade; informao de uso
interno representando o mais baixo nvel de confidencialidade; e
informao pblica com acesso disponvel para todos.

TTULO DO DOCUMENTO 38
Ciclo de vida da informao

No estabelecimento da cultura de segurana da informao, todos devem


saber que a informao possui um ciclo de vida composto por quatro
momentos: (1) manuseio onde a informao criada e manipulada; (2)
armazenamento onde a informao armazenada; (3) transporte onde
a informao transportada; e (4) descarte onde a informao
descartada.

Barreiras da segurana da informao

Para a cultura de segurana da informao tambm importante mostrar as


camadas que estabelecem barreiras para as ameaas aos ativos da
organizao. Smola (2014) define as seguintes barreiras: (1) desencorajar
utilizao de recursos fsicos, tecnolgicos e humanos para desestimular a
tentativa de quebra de segurana, como por exemplo, uma cmera de
vdeo, ainda que falsa; (2) dificultar controles para dificultar o acesso
indevido, como por exemplo, roletas de acesso, senhas e biometria; (3)
discriminar recursos que permitem identificar e gerir os acessos,
definindo perfis e autorizando permisses, como por exemplo, os acessos
aos mdulos de um ERP; (4) detectar recursos para alertar os gestores de
segurana na deteco de situaes de risco, como por exemplo, uma
tentativa de invaso; (5) deter impedir que a ameaa atinja os ativos que
suportam o negcio, como por exemplo, bloqueio de acessos fsicos e
lgicos; e (6) diagnosticar baseada em anlise de riscos fsicos,
tecnolgicos e humanos e orientada aos processos de negcio da empresa,
representa a continuidade do processo de gesto de segurana da
informao criando uma ligao cclica e contnua com a primeira barreira.

Recursos de apoio cultura em segurana da informao

TTULO DO DOCUMENTO 39
As pessoas devem ser treinadas e conscientizadas porque nelas que
comea e termina a segurana. Basta que uma no esteja preparada para
que o risco relacionado com a segurana da informao aumente. De acordo
com a norma ABNT NBR ISO/IEC 27001:2013, Os papis e responsabilidades
pela segurana da informao de funcionrios, fornecedores e terceiros
devem ser definidos e documentados de acordo com a poltica de segurana
da informao da organizao. O entendimento das responsabilidades de
cada um minimiza o risco do mau uso dos recursos.
Todos, na empresa, devem ter conhecimento e conscincia sobre o valor da
informao que dispem e manipulam independente dela ser pessoal ou
institucional. O treinamento e a conscientizao em segurana da
informao devem ter o objetivo de influenciar as pessoas para mudarem
seus comportamentos e atitudes relacionados com a proteo dos ativos de
informaes da empresa. Existem vrios recursos de apoio para
disseminao da cultura em segurana da informao, na empresa,
conforme exemplos citados por Smola (2014):
Seminrios abertos para compartilhar a percepo dos riscos
associados s atividades da empresa, os impactos potenciais no
negcio e o comprometimento dos processos crticos se alguma
ameaa se concretizar.
Campanha de divulgao divulgar a PSI de forma incansvel
para que suas diretrizes sejam do conhecimento de todos. Para
comunicar padres, critrios e instrues operacionais, uma
boa prtica a utilizao de cartazes, jogos, peas
promocionais, protetores de tela, quadro de avisos,
contracheque, e-mails informativos, e-mails de alerta etc.
Carta do presidente encaminhada a cada funcionrio para
dar um carter formal a PSI.
Termo de responsabilidade e confidencialidade define as
responsabilidades relacionadas proteo das informaes,
formalizando o compromisso e o entendimento de cada
funcionrio e de outros profissionais que vierem a assin-lo.

TTULO DO DOCUMENTO 40
Cursos de capacitao e certificao existem perfis
profissionais dentro da empresa que podem necessitar de mais
domnio sobre os conceitos de segurana da informao, como
por exemplo, os administradores de rede para reagir a
situaes de risco. Nesses casos, onde existe uma necessidade
de mais aprofundamento no assunto, recomenda-se uma
capacitao formal atravs de cursos especializados, tendo a
certificao como instrumento da respectiva competncia
adquirida.

O processo contnuo de capacitao e de sensibilizao das pessoas que


vai determinar o preparo para o enfrentamento de novas situaes de risco.

Aula 8:
Ttulo da aula: Saindo do quadrado
1. Introduo

J foi o tempo em que a preocupao com segurana da informao se


limitava exclusivamente a quatro paredes. Isso foi na poca do incio do
processamento de dados, quando a instalao fsica da tecnologia da
informao se chamava Centro de Processamento de Dados (CPD). Ainda no
existiam redes de comunicao e nem internet, tornando assim a segurana
da informao bastante facilitada.

O tempo passou e a tecnologia evoluiu. A informao passou a poder


transitar facilmente atravs de redes de comunicao; surgiu a internet, a
mobilidade com BYOD, a computao em nuvem (cloud computing), as
mdias sociais e o conceito de big data. A informao deixou de estar
necessariamente armazenada na prpria empresa e a contratao de
servios de terceiros para rea de TI aumentou. Toda essa transformao
influenciou diretamente a segurana da informao na empresa,
demandando mais cuidados no seu dia a dia.

TTULO DO DOCUMENTO 41
2. Empresas terceirizadas e segurana da informao

As empresas costumam terceirizar sempre que, por algum motivo, no


compensar para ela desenvolver determinada atividade internamente.
Segundo Romanoschi (1994), terceirizao a passagem de atividades e
funes especficas a terceiros especializados. Esta prtica vem se
tornando cada vez mais comum porque, nos ltimos anos, as organizaes
vm concentrando seus esforos na sua atividade principal, ou seja, no seu
core business.

Apesar da impulsividade de alguns empresrios, terceirizar pode ser um


grande desastre se no for respaldado por um planejamento bem feito,
incluindo o mapeamento de riscos e um plano de ao, fixando objetivos e
definindo as melhores condies para atingi-los.

Sempre que o assunto a terceirizao devem ser considerados dois atores


principais: o fornecedor provedor do servio; e o cliente tomador do
servio. Cada um desses atores possui seus interesses particulares
relacionados com a transao que est sendo realizada. A busca do
equilbrio entre os interesses das partes que ir determinar o sucesso do
contrato e do negcio.

Dado a sua complexidade, o cliente que busca terceirizar a rea de TI deve


se instruir antecipadamente sobre o assunto para evitar fracassos e
prejuzos muitas vezes irrecuperveis.

Por que terceirizar?

A resposta mais direta a concentrao da empresa na sua atividade


principal core business. Como consequncia, aparecem justificativas
complementares, como a reduo de custos; o melhor controle dos servios;
o retorno do investimento; os conhecimentos e as habilidades de
especialistas; e a garantia de qualidade.

TTULO DO DOCUMENTO 42
O que terceirizar?

O cliente deve ter clareza do que ser terceirizado e da importncia em


manter, na empresa, o conhecimento gerado por terceiros. Um exemplo
quando o cliente terceiriza a sua rea de desenvolvimento e no se
preocupa em manter algum funcionrio de sua equipe acompanhando o que
est sendo feito pelo provedor e exigindo que se mantenha nas suas
instalaes uma documentao detalhada e atualizada. Caso isto no
ocorra, na renovao do contrato, todas as informaes estaro nas mos do
provedor e o cliente estar refm, tendendo a pagar o que for cobrado.

Como terceirizar?

A terceirizao no pode ser confundida com servios por tempo


predeterminado e de curta durao, como por exemplo, a contratao de
uma empresa para realizar a instalao de um cabeamento de rede ou
ainda, para desenvolver um determinado aplicativo. A terceirizao no
ocasional e por tempo reduzido. uma boa prtica alocar uma equipe de
trabalho qualificada para realizar esse estudo.

Quanto custa terceirizar?

O resultado da terceirizao medido a mdio e em longo prazo. A escolha


do provedor no deve ser feita exclusivamente pelo critrio de custo mais
baixo. Alm disso, indispensvel a capacidade do provedor poder atender
o cliente conforme estabelecido em contrato. Tambm deve existir ateno
para alguns riscos de terceirizao como: perda do controle gerencial;
problemas de comunicao entre o cliente e o provedor de servios; e,
principalmente, ameaa segurana das informaes.

Quais cuidados devem ser tomados com a segurana da informao?

TTULO DO DOCUMENTO 43
O contrato de terceirizao da rea de TI, seja ele total ou parcial, implica
na possibilidade de acesso s informaes do cliente. uma boa prtica a
existncia de clusulas contratuais com implicaes pecunirias, para
definir as condies nas quais as informaes do cliente podero ser
acessadas, bem como o comprometimento do provedor em manter a
confidencialidade e a responsabilidade durante a utilizao dessas
informaes. Outra boa prtica contratual deixar claro que as solues
desenvolvidas por solicitao do cliente pertencem ao cliente e a ele devem
ser entregues, incluindo a documentao e o cdigo fonte, quando for o
caso.

Alm do contrato, deve ser definido um permetro fsico juntamente com


um perfil de acesso que limitem o ingresso dos representantes do provedor
unicamente aos locais e s informaes que se fizerem necessrias para a
realizao do trabalho.

3. Outras preocupaes com segurana da informao

A percepo cada vez maior da rea de TI poder agregar valor ao negcio


associada com a possibilidade de uso de novos recursos e servios de TI, nas
organizaes, transformando positivamente a estrutura da rea de TI e o
seu relacionamento com a rea de negcio.

Como consequncia do uso intensivo desses novos recursos e servios da


rea de TI, surge a necessidade de aperfeioamento da segurana da
informao em cada um deles.

Computao em nuvem (cloud computing)

Computao em nuvem ou cloud computing foi definida pelo National


Institute of Standard and Technology NIST , em 2011, como:
um modelo para permitir o acesso
conveniente, sob demanda, a uma rede

TTULO DO DOCUMENTO 44
com um conjunto compartilhado de
recursos de computao configurveis (ex.:
redes, servidores, armazenamento,
aplicaes e servios), que podem ser
rapidamente provisionados e liberados com
o mnimo de esforo gerencial e interao
com o provedor de servio.
A contratao de um provedor de servio em nuvem Cloud Service
Provider (CSP) deve ser realizada atravs de critrios de escolha que inclua
avaliao in loco, uma infraestrutura atendendo aos padres de segurana
da informao (ISO 27001) e uma equipe de especialistas certificados e com
formao diferenciada.

Segundo Harada, citado por Fernandes; Abreu (2014, p. 551), um estudo


realizado em 316 empresas detectou uma srie de riscos de segurana da
informao, conforme exemplos mostrados a seguir: desafios de
conformidade; perda de reputao da empresa; intruso maliciosa ou papis
com altos privilgios de acesso; intimao; encerramento do servio do
provedor (CSP); aquisio do CSP por um concorrente; exausto de recursos;
interceptao de dados; perda de dados; mudanas de jurisdio do CSP
com requisitos legais diferentes; falha nas condies de licenciamento;
roubo de equipamentos nas instalaes do CSP e desastres naturais.

Smola (2014) cita que para minimizar os riscos algumas empresas adotam
estruturas mistas, optando por hospedar, na nuvem de um CSP, somente a
informao classificada internamente como pblica ou de baixa criticidade
ou relevncia para a organizao e mantendo o restante na infraestrutura
interna. Em contrapartida, apesar de interessante em termos de segurana,
a estratgia tem a possibilidade de impactar negativamente o negcio
porque as organizaes esto geograficamente espalhadas, demandando
flexibilidade e convenincia, conflitando com os altos custos de manter
estrutura prpria quando comparados com os custos dessa estrutura na
nuvem.

TTULO DO DOCUMENTO 45
Mobilidade e BYOD

A tecnologia mvel est influenciando o comportamento humano do sculo


XXI e se posicionando como base principal da revoluo tecnolgica que vem
transformando as interaes pessoais e corporativas.

A costura entre as fronteiras das vidas profissional e pessoal encontra-se


cada vez mais fraca. Os profissionais tendem a utilizar dispositivos mveis
particulares tambm no trabalho, querendo acessar a rede corporativa e
armazenar as informaes da empresa no prprio dispositivo. Esta tendncia
recebeu o nome de Bring Your Own Device (BYOD).
Este contexto influenciou a evoluo das aplicaes corporativas para irem
em direo mobilidade, gerando uma srie de questionamentos
relacionados com a construo da estratgia de desenvolvimento de
aplicaes mveis. Um desses questionamentos como utilizar dispositivos
mveis e manter a segurana da informao?

O mapeamento de riscos relacionados com a utilizao corporativa de


dispositivos mveis aponta principalmente para: perda de controle de
hardware, software e de suas atualizaes; vazamento de informaes
confidenciais; aumento da possibilidade de perda, furto ou roubo do
equipamento contendo informaes confidenciais; falha no controle de
acesso rede da empresa; dificuldade para recuperao de informaes
quando o funcionrio se desliga da empresa e o equipamento prprio;
infeco por vrus; e aplicativos maliciosos.

A mitigao de riscos feita atravs de sistemas de controle de acesso


rede Network Access Control (NAC). Smola (2014) explica que:
o uso de sistemas de NAC possibilita
o provimento seguro de acesso a uma rede
com fio ou sem fio a dispositivos que no se
insiram no mbito do que essa rede

TTULO DO DOCUMENTO 46
considere normal, atravs do chamado
guest networking, possibilitando identificar
e aplicar uma poltica de segurana para
todos os tipos de usurios e dispositivos de
rede.

Smola (2014) tambm prope, como alternativa para a segurana da


informao, a combinao do uso do NAC com o uso de gerenciamento de
dispositivos mveis Mobile Device Management (MDM), voltados, por
exemplo, para a segurana de smartphones e tablets.

Todas as aes tomadas para garantir a segurana da informao devem


estar subsidiadas por uma Poltica de Segurana da Informao (PSI) que
considere a existncia de polticas especficas para o gerenciamento de
dispositivos mveis, incluindo o BYOD.

Mdias sociais

As mdias sociais so espaos virtuais de interao entre pessoas. As


interaes, nesses espaos, passaram a influenciar bastante a deciso de
compra dos consumidores, fato que acabou despertando o interesse das
organizaes e consequentemente fazendo com que elas passassem a
considerar as mdias sociais presentes na internet nas suas estratgias de
negcio.

Dado o interesse das empresas utilizarem as mdias sociais como parte da


estratgia do seu negcio, importante que elas tambm coloquem em
prtica as estratgias para gerenciar os riscos resultantes desses novos
canais de comunicao.

Smola (2014) considera os seguintes riscos resultantes da utilizao das


mdias sociais: vazamento de informao; furto de identidade; dano

TTULO DO DOCUMENTO 47
imagem ou reputao da empresa; e nos casos de ataques ou de software
malicioso malware , perda de dados e perda de capacidade operacional.

Smola (2104) sugere que:


O melhor a ser feito para reduzir esses
riscos trat-los de forma preventiva, com
a definio de uma poltica clara para o uso
de mdias sociais, incluindo a definio de
responsabilidades e de um cdigo de
conduta, reforar a conscientizao de
empregados e executivos sobre o uso
adequado de mdias sociais e o que deve
ser compartilhado nessas redes, alm de
treinamento sobre navegao segura na
internet.

Para reduzir os riscos importante que os funcionrios adotem uma postura


preventiva; que a cultura de segurana da informao seja fortalecida; e
que sejam aplicadas solues tcnicas, como forma de preveno.

Big data

De acordo com Siewert citado por Fernandes; Abreu (2014), big data :
Definido genericamente como a
captura, o gerenciamento e a anlise de
dados que vo alm dos dados tipicamente
estruturados, que podem ser consultados e
pesquisados atravs de bancos de dados
relacionais. Frequentemente so dados
obtidos de arquivos no estruturados como
vdeo digital, imagens, dados de sensores,
arquivos de logs e de qualquer tipo de

TTULO DO DOCUMENTO 48
dados no contidos em registros tpicos com
campos que podem ser pesquisados.

O big data traz como principal caracterstica o armazenamento de grandes


volumes de dados que podem ser tratados mais rapidamente e com uma
quantidade maior de recursos. O objetivo possibilitar que essas
informaes possam ser analisadas mais rapidamente para auxiliar na
tomada de decises.

Quando se pensa em segurana da informao, o big data apresenta


benefcios e riscos. Pelo lado dos benefcios Smola (2014) explica que a
nova tecnologia traz consigo potencial significativo de aumento no poder de
anlise de dados, que pode melhorar a capacidade de detectar ataques
cibernticos e atividades maliciosas (...). J pelo lado do risco, (...) ainda
no conseguimos entender completamente os riscos privacidade e
segurana quando informaes de cliente e de negcios esto sendo
coletadas, combinadas, processadas e armazenadas em escalas e
velocidades sem precedentes. Adiciona-se ainda que mais dados e mais
capacidade de anlise desses dados possibilitam mais informao disponvel
e espalhada, exigindo mais trabalho para control-la e proteg-la.

Preveno, educao e controle formam os pilares para reduzir os riscos de


segurana da informao no big data. Para a preveno importante que a
informao esteja classificada e com poltica que defina o que pode ser
compartilhado e com quem; que inclua aspectos de conformidade legal e
regulatria; e que se considere os requisitos especficos de cada pas. Na
parte de educao, importante mapear as deficincias tcnicas dos
profissionais e supri-las com treinamento. Na parte de controle, Smola
(2014) sugere que (...) o caminho mais provvel a migrao da viso de
segurana para um modelo de proteo data-centric (centrada em dados),
que acompanha a informao em todas as fases de seu ciclo de vida. E,
para terminar, deve-se avaliar a aquisio ou o desenvolvimento de

TTULO DO DOCUMENTO 49
softwares para serem utilizados como ferramentas de apoio gesto de
riscos.

TTULO DO DOCUMENTO 50