Você está na página 1de 173

Governança da Segurança da Informação

Mauricio Rocha Lyra (org.)

Brasília

2015
Copyright © 2015 de Mauricio Rocha Lyra

Direitos desta edição reservados à Mauricio Rocha Lyra


Impresso no Brasil / Printed in Brazil
Todos os direitos reservados. A reprodução não autorizada desta publicação, no todo ou em parte, constitui
violação do copyright (Lei nº 9.610/98)
Os conceitos emitidos nesta publicação são de inteira responsabilidade dos respectivos autores

1ª edição – 2015

Capa – Wanderson Tavares Borges


Diagramação – Luciana Mara de Sousa Castro
Revisão Técnica – Mauricio Rocha Lyra

ISBN: 978-85-920264-1-7

L992
Lyra, Mauricio Rocha
Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015
160p. 17,5cm x 25cm

ISBN 978-85-920264-1-7

1. Governança. 2. Segurança da Informação. 3. Planos de Segurança da Informação

CDD-600-000
Índices para catálogo sistemático

1. Segurança da informação: Ciência da computação 005.1


PREFACIO

Atualmente, as organizações estão se tornando mais e mais


dependentes dos seus sistemas de informação. A clientela, por sua vez, está
cada vez mais preocupada com o uso adequado das informações,
notadamente com a privacidade dos seus dados pessoais. Entretanto, as
ameaças ao principal ativo organizacional, isto é, à informação, aumentam a
cada dia. Portanto, como a informação é a base da vantagem competitiva de
uma organização, é vital garantir a segurança dessa informação.

Apesar do que pensam alguns, não é possível comprar soluções de


prateleira de gestão e Governança de segurança da informação. Essa é uma
atividade complexa, que demanda um olhar pleno sobre o ambiente
organizacional, abordando temas tais como: estratégia, planejamento,
aspectos humanos, normativos e políticas de segurança entre outros.

É essa abordagem sistêmica que nos traz o livro Governança de


Segurança da Informação, organizado pelo Prof. Maurício Rocha Lyra, com
capítulos escritos por alunos, mestres e doutores da pós-graduação do
UNICEUB. O livro cobre desde a estratégia organizacional até aspectos de
segurança da informação na produção de software, com foco, sempre, na
agregação de valor que essa segurança da informação traz aos negócios.

Vivemos anos difíceis, de crescimento acelerado do crime cibernético,


que coloca em xeque todo o comércio eletrônico. Para vencer essas ameaças,
precisaremos de modelos de gestão e governança de segurança da
informação. Nesse sentido, a publicação deste livro no Brasil é um marco,
mostrando uma visão integrada e estratégica, que vai muito além das
ferramentas e das soluções prontas do mercado.

João Souza Neto


APRESENTAÇÃO

A Governança é um tema muito presente na sociedade moderna, pois


procura apresentar o sistema pelo qual as organizações são dirigidas e
monitoradas, melhorando a transparência e a responsabilização das decisões
nas corporações. A governança é um tema multifacetado e por isso a
Governança da Segurança da Informação exerce seu papel trazendo o foco da
discussão para a Segurança da Informação.

A obra inicia abordando a relação entre o planejamento estratégico e a


segurança da informação. Remete o debate sobre segurança da informação
para o nível estratégico da organização, colocando a questão em termos de
danos potenciais e do eventual prejuízo financeiro que ela trará. O
entendimento dessa relação auxiliará a alta direção da empresa a reconhecer a
importância dos investimentos em segurança da informação para a
organização.

O capitulo 1 apresenta os principais conceitos e princípios da segurança


da informação que serão utilizados ao longo de toda a obra. O capítulo 2 trata
do ciclo de vida da informação e os principais cuidados que devemos tomar
com a segurança dos ativos da informação.

O capitulo 3 trabalha a organização da função segurança da informação


nas empresas. Apresenta algumas possibilidades com suas características,
vantagens e desvantagens e ainda apresenta os profissionais que trabalham
com segurança da informação. O capítulo 4 mostra a importância de classificar
os ativos da informação apresentando um roteiro de como fazê-lo utilizando a
ISO27002.

O capitulo 5 trata dos aspectos humanos da segurança da informação,


onde as pessoas são consideradas o elo mais frágil dessa corrente e como a
engenharia social atua nessa fragilidade. O capítulo 6 apresenta os pilares da
governança da segurança da informação e faz a separação conceitual entre os
termos gestão e governança.

Os capítulos 7 e 8 desenvolvem a governança da segurança da


informação segundo o COBIT 5 e a ISO27014. Nesses capítulos vamos
entender como essa faceta da governança deve ser aplicada nas
organizações.
Os capítulos 9 ao 13 apresentam os planos da segurança da
informação: O Planejamento Estratégico da Segurança da Informação, no
capítulo 9; o Plano Diretor da Segurança da Informação, no capítulo 10; a
Política de Segurança da Informação, no capítulo 11; o Plano de Continuidade
é visto no capítulo 12 e no capítulo 13 temos o Plano de Contingência.

Por fim, o capitulo 14 apresenta um conjunto de reflexões sobre o


impacto da segurança da informação no desenvolvimento de software. Nesse
capítulo são apresentados os aspectos de segurança no desenvolvimento de
software, a influência das normas de segurança na produção de software, o
perfil dos recursos humanos na produção de software seguro e os novos
desafios da área de produção de software no contexto da cibersegurança. O
autor apresenta um framework a ser seguido na preparação dos aplicativos
para a cibersegurança.

Mauricio Rocha Lyra


Sumário
ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO ............................................................................1
CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO .................................................... 9
O CICLO DE VIDA DA INFORMAÇÃO ...........................................................................................21
ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................27
CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO .........................................................................37
ASPECTOS HUMANOS DA SEGURANÇA DA INFORMAÇÃO.........................................................47
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO ....................................................................59
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGUNDO A ISO 27014:2013 ......................67
GESTÃO DA SEGURANÇA DA INFORMAÇÃO SEGUNDO O COBIT 5 ............................................77
O PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ............................95
PLANO DIRETOR DE SEGURANÇA DA INFORMAÇÃO ................................................................105
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ...........................................................................117
PLANO DE CONTINUIDADE DE NEGÓCIOS................................................................................125
PLANO DE CONTINGÊNCIA .......................................................................................................135
ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA PRODUÇÃO DE SOFTWARES ......................145
Governança da Segurança da Informação

INTRODUÇÃO

ESTRATÉGIA E SEGURANÇA
DE INFORMAÇÃO

Autor: Paulo Rogério Foina

Que a Tecnologia da Informação é fundamental para a operação das


empresas, já é um fato consolidado e exaustivamente debatido na bibliografia,
assim como a necessidade de se preservar os sistemas dos ataques de
hackers e as informações dos vazamentos não autorizados. O que queremos
mostrar neste capítulo é a necessidade de se tratar a segurança da informação
no nível estratégico das organizações e não deixar essa tarefa apenas para as
equipes técnicas especializadas.

Para se estabelecer o grau de importância para as informações, que


existem dentro de uma organização, é necessário avaliar o dano que a sua
perda, ou o seu vazamento, poderá provocar para a operação ou para os
negócios. Essa análise deve ser feita durante o planejamento estratégico da
empresa

O planejamento estratégico, que as organizações realizam


periodicamente, se destina a uma reavaliação crítica da sua situação atual e o
estabelecimento de objetivos (estratégicos) para os próximos anos. É nesse
planejamento que se estabelece objetivos de lançamento de novos produtos,
entrada ou saída de mercados, aquisições, expansões e todos os demais
objetivos que afetam a organização como um todo (FOINA, 2013).

Um planejamento estratégico é realizado em três etapas básicas: a)


etapa de diagnóstico: onde é analisada criticamente a situação atual da
organização em relação aos objetivos propostos anteriormente; b) etapa de
prospecção: nessa etapa são desenhados os cenários futuros para o
ecossistema da organização e estabelecidos novos objetivos estratégicos para
os próximos anos; b) etapa de elaboração de planos: os objetivos estratégicos
estabelecidos são desdobrados em planos de ações para cada área de
organização (finanças, marketing&vendas, recursos humanos, tecnologia,

1
Governança da Segurança da Informação

produção etc.). Posteriormente os planos de ações receberão metas objetivas


e orçamentos necessários para a sua realização (Da VEIGA, 2010).

Propomos uma escala de cinco níveis de sensibilidade a ser aferida para


cada conjunto de informações referentes a uma mesma entidade ou conceito:

Nível 1 – Informação pública – informação que foi obtida sem ônus, de


fontes públicas, ou que foi produzida internamente pela empresa mas
que tem interesse público. Essas informações não precisam de controle
de acesso e de distribuição. Apenas deve-se cuidar para que elas não
sejam danificadas ou alteradas. São exemplos de informações de nível
1: Dados do balanço de empresas de capital aberto; Lista de produtos;
Notícias sobre a empresa.

Nível 2 – Informação restrita - informação que foi adquirida de


terceiros com cláusula de sigilo mas que outras empresas também
podem adquirir, ou que foi produzida pela empresa e que tem interesse
restrito à ela. Essas informações, se vazadas, podem comprometer a
imagem da organização mas não sua operação. São exemplos de
informações de nível 2: Relatórios de consultoria sobre empresas
concorrentes; Dados pessoais dos funcionários e executivos da
empresa; Relatos de defeitos de produtos e serviços.

Nível 3 – Informação sigilosa - informação que foi obtida, com


exclusividade, de terceiros, ou que foi produzida pela empresa e que
trata de decisões, processos ou produtos críticos para a sua operação.
Essas informações, se vazadas ou danificadas, podem gerar decisões
erradas e prejudiciais para a operação da empresa ou inviabilizar o
lançamento de um novo produto ou serviço. São exemplos de
informações de nível 3: Relatórios de investigação de práticas
concorrenciais ilegais; Detalhes sobre campanhas de lançamento
comercial; Detalhes sobre planos de fusão, aquisição ou fechamento de
empresas.

Nível 4 – informação secreta – informação referente a detalhes de


produtos e serviços que estão em processo de desenvolvimento ou,
decisões sobre significativas alterações do valor patrimonial da empresa.
Essas informações, se vazadas ou danificadas, podem comprometer o
protagonismo no lançamento de um novo produto ou ainda permitir que
concorrentes o lancem antes da empresa. Podem ainda inviabilizar
fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de
investigação por parte da CVM. São exemplos de informações de nível
4: Detalhes de produtos e serviços em desenvolvimento; Detalhes sore a
negociação de compra ou venda de empresas ou filiais; Relatórios sobre
falhas graves, em produtos, serviços ou processos internos, que podem
afetar o valor das ações da empresa na bolsa de valores;
2
Governança da Segurança da Informação

Nível 5 – Informações ultra secretas– informações sobre atos e fatos


da organização cujo acesso é limitado apenas à mais alta direção
executiva e seus acionistas. Essas informações, se vazadas, podem
levar a ações judiciais à empresa ou a seus executivos e acionistas.
Compreendem ainda informações sobre segredos industriais que
diferenciam a empresa de seus concorrentes. São exemplos de
informações de nível 5: Detalhes sobre operações ilícitas ou de alto risco
jurídico; Segredos industriais sobre componentes, insumos ou processos
de produção dos principais produtos da empresa ainda não patenteados
ou protegidos por lei.

As informações de níveis 1 e 2 não precisam ser tratadas pelo nível


estratégico da empresa, bastando as salvaguardas tradicionais das áreas
técnicas. Já as demais precisam ser consideradas no planejamento
estratégico, pois sua guarda e proteção implicam em despesas significativas e
riscos a serem mitigados e compartilhados pela alta direção. As informações de
nível 5 devem ficar fora das redes corporativas (em computadores isolados) e,
preferencialmente, não documentadas sob qualquer meio ou formato.

A separação das informações nesses níveis de sensibilidade permite


que sejam planejados investimentos de salvaguardas e de proteção adequados
para cada uma delas, reduzindo assim os custos totais e permitindo a
atribuição de responsabilidades explícitas para as pessoas que as manipulam
(DOHERTY, 2005).

Para o planejamento das ações de proteção e salvaguarda das


informações podemos usar uma tabela, como mostrado a seguir. Nesta tabela
colocamos os conjuntos de informações de acordo com o seu nível de
sensibilidade (NS) e, nos campos de ações de proteção e de controle de
acesso, as ações que precisam ser feitas para garantir o sigilo e integridade em
cada um dos níveis de sensibilidade.

No exemplo mostrado na tabela a seguir vemos que uma mesma ação


de TIC pode atender a várias ações de proteção e de controle. Quando isso
acontece, o curso dessas soluções pode ser compartilhado pelas ações
estratégicas correspondentes aumentando o retorno financeiro da sua
implantação.

A estimativa de dano potencial corresponde ao valor necessário para


corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das
informações. Esse valor pode ser baixo, como por exemplo o custo para
restaurar um backup do dia anterior, ou pode ser muito alto, como o pagamento
de multas elevadas aplicadas pelos órgãos de controle ou ainda os custos dos
honorários de advogados a serem contratados para defender a empresa e seus
executivos.

3
Governança da Segurança da Informação

Tabela de Ações Estratégicas de Segurança

NS Conjunto de Ações de Ações de Dano Ações de Custos


informações Proteção Controle Potencial TIC Estimados
de Acesso (R$) (R$)

2 Cadastros de Backups Controles e Médio Software R$ 20k


clientes periódicos acesso de backup
automáticos (~R$ 50k)
LDAP R$ 20k

2 Cadastros de Backups Controles e Médio Software R$ 20k


Contas a periódicos acesso de backup
Pagar e automáticos (~R$ 50k)
Receber LDAP R$ 20k

4 Documentos Armazenag Biometria Altíssimo SW R$ 20k


de projetos de em em avançada (> R$ 10 Criptografia
pesquisa para subrede milhões)
novos segregada Subrede R$ 50k
produtos da Internet com
com storage
criptografia
Disp. R$ 30k
Biométricos

4 Ata de Armazenag Acesso Alto (acima SW R$ 20k


reuniões do em em apenas pelo R$ 1 Criptografia
Conselho de subrede presidente e milhão)
Administração segregada secretário Subrede R$ 50k
da Internet com biometria com
com storage
criptografia
Disp. R$ 30k
Biométricos

5 Relatórios de Armazenag Acesso Altíssimo SW R$ 20k


ações políticas em em apenas pelo (acima R$ Criptografia
para dispositivos presidente 1 milhão)
promoção do isolados de Storage R$ 10k
setor posse da
Presidência

1 Balanços Backup Controle de Baixo (< Software R$ 20k


publicados periódico acesso por R$ 10.000) de backup
senhas

1 Cadastros de Backup Controle de Baixo (< Software R$ 20k


produtos e periódico acesso por R$ 10.000) de backup
preços senhas

4
Governança da Segurança da Informação

As ações de proteção e controle de acesso devem ser ações de nível


estratégicas que definam parâmetros gerais para proteger as informações de
contra danos (alterações indevidas) e vazamentos não autorizados. Cada uma
dessas ações será posteriormente desdobrada em ações de TIC capazes de
implementar essas ações estratégicas.

Cada uma das ações de TIC deve ser avaliada e ter um custo estimado
para sua implantação, assim como, a cada conjunto de informações, deve ser
estabelecido um valor decorrente do dano em caso de seu vazamento ou
alteração indevida. A comparação entre o valor do potencial dano versus o
custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se
implementar as ações preconizadas.

A análise proposta objetiva o reconhecimento da alta direção da


empresa da importância dos investimentos em segurança da informação para a
organização. Sem essa explicitação fica muito difícil para o gestor de TIC
justificar os investimentos e gastos com os aparatos de segurança. Lembramos
que a alta direção das organizações não precisa conhecer tecnologia mas deve
saber muito bem como avaliar investimentos e os retornos financeiros
esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas
necessidades orçamentárias para oferecer a segurança desejada pela
organização.

Ao trazer a discussão sobre segurança da informação para o nível


estratégico da organização, colocamos a questão em termos de danos
potenciais e do eventual prejuízo financeiro que ele trará, se não for
adequadamente tratado. Ao mesmo tempo, envolvemos toda a alta direção
nessa questão facilitando a implantação de procedimentos e normas de
controle e gestão de informação. Notem que em nenhum momento da
discussão com a alta direção, são abordadas as ferramentas e tecnologias
envolvidas mas sim as questões financeiras envolvidas numa potencial invasão
dos sistemas de informação.

A alta direção da organização deve preservar os interesses dos


acionistas (ou da sociedade, em caso de organizações públicas) e por isso
deve estar bem informada sobre os investimentos a serem realizados, sejam
eles para qual finalidade for. Cada valor investido deve ter, em contrapartida,
um valor maior de retorno, caso contrário não vale a pena ser feito. Com a
base de comparação investimento/retorno é sempre monetária, é fundamental
que os gestores de TIC consigam transformar os benefícios esperados com
seus investimentos em valores monetários comparáveis com os valores a
serem investidos.

Aqui reside o maior desafio para os gestores de TIC: converter


benefícios intangíveis em benefício monetizados. É preciso ter sempre em
mente que todo gasto com TIC deve ser encarado como um investimento e,
5
Governança da Segurança da Informação

portanto, deve trazer benefícios financeiros tangíveis e mesuráveis. O


envolvimento dos setores afetados com a maior exposição ao risco ajuda a
estabelecer o valor do eventual dano para a empresa.

Uma informação terá maior probabilidade de ser atacada quanto maior o


valor dela para o atacante. Por essa razão, a ponderação do dano potencial
pela probabilidade de ocorrência, como fazemos nas análises de riscos de
projetos, não é suficiente para a definição dos investimentos necessários para
a mitigação desses riscos. É preciso avaliar também os impactos desses
ataques para a imagem e reputação da organização junto ao seu mercado.

Com e elevado grau de digitização das empresas e da sociedade, o


acesso indevido a dados empresariais passou a ser muito fácil e rentável para
os hackers e crackers. Os melhores programadores são contratados por
empresas criminosas especializadas em roubar dados relevantes ou até
mesmo “sequestrar” diretórios inteiros cobrando assim um resgate para liberar
esses dados1.

Não são apenas empresas que estão sujeitas ao roubo de dados. As


pessoas físicas também podem ser afetadas. Recentemente um famoso site de
encontros extraconjugais teve os dados dos seus usuários roubados e foi
ameaçado de divulga-los se não se retratasse publicamente. Como a empresa
não cedeu aos criminosos esses dados foram tornados públicos. Alguns
usuários receberam ainda ameaças de divulgação pública do seu nome e das
conversas trocadas no site se eles não fizessem um pagamento em Bitcoins2
para esses criminosos.

1
O sequestro de arquivos é feito através do acesso criminoso aos arquivos e a criptografia deles com
chave conhecida apenas pelo sequestrador. Se a empresa não tiver backups seguros e atualizados
desses dados ela poderá ser obrigada a pagar o resgate cobrado para poder receber a chave de
criptografia usada pelos criminosos.
2
Bitcoins é uma moeda virtual muito usada em transações na Internet e que, por não ter registro
público, dificulta o rastreamento do seu fluxo.

6
Governança da Segurança da Informação

Referências

FOINA, P.R., Tecnologia da informação: planejamento e gestão, 3ª edição, Ed.


Atlas, 2013

DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith
the stracegic information systems plan, Computer & Security, 2005, vol. 25

Da VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for


information security culture, Computers & Security, 2010, Vol. 29

Sobre o autor

Paulo Rogério Foina

Físico com mestrado e doutorado em informática.


Professor, executivo e empresário de computação há
mais de 30 anos. Coordena os cursos de graduação em
Ciência da Computação e o programa de pós-graduação
em Gestão de Tecnologia (Governança de TI e Gerência
de Projetos de TI) do Centro Universitário de Brasília -
UniCEUB

7
Governança da Segurança da Informação

8
Governança da Segurança da Informação

CAPÍTULO 1

CONCEITOS E PRINCÍPIOS
DA SEGURANÇA DA INFORMAÇÃO

Autor: Fábio Cabral Torres

1.1 Segurança da Informação

De uma forma simples e direta, a Informação pode ser definida por um


conjunto de dados tratados e organizados de tal maneira que tragam algum
significado ou sentido dentro de um dado contexto.
A título de exemplo, imagine um encontro entre dois profissionais onde
um deles, em um determinado momento, proferisse somente a palavra
“Segurança”. A princípio, tal palavra não traz nenhum sentido ao profissional
receptor da mensagem. Não há um contexto; Não há um significado. Portanto,
até o momento, a palavra “Segurança” representou apenas um dado qualquer,
um dado bruto, um fato, um elemento não interpretado.
Entendido isto, imagine a mesma situação, porém, com uma pequena
mudança: O profissional profere uma mensagem da seguinte forma “Estudo
Segurança da Informação”. Perceba que desta maneira, o profissional receptor
da informação será capaz de compreender a mensagem. Portanto, a presença
de um contexto definido (neste caso, o contexto da segurança da informação) e
da organização e tratamento dos dados não interpretados (estudar, segurança
e informação) trouxe um sentido (significado) para a frase.
Trazendo este entendimento para o lado das organizações, a
informação não se trata de um conceito atual. Desde a Era Industrial (inclusive
antes disso) até os dias de hoje, a informação é consumida para suprir
determinadas necessidades como tomada de decisões estratégicas,
incremento de produtividades, aumento da competitividade no mercado,
redução de custos, publicidades e marketing, prospecções de negócios,
construções de pontes, investimentos em bolsas de valores, compra de
produtos, dentre várias outras. A informação é crítica para negócio de uma
organização. Importante destacar também que a informação pode assumir
diferentes formas como informação falada, escrita, guardada eletronicamente,
impressa, etc.
Devido à tamanha importância da informação, a necessidade de
protegê-las passou a ser crucial para estas organizações. Afinal de contas, que
empresa quer que suas estratégias de negócio sejam vistas pelos seus
9
Governança da Segurança da Informação

concorrentes? Ou que executivo, em um momento de decisão de compra de


uma determinada empresa, gostaria de ter sua informação manipulada e
alterada? De fato, percebe-se que a falta de uma correta abordagem da
segurança da informação pode trazer altíssimos prejuízos para uma empresa.
Definido o conceito de informação, faz-se necessário definir o que seria
a Segurança da Informação. Há várias definições de diversos autores, porém,
destacam-se três, sendo as duas primeiras mais formais e a terceira, mais
comum:

1) Preservação da confidencialidade, integridade e


disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade,
não repúdio e confiabilidade, podem também estar
envolvidas. (ABNT NBR ISO/IEC 27002: 2005)

2) Podemos definir a Segurança da Informação como uma


área do conhecimento dedicada à proteção de ativos da
informação contra acessos não autorizados, alterações
indevidas ou sua indisponibilidade. (Sêmola, 2003, p. 43).

3) A segurança de informação é caracterizada pela


aplicação adequada de dispositivos de proteção sobre um
ativo ou um conjunto de ativos visando preservar o valor que
este possui para as organizações. A aplicação destas
proteções busca preservar a confidencialidade, a integridade
e a disponibilidade (CID), não estando restritos somente a
sistemas ou aplicativos, mas também informações
armazenadas ou veiculadas em diversos meios além do
eletrônico ou em papel. (Bastos & Caubit, 2009, p. 17).

Verificado os conceitos expostos acima, percebe-se um aspecto


comum a todos eles: os elementos “confidencialidade, integridade e
disponibilidade” – conhecidos por diversos autores como “CID”. Tais elementos
não são uma mera coincidência, mas sim, os três pilares principais (ou
princípios básicos) da Segurança da Informação.
Como diria (Lyra, 2008, p.4),

Quando falamos em segurança da informação, estamos nos


referindo a tomar ações para garantir a confidencialidade,
integridade, disponibilidade e demais aspectos da
segurança das informações dentro das necessidades do
cliente.

Vejamos os conceitos destes três principais pilares:

• Confidencialidade: “Garantia de que o acesso à informação é


restrito aos seus usuários legítimos.” (Beal, 2008, p. 1). Ou seja,
seu acesso é permitido apenas a determinados usuários.

10
Governança da Segurança da Informação

• Integridade: “Toda informação deve ser mantida na mesma


condição em que foi disponibilizada pelo seu proprietário,
visando protegê-las contra alterações indevidas, intencionais ou
acidentais” (Sêmola, 2003, p. 45). Ou seja, informação não
adulterada.

• Disponibilidade: “Garantia de que a informação e os ativos


associados estejam disponíveis para os usuários legítimos de
forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da
finalidade, a informação deve estar disponível.

Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns
aspectos complementares para garantia da segurança da informação:

• Autenticação: “Garantir que um usuário é de fato quem alega


ser”.

• Não repúdio: “Capacidade do sistema de provar que um


usuário executou uma determinada ação”. Lyra (2008, p.4)

• Legalidade: “Garantir que o sistema esteja aderente à


legislação”.

• Privacidade: “Capacidade de um sistema de manter anônimo


um usuário, impossibilitando o relacionamento entre o usuário e
suas ações”.

• Auditoria: “Capacidade do sistema de auditar tudo o que foi


realizado pelos usuários, detectando fraudes ou tentativas de
ataque”.

A segurança da informação é alcançada através de um conjunto de


práticas e atividades como a definição/elaboração de processos, políticas de
segurança da informação (PSI), procedimentos, treinamento de profissionais,
uso de ferramentas de monitoramento e controle, dentre outros pontos.
E o que proteger? Aquilo que tenha algum valor para seu
negócio/organização: Os ativos de informação!

1.2 Ativo de Informação

De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que


tenha valor para organização”. Portanto, podem existir diversos tipos de ativos
incluindo a própria informação (contratos e acordos, documentações de
sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de
continuidade, etc), pessoas e suas qualificações/experiências, ativos de
software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias

11
Governança da Segurança da Informação

removíveis, equipamentos computacionais, equipamentos de comunicação,


etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são
intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC
27002:2005)

Fonte: LYRA (2008) – Adaptado pelo Autor

Um dos fatores críticos de sucesso para a garantia da segurança da


informação é a correta identificação, controle e constante atualização dos
diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma
correta proteção, torna-se importante conhecer o que seria a Gestão de Ativos.

Como principio básico, é recomendado que todo ativo seja identificado


e documentado pela organização. A cada um deles deve-se estabelecer um
proprietário responsável cujo qual lidará com a manutenção dos controles.
Controles estes que podem ser delegados a outros profissionais, porém,
sempre sob a responsabilidade do proprietário.
Pode-se resumir o que foi dito nos dois parágrafos acima pelo quadro
abaixo:

Quadro 1: Gestão de Ativos – Responsabilidade pelos Ativos

Fonte: ABNT NBR ISO/IEC 27001:2006

12
Governança da Segurança da Informação

Sabendo da responsabilidade dos ativos, deve-se realizar a sua correta


classificação com base na importância, criticidade, sensibilidade e seu valor
para o negócio. Como resultado, será possível definir os níveis adequados de
proteção. (ABNT NBR ISO/IEC 27002: 2005)

Quadro 2: Gestão de Ativos – Classificação da Informação

Fonte: ABNT NBR ISO/IEC 27001:2006

De acordo com Beal (2008, p. 63), a classificação dos ativos “ocorre de


acordo com o valor e o grau de sensibilidade atribuído pela organização”. Logo,
muitos ativos com alto grau de sensibilidade, alto impacto no negócio ou no
processo, resultam em alto investimento.
Uma criteriosa classificação dos ativos está diretamente ligada ao
custo dispendido para “proteger” (não somente a classificação), visto que,
através desta, serão definidos o que tem necessidade de ser protegido e o que
não tem. Destaca-se que nem todo ativo tem alto grau de sensibilidade,
portanto, nem todo ativo deve ser protegido.
A classificação eficiente é aquela que considera as necessidades do
negócio, consequentemente, convém que seja feita por alguém que possua
elevado conhecimento do negócio da organização.
Para mais detalhes sobre classificação dos ativos, vide capítulo 4 mais
adiante.

1.3 Vulnerabilidade
A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo,
ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no
procedimento (no caso de sistemas), falha de um agente ou má configuração
dos aplicativos de segurança, de maneira não proposital ou proposital, gerando
assim, uma informação não confiável. Quando isso ocorre, temos um
“rompimento” de um ou mais princípios da segurança da informação.
Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo
uma “fragilidade que poderia ser explorada por uma ameaça para concretizar
um ataque”.
Em complemento a este conceito, Lyra (2008, p.06) afirma que:

13
Governança da Segurança da Informação

Essas vulnerabilidades poderão ser exploradas ou não,


sendo possível que um ativo da informação apresente um
ponto fraco que nunca será efetivamente explorado.

Após serem detectadas falhas é necessário tomar algumas


providências. O primeiro passo é identificar a falha, onde esta aconteceu e
tentar corrigi-la da melhor maneira.
Sêmola (2003, p.48) cita exemplos de vulnerabilidades:

Físicas - Instalações prediais fora do padrão; salas de CPD


mal planejadas; falta de extintores, detectores de fumaça e de
outros recursos para combate a incêndio em sala com armários
e fichários estratégicos; risco de explosões, vazamento ou
incêndio.

Naturais - Computadores são suscetíveis a desastres naturais,


como incêndios, enchentes, terremotos, tempestades, e outros,
como falta de energia, acúmulo de poeira, aumento umidade e
de temperatura etc.

Hardware - Falha nos recursos tecnológicos (desgaste,


obsolescência, má utilização) ou erros durante a instalação.

Software - Erros na instalação ou na configuração podem


acarretar acessos indevidos, vazamento de informações, perda
de dados ou indisponibilidade do recurso quando necessário.

Mídias - Discos, fitas, relatórios e impressos podem ser


perdidos ou danificados. A radiação eletromagnética pode
afetar diversos tipos de mídias magnéticas.

Comunicação - Acessos não autorizados ou perda de


comunicação.

Humanas - Falta de treinamento, compartilhamento de


informações confidenciais, não execução de rotinas de
segurança, erros ou omissões; ameaça de bomba, sabotagens,
distúrbios civis, greves, vandalismo, roubo, destruição da
propriedade ou dados, invasões ou guerras."

1.4 Ameaça
No começo deste capítulo, ao definirmos o conceito de Segurança da
Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de
então, foi destacado que o objetivo da segurança era garantir a
confidencialidade, integridade e disponibilidade (e, como vimos, vários outros
aspectos) dos elementos de valor da organização, ou seja, dar proteção
adequada aos ativos da informação que representassem alta

14
Governança da Segurança da Informação

sensibilidade/criticidade para o negócio, preservando assim, os pilares da


segurança da informação.
Após a questão “O que proteger” podemos inserir um novo elemento
para discursão: “Contra que será protegido?”. A resposta para esta pergunta é
relativamente simples: De ameaças!
Beal (2008, p.14) define ameaça como sendo “a expectativa de
acontecimento acidental ou proposital, causado por um agente, que pode afetar
um ambiente, sistema ou ativo de informação”. Estes agentes podem ser
pessoas, eventos, meio ambiente, sistemas, etc.
Exemplos de ameaças acidentais são falhas de hardware, desastres
naturais, erros de programação, etc; enquanto que ameaças propositais podem
entendidas por roubos, invasões, fraudes, dentre outros.
No que tange às ameaças propositais, podem ser passivas ou ativas,
como podemos ver na explicação de Dias (2000, p.57):

• Ativas: “Envolvem alteração de dados”.

• Passivas: “Envolvem invasão e/ou monitoramento, mas sem


alteração de informações”.

Sêmola (2003, p. 47) também classifica as ameaças quanto a sua


intencionalidade assumindo que as mesmas podem ser divididas em três
grupos:

• “Naturais: Ameaças decorrentes de fenômenos da natureza”

• “Involuntárias: Ameaças inconsistentes, quase sempre


causadas pelo desconhecimento.”

• “Voluntárias: Ameaças propositais causadas por agentes


humanos como hackers, invasores, espiões, ladrões, criadores e
disseminadores de vírus de computador, incendiários.”

1.5 Ataque

Conhecidos os conceitos de Vulnerabilidade e Ameaça, torna-se fácil


compreender o que seria um ataque. Segundo Beal (2008, p.14), trata-se de
um “evento decorrente da exploração de uma vulnerabilidade por uma
ameaça”, em outras palavras um ataque representa a concretização de uma
ameaça.
Ataques podem ter como foco diferentes princípios da segurança. Um
exemplo seria a invasão de uma rede corporativa por um hacker a deixando
inoperante. Tal resultado está diretamente ligado ao princípio da
disponibilidade, visto que, a informação requerida pelo usuário provavelmente
não poderá ser acessada (não estará disponível). Em complementação a essa

15
Governança da Segurança da Informação

situação hipotética, suponhamos que o mesmo invasor, além de tornar a rede


inoperante, tenha adulterado um arquivo, logo, além da quebra da
disponibilidade, este acaba de praticar a quebra de integridade.
Segundo Dias (2000, p.77), os ataques podem ser categorizados em
passivos e ativos:

• Passivos: São aqueles que não interferem no conteúdo


do recurso que foi atacado, como por exemplo, observação e
conhecimento de informações armazenadas nos sistemas
institucionais ou análise de tráfego de uma rede.

• Ativos: Prejudicam diretamente o conteúdo do recurso


atacado, modificando e eliminando informações ou gerando
informações falsas.

1.6 Incidente de Segurança

Conforme exposto na ISO/IEC TR 18044:2004, um incidente pode ser


entendido por “um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma grande probabilidade
de comprometer as operações do negócio e ameaçar a segurança da
informação”. Ou seja, eventos de segurança indesejados que violem algum dos
principais aspectos da segurança da informação (Confiabilidade, integridade,
disponibilidade, dentre outros).
São exemplos de incidentes de segurança a perda da integridade de
informações, divulgações indevidas, desastres causados por fenômenos da
natureza (incendidos, inundações, etc), quedas de energia, greves, invasões
por hackers, defeito em equipamentos e muitos outros.

Outro conceito que une definição e exemplo prático de incidente de


segurança foi explanado por Beal (2008, p. 15):

Incidente: evento com consequências negativas resultante


de um ataque bem-sucedido. Exemplos de incidentes:
dados incorretos armazenados num sistema, inundação que
danifica máquinas do CPD, pagamento indevido em
decorrência da inclusão indevida de fatura de compra no
sistema. Tais incidentes podem não se concretizar, em caso
de ataque, se houver controles suficientes para interrompê-
los (rejeição de dados incorretos inseridos pelos usuários,
barreiras e alertas para evitar que o vazamento de água
atinja os equipamentos, controles gerenciais que impeçam o
pagamento sem a prévia conferência por um supervisor).

Para fornecer orientações a respeito do gerenciamento de incidentes


de segurança da informação voltadas a organizações de grande e médio porte,
não podemos deixar de destacar a ISO/IEC 27035:2011. Seu escopo

16
Governança da Segurança da Informação

apresenta uma abordagem estruturada e planejada para as seguintes


atividades (porém não se limitando):

• Detectar, relatar e avaliar os incidentes de segurança da informação;


• Responder e gerenciar incidentes de segurança da informação;
• Melhorar continuamente a segurança da informação e o gerenciamento
de incidentes;

A falta de uma correta gestão dos incidentes de segurança da


informação podem causar sérios danos para os negócios. Em outras palavras,
um incidente pode ou não trazer um impacto, sendo este último mensurado
pela consequência que este causa ao ativo da organização. Logo, um ativo de
considerável valor implica em alto impacto e vice-versa.

1.7 Probabilidade e Impacto

A Probabilidade é a possibilidade de uma falha de segurança


acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as
ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).
Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Em um
entendimento mais simples, podemos dizer que a probabilidade trata-se das
“chances” de uma vulnerabilidade se tornar uma ameaça.
É perfeitamente possível que um ativo possua várias vulnerabilidades
que não representem ameaças, ou seja, podemos falar de uma probabilidade
próxima de zero. Porém, é possível que todas essas vulnerabilidades se
tornem ameaças.
Em se tratando de impacto, diferente da probabilidade, este se
“localiza” após o incidente. Em outras palavras isso significa que um incidente
de segurança da informação pode ou não causar um impacto nos
processos/negócios da organização.
Segundo Beal (2008, p.14) seria um “efeito ou consequência de um
ataque ou incidente para a organização.".
Complementando este conceito, podemos citar o trecho em que Lyra
(2008, p.07) explica o que seria um impacto:

"O impacto de um incidente de segurança é medido pelas


consequências que possa causar aos processos de
negócios suportados pelo ativo em questão. Os ativos
possuem valores diferentes, pois suportam informações com
relevâncias diferentes para o negócio da organização.
Quanto maior for o valor do ativo, maior será o impacto de
um eventual incidente que possa ocorrer."

17
Governança da Segurança da Informação

Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou
longo prazo em função do tempo em que atinge significativamente os negócios
da instituição. Dentro deste contexto, temos as seguintes categorias:

0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade junto aos clientes e pequenas
perdas financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a
concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.
Portanto, conhecidos os conceitos de Ativos de Informação,
Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e
Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão
entre todas essas características de uma maneira mais simples.

Imagem 1: Resumo - Relacionamento entre Características dos Ativos de


Informação

Fonte: O autor
18
Governança da Segurança da Informação

1.8 Referências

BEAL, Adriana. Segurança da Informação. Princípios e Melhores Práticas


para a Proteção dos Ativos de Informação nas Organizações. São Paulo. Atlas,
2005 – Reimpressão 2008.

BASTOS Alberto; CAUBIT, Rosângela. Gestão de Segurança da Informação.


ISO 27001 e 27002 Uma Visão Prática. Rio Grande do Sul. Zouk, 2009.

SÊMOLA, Marcos. Gestão da Segurança da Informação. Uma visão


executiva. Rio de Janeiro. Elsevier, 2003 – 11º reimpressão.

LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação


Rio de Janeiro. Ciência Moderna, 2008.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC


27001:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro,
2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC


27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro,
2006.

ISO/IEC 27035:2011 ISO/IEC 27035:2011, Disponível em:


<http://www.iso.org/iso/catalogue_detail?csnumber=44379> Acesso em 03 de Outubro
de 2015

Sobre o autor

Fábio Cabral Torres

Consultor da área de Desenvolvimento de Negócios,


graduado em Ciência da Computação e Pós-graduando
em Governança da TI; atua na elaboração de propostas
técnicas e comerciais para serviços de Outsourcing de TI
nas áreas de Application Management Services (AMS) e
Gestão Tecnológica.

19
Governança da Segurança da Informação

20
Governança da Segurança da Informação

CAPÍTULO 2

O CICLO DE VIDA DA INFORMAÇÃO

Autores : Leonardo Carvalho Lima

Rosemberg de Oliveira Santos

O ciclo de vida da informação diz respeito a todos os momentos onde a


informação é criada, até o momento da inutilidade dela acontecendo o
descarte.
A criação, obtenção, tratamento, distribuição, uso, armazenamento,
descarte, podemos dizer, que essas etapas são a espinha dorsal da
informação.
O ciclo de vida da informação passa pela:

1. Identificação das necessidades e dos requisitos (Criação)


Identificar as necessidades de informação dos grupos e indivíduos que
integram a organização e de seus públicos externos é um passo fundamental
para que possam ser desenvolvidos serviços e produtos informacionais
orientados especificamente para cada grupo e necessidade interna e externa.
O esforço de descoberta das necessidades e dos requisitos de informação é
recompensado quando a informação se torna mais útil e os seus destinatários,
mais receptivos a aplicá-la na melhoria de produtos e processos (usuários
internos) ou no fortalecimento dos vínculos e relacionamentos com a
organização (usuários externos). (BEAL, 2008)

2. Obtenção
Nesta etapa são desenvolvidos procedimentos para captura e recepção
da informação proveniente de uma fonte externa (Em qual quer mídia ou
formato), ou da sua criação.
No caso da captura de informações de fontes externas, devemos ter a
preocupação com integridade da informação, ou seja, é preciso garantir que é
genuína, produzidas por pessoas ou entidades autorizadas, está completa e
compatível com os requisitos apontados na etapa anterior. (LYRA, 2008)

21
Governança da Segurança da Informação

3. Tratamento
Antes de estar em condições de ser aproveitada é comum que a
informação precise passar por processos de organização, formatação,
estruturação, classificação, análise, síntese, apresentação e reprodução, com o
propósito de torná-la mais acessível, organizada e fácil de localizar pelos
usuários. Nesta etapa, a preocupação com a integridade continua em
evidência, principalmente se estiverem envolvidas técnicas de adequação do
estilo e adaptação de linguagem, contextualização e condensação da
informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das
características de quantidade e qualidade necessárias para que a informação
efetivamente sirva ao fim a que se propõe. No caso das atividades de
reprodução da informação para posterior distribuição, as questões relacionadas
à preservação da confidencialidade podem adquirir grande relevância, uma vez
que a existência de diversas cópias de uma mesma informação, qualquer que
seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo,
etc.), amplia os problemas de restrição de acesso aos usuários devidamente
autorizados. (BEAL, 2008)

4. Distribuição
Esta etapa consiste em levar a informação até seus consumidores.
Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa.
Fazendo chegar a informação certa a quem necessita dela para tomada de
decisão. (LYRA, 2008)

5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de
gestão da informação, embora seja frequentemente ignorado nos processos de
gestão das organizações.

Não é a existência da informação que garante melhore resultados


em uma organização, mas sim o uso, dentro de suas finalidades
básicas: conhecimento dos ambientes interno e externo da
organização e atuação nesses ambientes (Chaumier, 1986).

Na etapa de uso, os objetivos de integridade e disponibilidade devem


receber atenção especial: uma informação deturpada, difícil de localizar ou
indisponível pode prejudicar os processos decisórios e operacionais da
organização. Como já mencionado, a preocupação com o uso legítimo da
informação pode levar a requisitos de confidencialidade, destinados a restringir

22
Governança da Segurança da Informação

o acesso e o uso de dados e informação as pessoas devidamente autorizadas.


(BEAL, 2008)

6. Armazenamento

Momento em que a informação é armazenada seja em um banco de


dados compartilhado, em uma anotação de papel posteriormente postada em
um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta
da mesa de trabalho, por exemplo. (SEMOLA, 2003)

7. Descarte

Quando uma informação torna-se obsoleta ou perde a utilizada para a


organização, ela deve ser objeto de processos de descarte que obedeçam a
normas legais, políticas operacionais e exigências internas. Excluir dos
repositórios de informação corporativos os dados e as informações inúteis
melhoram o processo de gestão da informação de diversas formas:
economizando recursos de armazenamento, aumentando a rapidez e eficiência
na localização da informação necessária, melhorando a visibilidade dos
recursos informacionais importantes etc. Entretanto, o descarte de dados e
informação precisa ser realizado dentro de condições de Segurança,
principalmente no que tange ao aspecto da confidencialidade, e, em menor
grau, também de disponibilidade. No que tange à confidencialidade, o descarte
de documentos e mídias que contenham dados de caráter sigiloso precisa ser
realizado com observância de critérios rígidos de destruição segura (por
exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou
de softwares destinados a apagar com Segurança arquivos de um
microcomputador que, se simplesmente excluídos do sistema, poderiam ser
facilmente recuperados com o uso de ferramentas de restauração de dados).
Do ponto de vista da disponibilidade, as preocupações incluem a
legalidade da destruição de informação que podem vir a ser exigidas no futuro
e a necessidade de preservar dados históricos valiosos para o negócio, entre
outras.
São relativamente comuns os casos de descoberta de informações
sigilosas ou dados pessoais sujeitos a normas de privacidade em
computadores usados quando estes são transferidos de área, doados ou
vendidos durante um processo de renovação do parque de computadores da
organização. A existência de procedimentos formais de descarte de
computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a
credibilidade da organização, possibilitando que os itens descartados sejam
auditados e tenham seus dados apagados de forma segura antes de serem
transferidos para os novos proprietários. (BEAL 2008)

23
Governança da Segurança da Informação

Riscos e ameaças à informação durante o ciclo de vida

Para mitigarmos os eventos de riscos de segurança da informação,


podemos adotar as seguintes medidas:
A tabela 01 (STONEBURNER, 2004), apresenta a relação entre
uma descrição de cada objetivo de segurança (Integridade, disponibilidade e
confidencialidade) com as consequências ou impactos caso tais objetivos não
sejam alcançados.

Tabela 01 – Objetivo de segurança e sua consequência para a organização.

Objetivo de segurança Causa e consequências


Perda de integridade Causa:
Modificações não autorizadas sejam feitas de forma
acidental ou intencional. Além disto, a violação da
integridade pode ser o primeiro passo para um
ataque com sucesso a disponibilidade ou
confidenciabilidade da informação.
Consequências:
– Imprecisão das informações, fraude;
– Tomada de decisão errada;
– Reduz a garantia da informação.
Perda de Causa:
disponibilidade Se as informações não estiverem disponíveis para
o usuário final, a missão da organização pode ser
afetado.
Consequências:
– Perda de produtividade por parte dos usuários;
– Impedir que os usuários executem suas
atividades normalmente.

Perda de Causa:
Divulgação das informações de forma não
confiabilidade
autorizada.
Consequências:
– Comprometimento da credibilidade;
– Embaraço ou ação legal contra a organização.
Fonte: STONEBURNER (2004, p.25)

Referências

24
Governança da Segurança da Informação

ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV,


2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador:
Eduardo Henrique Diniz.

ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento


de Software - Como desenvolver sistemas seguros e avaliar a segurança de
aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de
Janeiro, 2002.

CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e


de Informações - São Paulo: Editora SENAC São Paulo, 1999.

DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel


Books. Rio de Janeiro, 2000.

SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão


executiva Rio de janeiro: Editora Elsevier, 2003

BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas


para a Proteção dos Ativos de Informação nas Organizações.
São Paulo: Editora Atlas- 2008

LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da


Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008

Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management


Guide for Information Technology Systems, NIST, Washington, 2004.

CUNHA, Renato Menezes. Modelo de governança da segurança da


informação no escopo da governança computacional. Recife, 2008.

25
Governança da Segurança da Informação

Sobre os autores

Leonardo Carvalho Lima de Sousa.

Formando em Redes de computadores, Pós graduando


em Governança de TI, atua na area a 7 anos ,com foco
em areas voltadas para gestão de TI .

Rosemberg de Oliveira Santos

Escriturário do Banco de Brasília S.A, graduado em


Gestão de Tecnologia da Informação e Pós-graduando em
Governança da TI

26
Governança da Segurança da Informação

CAPÍTULO 3

ORGANIZAÇÃO DA SEGURANÇA DA
INFORMAÇÃO

Autor: Edilberg Nunes Barros

Luana de Souza Estrela

Diante das mudanças presenciadas por organizações de todo o mundo


no cotidiano de suas atribuições corporativas e pela necessidade de
acompanhar essas mudanças sem prejuízos informacionais e materiais, a
tecnologia da informação tem sido utilizada nos diversos setores
organizacionais com o objetivo de agregar valor ao negócio, minimizando as
taxas de erros e aumentando o retorno do investimento aos acionistas.
Atualmente a arquitetura corporativa é o termo, o conceito e a
estrutura utilizados para transportar a organização do estágio do
uso técnico da tecnologia para o estágio do uso direcionado dessa
tecnologia para negócio. Isto exige transparência dos objetivos de
negócio, padronizações, uso de soluções corporativas sem
esquecer situações específicas, uso efetivo de governança e,
sobretudo, desejo verdadeiro do comando da organização para
isso. (Fontes, 2008, p.43).

Entende-se que a arquitetura corporativa associa a tecnologia da


informação com o objetivo de negócio e se tratando de tecnologia, existe a
preocupação com a segurança da informação. A arquitetura da segurança da
informação é um elemento da arquitetura corporativa, que para Fontes (2008),
tem uma característica distinta dos outros elementos. Ela na sua estrutura
permeia por todos os elementos da arquitetura corporativa.
Uma arquitetura de segurança define padrões e estruturas que
devem ser seguidas pela organização com o objetivo de proteger
a informação considerando os requisitos de negócio. Caso a
organização esteja muito confusa na pratica teremos um modelo a
ser alcançado com dificuldade. Caso a organização esteja menos
confusa, com algum esforço alcançaremos a situação desejada.
(Fontes, 2008, p. 44).

Espera-se que esta estrutura possibilite soluções para a corporação


de modo a intensificar os controles de segurança da informação existentes,
tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é
prover um modelo para estabelecer, implementar, operar, monitorar, analisar

27
Governança da Segurança da Informação

criticamente, manter e melhorar um Sistema de Gestão de Segurança da


Informação (SGSI).
Para Fontes (2008), a governança é a gestão da gestão, sendo
necessário que exista o básico da gestão da segurança da informação. Muitas
organizações não possuem essa gestão básica e adotam a governança de
tecnologia da informação. Para a gestão da segurança existir, Fontes (2008)
sugere que alguns requisitos sejam implementados, sendo que o primeiro deles
é a existência de uma pessoa responsável pelo processo de segurança da
informação, não sendo essa pessoa responsável pela segurança, mas,
responsável pelo processo de segurança, que terá como consequência uma
boa política de segurança da informação implementada.
O mesmo Fontes (2008), aponta a necessidade de disponibilidade
financeira, tempo e recursos operacionais para a implementação do processo
de segurança da informação e sua gestão, e por fim e não mais importante que
os itens acima apresentados Fontes preconiza a necessidade de existir um
processo de segurança que se inicie na alta administração da organização,
uma vez que este processo interfere em muitos aspectos da organização e
principalmente nas pessoas e cultura organizacional.
Neste contexto a literatura já elaborada para a segurança da
informação sugere o desenvolvimento de uma estrutura que dê suporte físico e
geográfico aos processos de implementação de segurança, dentre os quais,
apresenta-se o Escritório da Segurança da Informação, cujo objetivo é
centralizar os recursos humanos, materiais e estruturais necessários ao
desenvolvimento, implantação e acompanhamento das políticas de SI, ou como
ocorre em alguns casos, os Comitês de Segurança da Informação, cujos
objetivos assemelham-se aos do Escritório, porém, sem a necessidade de
centralização dos recursos humanos, materiais e estruturais, necessários ao
processo.

Modelos da Organização da Segurança da Informação

No que diz respeito às atribuições de cada uma das estruturas acima


descritas, ambas possuem os mesmos propósitos, a saber:

 Analisar o posicionamento da empresa no mercado em que se situa,


visando mapear seus clientes, fornecedores, concorrentes, produtos/
serviços e os riscos que cada um destes pode representar à empresa;
 Definir as políticas de controle de acesso físico às instalações da
empresa;

28
Governança da Segurança da Informação

 Implementar os aspectos sócio-técnicos da Segurança da Informação,


mapeando as características sociais referentes ao ambiente da
organização e as pessoas que nela vivem e trabalham;
 Definir as políticas de controle de acesso lógico aos dados
organizacionais;
 Desenvolver a matriz de riscos do negócio, identificando, priorizando e
qualificando todos os riscos inerentes ao processo mapeando pelo
menos uma resposta a cada risco identificado;
 Garantir a sustentabilidade do processo de controle da segurança da
informação;
 Escrever e implementar os acordos de nível de serviço de segurança da
informação na empresa;
 Avaliar novas tecnologias e suas devidas adequações e aplicações nos
processos de segurança da informação organizacional;
 Mapear e definir os planos de contingência dos processos
organizacionais;
 Definir os procedimentos a serem adotados em situações de crises,
emergências e desastres para a continuidade de negócio;
 Avaliar o nível de proteção atual dos processos organizacionais;
 Garantir a eficácia dos processos da segurança da informação por meio
de testes periódicos;
 Desenvolver políticas de treinamento de funcionários visando garantir o
comprometimento destes com os processos de SI organizacionais;
 Aplicar políticas de certificação digital de segurança da informação;
 Implementar políticas de desenvolvimento de software seguro;
 Definir políticas de controle de versão de arquivos;
 Promover auditorias nos processos sistêmicos organizacionais;
 Regulamentar as políticas de uso dos recursos informacionais da
empresa (computadores, redes de dados, e-mails corporativos,
ferramentas de redes sociais, etc.).
A implantação do Escritório de Segurança da Informação requer
disponibilidade de um ambiente próprio para as instalações físicas e estruturais
que darão suporte ao desenvolvimento das atividades descritas no item
anterior, proporcionando que a equipe de analistas de Segurança da
Informação possa compartilhar experiências, atividades e rotinas inerentes ao
processo de suas atribuições diárias. Esta estrutura deve permitir o
desenvolvimento das atividades de segurança da informação e possui a grande
vantagem de disponibilizar em tempo integral – e em um local exclusivo e de

29
Governança da Segurança da Informação

conhecimento de toda empresa – os recursos humanos e tecnológicos


necessários aos andamentos das atividades de SI.
Esta estrutura apresenta a desvantagem de contribuir com um custo
fixo no plano de contas da organização pincipalmente pelo fato de manter
disponíveis em tempo integral a equipe do escritório de segurança da
informação, seu parque tecnológico e o ambiente físico (espaço) das
instalações.
Uma alternativa muito utilizada em empresas de todo mundo para
manter uma estrutura de SI fugindo dos altos custos encontrados na
implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da
Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não
existe a dedicação exclusiva dos recursos humanos e também não existe a
disponibilidade física de um local destinado exclusivamente a este propósito. A
adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo
integral uma equipe disponível para o cumprimento das atividades da
governança de segurança da informação, fato que permite que os custos de
um Comitê de SI sejam muito mais baixos que os custos de implantação de um
Escritório de SI.
No caso dos Comitês de SI, os profissionais alocados nas atividades
de governança de segurança da informação continuam com suas atividades
seculares em seus postos de trabalho, compartilhando suas horas de trabalho
diárias também com os processos do Comitê de SI, motivo principal pelo qual
os Comitês de SI possuem um custo menor que os Escritórios de SI.
Abaixo são apresentadas as vantagens e desvantagens, tanto do
Escritório quanto do Comitê de Segurança da Informação:

Tabela 1 - Vantagens e Desvantagens dos Escritórios e Comitês de SI

Vantagens Desvantagens
Escritório de 1. Disponibilidade da 1. Custo com local físico e
Segurança da equipe em um local fixo equipamentos
Informação 2. Disponibilidade da 2. Custo com pagamento de
equipe em tempo integral pessoal específico para
3. Atribuições da equipe segurança de informação
somente focadas em
segurança da informação
Comitê de 1. Custo inexistente de 1. Não disponibilidade em
Segurança da pagamento para pessoal tempo integral da equipe
Informação específico de segurança 2. Equipe com diversas
da informação atribuições além de
2. Custo inexistente com segurança da informação
local físico
Fonte: os autores

30
Governança da Segurança da Informação

Localização na estrutura organizacional

A localização departamental da célula de governança da segurança da


informação pode apresentar-se hierarquicamente no mesmo nível da diretoria
de tecnologia da informação ou pode apresentar-se subordinada a essa.
Abaixo são apresentadas estas duas estruturas organizacionais com suas
características:

1. Nesse modelo de estrutura organizacional a segurança da


informação encontra-se subordinada à diretoria de TI, sendo assim,
depende do orçamento da diretoria de TI e também das aprovações
das políticas de TI.

Figura 1 - Organograma funcional apresentando a gerencia de SI subordinada à diretoria de TI

2. Nesse modelo de estrutura de TI, a segurança da informação


encontra-se no mesmo nível hierárquico que a Diretoria de TI, sendo
assim, possui seu próprio orçamento, ficando independente para
criação de políticas e tomadas de decisões.

Figura 2 - Organograma funcional apresentando a gerencia de SI n mesmo nível hierárquico da diretoria


de TI

31
Governança da Segurança da Informação

Profissionais da Segurança da Informação

Tal qual ocorre nas demais áreas da tecnologia da informação, a


governança de segurança da informação também conta com diversas
especialidades de atribuições de recursos humanos.

A necessidade da distribuição dos profissionais de segurança da


informação dá-se ao fato de que cada profissional precisa responsabilizar-se
por determinadas atribuições técnicas para o desempenho dos papéis na
segurança da informação organizacional.

A informação é algo muito importante para a empresa e sua


existência, pois observa-se a crescente necessidade de proteger seus ativos
informacionais, por isso várias normas foram escritas para subsidiara área de
segurança da informação. Para que essas normas fossem colocadas em
prática e com excelência pela organização, foi preciso capacitar pessoas e
desenvolver profissionais específicos para que a segurança da informação
exista na organização. Esses profissionais têm a responsabilidade de
estruturar, desenvolver, implementar e auditar os processos de proteção da
informação organizacional.

De acordo com a NBR ISO/IEC 27002, o profissional de Segurança


da Informação deve possuir algumas características e responsabilidades,
dentre as quais, citam-se:

 Garantir que as atividades da Segurança da Informação sejam


executadas em conformidade com a política de Segurança da
Informação;
 Buscar soluções adequadas à realidade da organização;
 Estruturar o processo de segurança;
 Trabalhar em paralelo com a auditoria;
 Saber por onde começar.
Serão apresentadas abaixo as principais atribuições da governança
de segurança da informação, ordenadas do mais alto cargo (importância na
cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras,
ordenados do cargo mais estratégico ao mais técnico:

32
Governança da Segurança da Informação

CSO – Chief Security Officer (Diretor Geral)

Em conformidade com a NBR ISO/IEC 27002, este é o profissional


responsável por dirigir toda a cadeia da segurança da informação corporativa
do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão,
organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência
para a organização, estabelece procedimentos e transações corporativos.

O CSO além de segurança deve conhecer sobre negócios e


participar de todas as ações estratégicas da empresa, implantar políticas e
escolher as melhores práticas para a necessidade do negócio. Deve atentar a
toda forma de segurança, não somente a tecnológica, mas também a
segurança física do local. O CSO deve proporcionar à empresa a diminuição de
riscos nas operações.

Qual a formação necessária?

 Ciência da Computação;
 Engenharia da Computação;
 Auditoria de Sistema;
 Governança de Tecnologia da Informação.

CISM – Certified Information Security Manager

São os profissionais que gerenciam, projetam, supervisionam e


avaliam a segurança das informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;


 Gerenciamento de Riscos das Informações;
 Gestão de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?

 Ciência da Computação;
 Engenharia da Computação;
 Auditoria de Sistema;
 Governança de Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.

33
Governança da Segurança da Informação

CISP – Certified Information Security Profissional

São os profissionais que realizam e operam as rotinas e protocolos


da segurança das informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;


 Gerenciamento de Riscos das Informações;
 Desenvolvimento de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?

 Ciência da Computação;
 Engenharia da Computação;
 Governança de Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.
CISA - Certified Information Systems Auditor

São os profissionais que supervisionam e auditam a segurança das


informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;


 Gerenciamento de Riscos das Informações;
 Gestão de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?

 Auditoria de Sistema;
 Governança de Tecnologia da Informação;
 Administração de Empresas com ênfase em Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.

34
Governança da Segurança da Informação

Referencia Bibliográfica

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia


da informação: técnicas de segurança. Rio de Janeiro, 2013.

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia


da informação: técnicas de segurança. Rio de Janeiro, 2013.

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia


da informação: técnicas de segurança. Rio de Janeiro, 2011.

Fontes, Edson. Políticas e normas para a Segurança da Informação, Editora


BRASPORT, 1ª edição, 2012

Fontes, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª


edição, 2008.

Sobre os autores

Edilberg Nunes Barros.

Analista de Infraestrutura de TI. Graduado em Sistemas de


Informação. Certificado ITILV3F e ISO20000. Cursando
MBA Governança de TI.

Luana de Souza Estrela

Graduação em Gestão Comercial pelo Senac DF, Pós-


Graduação em Governança de TI pelo UniCeub, atua na
área de Gerente Comercial.

35
Governança da Segurança da Informação

36
Governança da Segurança da Informação

CAPÍTULO 4

CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO

Autor: Carlos Alberto Schneider

4.1 Classificação do Ativo da Informação

A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo
que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011)
apresenta como diretrizes para implementação do Sistema de Gestão da
Segurança da Informação a “classificação da informação (confidencialidade,
integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras
propriedades importantes para a organização [...]).

A classificação abordada neste capítulo, busca manter o foco nas


normas ABNT ISO/IEC, que trata da Segurança baseada nos três pilares;
confidencialidade, integridade e disponibilidade.

Figura 3 Momentos do ciclo de vida da informação, considerando os


conceitos básicos da segurança e os aspectos complementares

Fonte: Adaptado de Sêmola (2003, p 11);

37
Governança da Segurança da Informação

4.1.1 Confidencialidade.

Sêmola (2003) entende que toda a informação e os dados que a


compões devem ser protegidas conforme o grau de sigilo atribuído a ela. Isso
remete ao fato de que toda a informação deverá ter sua classificação conforme
o nível de sigilo atribuído a seu conteúdo, cada dado ou a informação deve
estar acessível apenas a quem tem declarada autorização para conhece-la.

O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto,


Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março
de 1967, já as empresas privadas costumam atribuir outras nomenclaturas
como por exemplo: Restrita, Confidencial, Interna e Pública. A nomenclatura
utilizada é uma adaptação de Lyra (2008) e Sêmola (2003), terá quatro
níveis com os seguintes identificadores: Confidencial, Restrita, Interna e
Pública. Esta classificação é meramente pedagógica, cada organização
deve adotar a nomenclatura que melhor será entendia por seus
intervenientes. Apesar de não ser obrigatório, o mais encontrado são quatro
níveis de privacidade aplicados, porém pode ser utilizado mais ou menos
níveis conforme a necessidade da organização.
A informação classificada como Confidencial, está no mais alto
grau de restrição, apenas pessoas que comprovadamente necessitem da
informação, poderão ter acesso a ela, em condições bem definidas e
aceitas. São informações que representam grande valor para a empresa, e a
exclusividade é um fator relevante para a manutenção do sua importância e
valor. Algumas informações podem se enquadrar nesse nível por força legal.
O grau Confidencial, estabelece que deve estar claro quem pode
ter acesso, e quem será responsabilizado caso identifique que parte ou toda
a informação tornou-se pública, também deve ser definido como será feito a
guarda, o acesso, o transporte ou transferência e o descarte, garantindo sua
restrição. Recomenda-se atribuir um vencimento a essa classificação. Por
exemplo: Um novo produto e sua estratégia de venda, é confidencial até o
momento de seu lançamento, depois passa a ser pública. Outro exemplo de
uma informação que pode ser classificada como confidencial: a fórmula de
um remédio que ainda não foi registrado e patenteado.
Informações Restritas, são classificadas nesse nível de sigilo, as
que representam ativos para a empresa, ou por se tratar de conhecimento
exclusivo, ou por normativos externos. O acesso a este conteúdo por
pessoas ou processos não autorizados, pode gerar perdas para a
organização. Entretanto, são necessárias para algumas pessoas ou setores
dentro da organização realizarem seu trabalho. As informações podem se
manter como restritas por longos prazos, devido a isso o planejamento do
armazenamento deve prever todo o período, o acesso, o transporte, e o
descarte, também não podem ser negligenciados.
Exemplo de uma informação que pode ser classificada como
restrita: o cadastro de cliente.

38
Governança da Segurança da Informação

As informações Internas, não devem extrapolar o ambiente da


organização, não representa ameaça significativa, mas o vazamento deve
ser evitado. São enquadradas neste nível de sigilo as informações que
qualquer membro da organização ou que esteja prestando um serviço para
ela pode ter acesso para realizar suas atividades, este é considerado o
menor grau de restrição ao acesso aos dados, porém ainda são informações
que teve ter sua consulta identificada e autorizada, além de todos os demais
ciclos da vida da informação observados.
Exemplo de uma informação que pode ser classificada como
interna: o processo de montagem em uma esteira de produção.
Pública são todas as demais informações que no geral já são de
conhecimento geral, interno e externo, que não apresente nenhum risco para
a organização e seus intervenientes, estas informações podem ser
divulgadas, sendo que a organização pode ter como objetivo a divulgação, e
obter o alcance de um grande número de pessoas ou processos ciente da
informação.
Exemplo de uma informação que pode ser classificada como
pública: os produtos ofertados pela empresa.

4.1.2 Disponibilidade

Há duas formas de avaliar a disponibilidade, a primeira que


apresentaremos, é em relação ao tempo estabelecido para sua
apresentação, a segunda é a forma de acesso.
Lyra (2008) afirma que a informação deve estar disponível no
momento que é necessária, caso contrário pode perder sua utilidade, em
alguns casos é previsto que as informações possam demorar até ser
recuperada ou gerada, então recomenda atribuir um prazo para sua
disponibilização, que pode variar de imediatamente até longos períodos.
Considerando que uma informação que foi solicitada tenha uma aplicação
definida, e a obtenção após o momento determinado para uso pode torná-la
desnecessária, os prazos devem estar bem claros para evitar problemas
nesse sentido.
Cada organização deve estabelecer seus prazos para
apresentação para as informações, como por exemplo a nomenclatura a
seguir: imediatamente (até uma hora), urgente (até um dia), brevemente (até
uma semana), tardio (até um mês), ou definir prazos mais curtos ou longos,
permitindo que todos estejam cientes de qual a antecedência exigida para
seu fornecimento.
Um exemplo onde prazo é crucial, e quando há a necessidade de
um relatório, para uma apresentação que ocorrerá em dois dias, se o
relatório for obtido após a apresentação ter ocorrido, o relatório não atenderá
a necessidade inicial. Se a demora de três dias para o fornecimento é
prevista e de conhecimento dos interessados, o requerente pode se planejar

39
Governança da Segurança da Informação

para fazer a solicitação em tempo hábil, ou buscar outras fontes ou dados se


não houver mais tempo suficiente para sua produção.
A ABNT NBR ISO/IEC 27003 (2011) propõem que seja
estabelecido os meios de entrada e saída do processos, que basicamente
diz respeito a forma de acesso a informação, deve ser considerado os meios
possíveis e aceitos, como por exemplo; o acesso a informação pode ser em
meios digitais (computador, smartfones, pen-drive, fitas, entre outros
dispositivos) ou impresso, ou sonoro, ou áudio visual, dependendo da
informação e da utilização.
A forma que é disponibilizada a informação, tem grande
relevância na definição da segurança de seu ciclo de vida. Uma informação
impressa tem seu transporte, armazenamento, controle de acesso, e
descarte diferente de uma informação em mídia digital, contudo a mesma
informação pode estar presente em ambos os meios, e sua classificação
quanto a segurança deve ser a mesma, como já apresentado no tópico
anterior.

4.1.3 Integridade

A ABNT NBR ISO/IEC 27002 (2013) atribui a integridade a


propriedade de salvaguarda da exatidão e completeza de ativos, ou seja,
conforme Sêmola (2003) deve estabelecer mecanismos para proteger de
adições, alterações e exclusões não autorizadas, atribuindo a integridade a
responsabilidade de garantir a autenticidade, e confiabilidade, evitando o
repúdio.
A integridade é responsável pela garantia que os dados são
registrados por um processo ou indivíduo devidamente autorizado e
reconhecido, o ambiente onde os dados são armazenados garante que a
alteração ou o descarte serão feitos por processos definidos e devidamente
autorizado, permitindo a identificação do usuário ou procedimento
responsável, para o transporte, a informação enviada deverá ser exatamente
a recebida sendo seu emissor e receptor identificado e autorizado, e
protegendo contra desvios, interceptações ou perdas, garantindo o a
autenticidade e o não repúdio, como foi descrito melhor no ciclo de vida da
informação.

4.2 Atribuindo valor a informação

Stair e Reynolds (2006) classificam as informações como valiosas


através dos seguintes atributos: Precisas, Completas, Econômicas,
Flexíveis, Confiáveis, Relevantes, Simples, Apresentadas no momento
exato, Verificáveis, Acessíveis e Seguras. Seu método de atribuir valor para
a informação é abrangente e apresenta-se como efetiva, destacamos que

40
Governança da Segurança da Informação

alguns desses atributos já foram englobados acima, os demais buscaremos


agrupar neste tópico.
Segundo Sêmola (2003) para a informação passar a ser um ativo,
esta informação deverá ter um valor definido, que no geral é dado pela sua
exclusividade, abrangência, veracidade, e pela quantidade de interessados,
outros fatores também ajudam a definir o valor de uma informação,
dependendo da organização que os possuem.

O valor da informação vai além das palavras escritas,


números e imagens: conhecimento, conceitos, ideias e
marcas são exemplos de formas intangíveis da
informação. Em um mundo interconectado, a informação
e os processos relacionados, sistemas, redes e pessoas
envolvidas nas suas operações são informações que,
como outros ativos importantes, têm valor para o negócio
da organização e, consequentemente, requerem proteção
contra vários riscos. ABNT NBR ISO/IEC 27002 (2013)

A atribuição de valor a uma informação através da sua


exclusividade, é dada pela aplicação da “Lei da oferta e procura” definida
pelo mercado, quanto menos forem as fontes da informação, e mais
interessados houver, maior poderá ser seu valor, por exemplo: Os números
que serão sorteados na loteria, esta informação pode ser muito valorizada,
porém se houver mais de um portador desta informação, o valor já será
reduzido.
O portador de uma informação exclusiva, pode determinar
qualquer valor para ela, havendo interessados na informação o valor pode
ser confirmado, ou não, porém uma informação que seja de domínio público,
tem seu valor estabelecido pelo interessado reduzindo a influência do
fornecedor, conforme interpretação da “Lei da oferta e procura” da
economia.
A autenticidade, para Stair e Reynolds (2006), (precisas,
completas, confiáveis e verificáveis) também é um fator determinante para
atribuir valor a informação, quanto melhor for a comprovação da sua
autenticidade, maior será seu valor, ou considerando que quanto mais
duvidosa for a fonte menos valor tem. Aproveitando o exemplo anterior, se o
portador dos números da loteria não conseguir comprovar que são
autênticos, esta informação não será tão valorizada.
A abrangência ou contextualização da informação também
compõem o valor que será atribuído a ela. Stair e Reynolds (2006) considera
completa, flexíveis e simples, que engloba a apresentação do senário onde a
informação está inserida, deixando mais claro seu conteúdo contribui para
sua valorização, contudo excesso de informações acessórias também
podem dificultar sua compreensão reduzindo seu valor. Considerando o
mesmo exemplo dos números da loteria, se o portador não apresentar em
qual sorteio, data, jogo e valor do prêmio, os números, de certa forma,
voltam a ser apenas dados, com pouco significado, e pouco valor.

41
Governança da Segurança da Informação

4.3 O processo de classificação da informação

Segundo Fontes (2008) “uma das regras básica para o sucesso


de um processo de segurança e proteção da informação é tratar esse
assunto através de uma abordagem profissional.” Declarando ainda que a
principal razão para classificar a informação é que cada informação tem seu
nível de confidencialidade e evitar interpretações deferentes pelas pessoas.
O texto apresentado a seguir, procura apresentar um roteiro para
a classificação da informação, seguindo as recomendações apresentadas na
norma ABNT NBR ISO/IEC 27002 (2013), que descreve uma proposta para
balizar “em termos do seu valor, requisitos legais, sensibilidade e criticidade
para evitar modificação ou divulgação não autorizada”, este objetivo em
conjunto as classificações descritas no título anterior remetem a proposta
que pautará este roteiro.

Convém que as políticas de segurança da informação


sejam analisadas criticamente a intervalos planejados ou
quando mudanças significativas ocorrerem, para
assegurar a sua contínua pertinência, adequação e
eficácia.
[...]
Convém que cada política de segurança da informação
tenha um gestor que tenha aprovado a responsabilidade
pelo desenvolvimento, análise crítica e avaliação das
políticas de segurança da informação.
ABNT NBR ISO/IEC 27002 (2013, p4)

4.3.1 Roteiro proposto baseado na ABNT NBR ISO/IEC 27002 (2013).

1. Nomear e identificar a informação a ser classificada;


2. Identificar os controles associados a informação;
3. Identificar os proprietários e responsáveis pela informação;
4. Criar um critério que atendam a necessidade da organização;
a. A descrição da classificação deve ser clara, fazendo sentido no
contexto;
b. A forma de classificação deve permitir que todas as pessoas
envolvidas tenham o mesmo entendimento, aplicando o
mesmo critério;
c. Recomenda classificar conforme sua confidencialidade,
integridade, disponibilidade e valor.
5. Aplicar a classificação da informação;

42
Governança da Segurança da Informação

6. Formalizar a classificação adotada na organização.

Como nossa contribuição para provocar o processo de


classificação, sugerimos algumas questões que poderão servir de base para
elaboração de um questionário ou um quadro com pesos definidos a cada
questão, objetivando a padronização no enquadramento da informação
dentro dos critérios de classificação apresentados.
1) Valor
a) Qual é o grau de exclusividade?
b) Qual é o nível de confiabilidade da fonte?
c) Qual é a quantidade de informações acessórias que a acompanham?
d) Qual é o grau de interesse de terceiros?
e) Qual a quantidade de terceiros interessados?
f) Qual é a importância da informação para a organização?
2) Confidencialidade
a) A informação é pública?
b) Sua divulgação causa algum dano ou prejuízo?
c) A divulgação causa constrangimento ou inconveniência operacional?
d) Sua divulgação tem impacto significativo nas operações ou objetivos
táticos?
e) Sua divulgação causa alguma sansão ou punição?
f) Qual é a validade?
3) Disponibilidade
a) Quem ou que processo pode ter acesso?
b) Qual é o prazo máximo para a entrega?
c) Qual é o meio para solicitar?
d) Qual é o meio para entrega?
e) O prazo de disponibilidade está sujeito a regulamentação externa?
f) Quais são os riscos de físicos de vazamento?
g) Quais são os riscos lógicos de vazamento?
h) Quais são os riscos humanos de vazamento?
4) Integridade
a) Quais são os dados que compõem a informação?
b) A fonte da informação é identificada e confirmada?
c) Em que mídia é disponibilizada a informação?
d) Em que mídia é armazenada a informação?

43
Governança da Segurança da Informação

e) Como é feito o transporte?


f) Como são identificados os emissores e receptores?
g) Como é verificado se o destinatário recebeu?
h) Como é verificado se a informação entregue foi exatamente a mesma
emitida?
i) Como é realizado o descarte?
j) O é verificado que o descarte foi realizado conforme determinado.

Fontes (2008), afirma que “uma das regras básicas para o


sucesso de um processo de segurança e proteção da informação é tratar
esse assunto através de uma abordagem profissional.” A seriedade adotada
atribui mais chances da organização ser bem sucedida na proteção das
informações.

44
Governança da Segurança da Informação

REFERÊNCIAS

SÊMOLA, Marcos. Gestão da segurança da informação: Uma visão


executiva. Rio de Janeiro: Elsevier, 2003 – 11ª reimpressão.

LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação.


Rio de Janeiro: Editora Ciência Moderna Ltda, 2008.

FONTES, Edilson Luiz Gonçalves. Praticando a segurança da informação.


Rio de Janeiro: Brasport, 2008

STAIR, Ralph M.; REYNOLDS, George W. Princípios de sistema de


informação: uma abordagem gerencial. São Paulo: Pioneira Thomson Learnin,
2006 – Tradução da 6ª edição norte-americana.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:


Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:


Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:


Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011

Sobre o autor

Carlos Alberto Schneider.

Tecnólogo em processamento de dados, MBA em


planejamento e gestão estratégica. Atua a mais 20 anos
com Tecnologia da informação.

45
Governança da Segurança da Informação

46
Governança da Segurança da Informação

CAPÍTULO 5

ASPECTOS HUMANOS DA SEGURANÇA DA


INFORMAÇÃO

Autores: Mosar Rodrigues Rabelo Junior

Selma Cândida da Cruz Vieira

Com as atenções voltadas para consoles de administração de


ferramentas de novíssima geração, e as preocupações baseadas na
infraestrutura de conectividade, soluções de criptografia, detecção de intrusos,
entre outros aparatos tecnológicos, é natural, mas não recomendado, que
cuidados elementares com os fatores humanos permaneçam em segundo
plano.

Um dos principais problemas que a segurança da informação deve tratar


é a segurança em pessoas. A cooperação dos usuários é essencial para a
eficácia da segurança. Eles exercem um forte impacto sobre a
confidencialidade, a integridade e a disponibilidade da informação, pois, por
exemplo, o usuário que não mantiver a confidencialidade da senha, não evitar
o registro da mesma em papéis que não estão guardados em locais seguros,
não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais,
compromete a segurança da informação.

A solução efetiva para integrar pessoas requer ações gradativas e


constantes visando criar e fortalecer a cultura de segurança da informação.
Esta cultura não pode ficar restrita às organizações, é um trabalho cujo
resultado positivo é certo, mas não é imediato e requer planejamento.

Os seres humanos costumam modificar seus comportamentos em


situações de risco, e suas decisões são baseadas em confiança. A engenharia
social se aproveita dessas brechas e da falta de consciência com relação à
segurança. Costa (2013), afirma que a melhor arma para combater a
engenharia social é a informação. Se os colaboradores de uma empresa não
estiverem bem treinados e bem informados dos golpes envolvendo engenharia
social, de nada adiantará os demais investimentos em meios tecnológicos
voltados para segurança.

Mas o que é então a engenharia social?

47
Governança da Segurança da Informação

Ao ouvir o nome engenharia social, vem à mente a ideia de algo


supervalorizado, o que não é verdade. Engenharia por si só tem o significado
de conhecimento adquirido que é executado com performance e arte, seja na
construção civil, mecatrônica ou outros. Já a palavra social vem de convivência
entre pessoas. A associação engenharia e social tem um sentido diferenciado,
quando se trata de segurança da informação, pois unidas formam a maneira
que os engenheiros usam de ludibriar pessoas para adquirir informações
sigilosas com facilidade sem que estas percebam.

A engenharia social é um termo utilizado para qualificar os tipos de


intrusão não técnica, que coloca ênfase na interação humana e,
frequentemente, envolve a habilidade de enganar pessoas objetivando violar
procedimentos de segurança. (Silva Filho, 2004).

O engenheiro social é alguém que usa a fraude, a influência e a


persuasão contra as empresas, em geral visando suas informações. (Mitnick,
2003).

De acordo Mitnick (2003) a diferença entre o engenheiro social e o grifter


é que este tem a intenção de enganar indivíduos e o engenheiro as empresas.

Figura 1 – Diferença entre engenheiro social e Grifter

Fonte: Autores

48
Governança da Segurança da Informação

Na maioria dos casos, os engenheiros sociais bem-


sucedidos têm uma habilidade muito boa em lidar com
as pessoas. Eles são charmosos, educados e
agradam facilmente — os traços sociais necessários
para estabelecer a afinidade e confiança. (Mitnick,
2003)

Figura 2 - Perfil do engenheiro social

Fonte: Autores

A tecnologia da informação fornece facilidades variadas como porta de


entrada para os fraudulentos. A invasão em computadores por meio de vírus
implantados ao realizar um download ou um clique em um link informado no e-
mail malicioso são formas de invasão em uma rede corporativa, que pode
trazer prejuízos não só financeiro.

De acordo com Mitnick (2003) existem três tipos de hackers: os


scriptkiddies - são hackers novatos que não possuem interesse em aprender a
tecnologia, seu desejo é invadir os computadores; Hackers programadores -
desenvolvem programas para hackers e expõe na web; Estelionatários - usam
o computador como meio fraudulento para roubar dinheiro, bens ou serviços.

49
Governança da Segurança da Informação

Figura 3 – Tipos de Hackers

Fonte: Autores

Além da web, a telefonia também é um alvo fácil para o engenheiro social


fazer-se passar por um técnico de uma instituição e assim conseguir
informações importantes e aparentemente simples aos olhos do técnico de
atendimento, mas, que possui um valor fundamental para se chegar ao objetivo
final que é obter recursos financeiros e afins.

Vale lembrar que o engenheiro social, visa conseguir informações


valiosas com técnicas de enganar pessoas, sem se dar o trabalho de invadir
um sistema. Através de um diálogo convincente e envolvente o indivíduo de um
help desk por exemplo chega a gerar nova senha no sistema e informa ao
transgressor, este consegue de forma fácil e rápida se passa pelo usuário final
e tendo em mãos todas as informações precisas sem muito esforço.

Mas, ainda não destacamos o principal, todas essas tentativas são


realizadas com sucesso por conta de um ator principal que é o homem. No
caso da engenharia social, do funcionário, colaborador de uma empresa
corporativa. Estudos mostram o quanto é fácil distrair a atenção de uma
pessoa, mesmo que aparentemente esteja atenta. São fórmulas usadas por
mágicos para trazer a ilusão de suas apresentações. Uma das técnicas
adquiridas por Kevin Mitnick, o que o ajudou a ser reconhecido como o rei da
engenharia social.

Assim como uma marionete é manipulada pelo homem, a vítima de uma


extorsão também é, para isso basta que o farsante adquira a confiança do
indivíduo, através de um mínimo conhecimento que se tenha da empresa e
assim alcançar a informação desejada. E mais ele não explora somente um
funcionário da empresa não, ele começa do operacional até chegar ou se
passar por um executivo. A figura abaixo demonstra como o engenheiro social

50
Governança da Segurança da Informação

consegue manipular a mente humana, fazendo-o tomar iniciativas que favoreça


o fraudulento.

Figura 4 - SEES (Social EngineeringEmailSender): Utilitário de Auditoria/Ataquesde


Engenharia Social e Phishing

Fonte:Internet - Disponível em<https://under-linux.org/content.php?r=8460>

Através dessa primeira vítima o engenheiro consegue por meio de uma


simples ligação, informações para que dê continuidade ao seu plano e em
seguida utiliza-se de outros meios, até que se tenha o mínimo possível de
conhecimento de uma empresa para concluir seu plano infalível.

E como as empresas tem enxergado este perigo iminente?

As empresas têm investido, contratando especialistas em segurança da


informação, implantando políticas de segurança para o ambiente
organizacional, treinando seus funcionários e bloqueando acessos web em
estações de trabalho. De nada adianta, se a conscientização não partir do
colaborador, este, se estiver desmotivado pode até dar uma forcinha ao
engenheiro social, visando uma vingança devido a sua insatisfação.

As técnicas mais costumeiras, que podem ser usadas de maneira


individual ou combinadas, são:3

 Contatos telefônicos, simulando atendimento de suporte ou uma


ação de emergência;
 Contato através de e-mail, atuando como estudante com interesse
em pesquisa sobre determinado assunto ou como pessoa com
interesse específico em assunto de conhecimento da vítima;

3
MODULO SECURITY SOLUTIONS, Engenharia Social: Fortalecendo o elo mais fraco, em www.modulo.com.br.
Acessado em: 27 de setembro 2015

51
Governança da Segurança da Informação

 Contato através de ferramentas de mensagens simulando pessoa


com afinidades coma vítima;
 Obtenção de informações vazadas por parte da administração de
rede e funcionários em geral em listas de discussão ou
comunidades virtuais na Internet, o que motivaria também um
contato posterior mais estruturado;
 Uso de telefone público, para dificultar detecção;
 Varredura do lixo informático, para obtenção de informações
adicionais para tentativas posteriores de contato;
 Disfarce de equipe de manutenção;
 Visita em pessoa, como estudante, estagiário ou pessoa com
disfarce de ingenuidade.
Humanos são imperfeitos e situações de risco modificam os
comportamentos naturais e decisões serão fortemente baseadas em confiança
ou grau de criticidade da situação.

Em função desses fatores, sempre existirão brechas em seu caráter ou


comportamento pouco consciente com relação a segurança, onde a engenharia
social poderá ser eficaz, segundo Mitnick (2003), A verdade é que não existe
tecnologia no mundo que evite o ataque de um engenheiro social.

Para minimizar essas falhas, a gestão de uma empresa deve considerar


altamente relevante as suas informações e assim criar uma cultura corporativa
que tenha como prioridade capacitar seus colaboradores a partir da admissão,
através de programas de treinamento.

As pessoas devem ser treinadas e educadas sobre quais são as


informações que devem ser protegidas e como devem protegê-la para que
estejam aptas a identificar situações de riscos, como um ataque de Engenharia
Social.

“Muitas vezes os hackers empregam truques que tiram


proveito de vulnerabilidades humanas apelando para
emoções ou incitando a curiosidade para levar as pessoas
a clicarem em links maliciosos, baixarem programas ou
darem informações confidenciais como senha da rede
corporativa, do e-mail, etc. As empresas precisam investir
na formação contínua para manter funcionários
constantemente conscientes das ameaças desses ataques
de engenharia social”.4

4
MODULO SECURITY SOLUTIONS, Seis dicas simples para frustrar os hactivistas, em www.modulo.com.br.
Acessado em: 29 de setembro 2015.

52
Governança da Segurança da Informação

Para criar e disseminar essa consciência as organizações devem criar e


divulgar suas políticas, normas e procedimentos de segurança da informação
através de programas de treinamento e conscientização constantes.

As políticas de segurança são instruções claras que fornecem as


orientações de comportamento do empregado para guardar as informações,
sendo um elemento fundamental no desenvolvimento de controles efetivos
para conter possíveis ameaças à segurança, estando entre os instrumentos
mais significativos para evitar e detectar os ataques da engenharia social.

Os controles efetivos de segurança devem ser definidas em políticas e


procedimentos e implementadas pelo treinamento dos empregados. Entretanto,
é importante observar que as políticas de segurança, mesmo que sejam
seguidas rigorosamente por todos, não evitam todos os ataques da engenharia
social.

Ao desenvolver uma política de segurança, deve-se levar em


consideração que existem funcionários que não têm conhecimento da
linguagem técnica. Portando, os jargões técnicos não devem ser usados para
que o documento possa ser facilmente entendido por qualquer funcionário. O
documento também deve deixar bem claro a importância da política de
segurança para que dessa maneira os funcionários não encarem isso como
perca de tempo. (Caiado, 2008)

Além disso, os empregados devem ser aconselhados sobre as


consequências do não-cumprimento das políticas e dos procedimentos de
segurança. Um resumo das consequências da violação das políticas deve ser
desenvolvido e amplamente divulgado. Por sua vez, um programa de
recompensa deve ser criado para os empregados que demonstram boas
práticas de segurança ou que reconhecem e relatam um incidente de
segurança. Sempre que um empregado for recompensado por frustrar uma
quebra de segurança, isso deve ser amplamente divulgado em toda a empresa,
como exemplo, um artigo circular da empresa.

Um dos objetivos de um programa de conscientização sobre a segurança


é a comunicação da importância das políticas de segurança e o dano que a
falha em seguir essas regras pode causar. Dada à natureza humana, os
empregados às vezes ignoram ou sabotam as políticas que parecem ser
injustificadas ou que demandam muito tempo. A gerência tem a
responsabilidade de garantir que os empregados entendam a importância das
políticas e sejam motivados para atendê-las, e não as tratar como obstáculos a
serem contornados.

É importante notar que as políticas de segurança das informações não


podem ser inflexíveis. Uma empresa precisa mudar à medida que surgem
novas tecnologias de segurança, e à medida que as vulnerabilidades de

53
Governança da Segurança da Informação

segurança evoluem, as políticas precisam ser modificadas ou suplementadas.


Um processo de exame e atualização regular deve ser estabelecido. (Mitnick,
2003).

Finalmente, testes periódicos de penetração e avaliações de


vulnerabilidade que usam os métodos e as táticas da engenharia social devem
ser conduzidos para expor os pontos fracos do treinamento ou a falta de
cumprimento das políticas e dos procedimentos da empresa. Antes de usar
qualquer tática de teste de penetração simulado, os empregados devem ser
avisados de que tais testes podem ocorrer de tempos em tempos. (Mitnick,
2003).

O objetivo central de um programa de conscientização sobre segurança


deve influenciar as pessoas para que elas mudem seu comportamento e suas
atitudes motivando cada empregado a querer entrar no programa e fazer a sua
parte para proteger os ativos de informações da organização. Um ótimo
motivador nesse caso é explicar como a participação das pessoas beneficiará
não apenas a empresa, mas também os empregados individuais. Como a
empresa detém determinadas informações particulares sobre cada funcionário,
quando os empregados fazem a sua parte para proteger as informações ou os
sistemas de informações, na verdade eles estão protegendo também as suas
próprias informações.

Um programa de treinamento em segurança requer um suporte


substancial. O esforço de treinamento precisa atingir cada pessoa que tem
acesso a informações confidenciais ou aos sistemas corporativos de
computadores, deve ser contínuo e ser sempre revisado para atualizar o
pessoal sobre as novas ameaças e vulnerabilidades. Os empregados devem
ver que a direção está totalmente comprometida com o programa.

Como muitos aspectos da segurança das informações envolvem a


tecnologia, é muito fácil para os empregados acharem que o problema está
sendo tratado por firewalls e por outras tecnologias de segurança. Um dos
objetivos principais do treinamento deve ser a criação em cada empregado da
consciência de que eles são a linha de frente necessária para proteger a
segurança geral da organização.

O treinamento em segurança deve ter um objetivo significativamente


maior do que simplesmente impor regras. O conhecimento das táticas da
engenharia social e de como se defender dos ataques é importante, mas não
servirá para nada se o treinamento não se concentrar bastante na motivação
dos empregados para que usem o conhecimento.

A maioria das empresas precisa de programas de treinamento adaptados


aos distintos grupos de colaboradores, tais como: os gerentes, o pessoal de TI,

54
Governança da Segurança da Informação

os usuários de computadores, os assistentes administrativos, os recepcionistas


e o pessoal de segurança física.

Como o pessoal da segurança física de uma empresa normalmente não é


proficiente em computadores, e, exceto talvez de uma forma muito limitada não
entre em contato com os computadores da empresa, eles geralmente não são
considerados quando da criação de treinamentos desse tipo. Entretanto, os
engenheiros sociais podem enganar os guardas de segurança ou outros para
que eles lhes permitam a entrada em um prédio ou escritório, ou para que
executem uma ação que resulte em uma invasão de computador. Embora os
membros da segurança certamente não precisem do mesmo treinamento
completo pelo qual passam as pessoas que operam ou usam os
computadores, eles não devem ser esquecidos no programa de
conscientização sobre a segurança.

Após a sessão de treinamento inicial, sessões mais longas devem ser


criadas para educar os empregados sobre as vulnerabilidades específicas e
técnicas de ataque relativas à sua posição na empresa. Pelo menos uma vez
por ano é preciso fazer um treinamento de renovação. A natureza da ameaça e
os métodos usados para explorar as pessoas estão sempre mudando, de modo
que o conteúdo do programa deve ser mantido atualizado. Além disso, a
consciência e o preparo das pessoas diminuem com o tempo, de modo que o
treinamento deve se repetir a intervalos razoáveis de tempo para reforçar os
princípios da segurança. Novamente a ênfase precisa estar em manter os
empregados convencidos sobre a importância das políticas de segurança e
motivados para que as sigam, além de expor as ameaças específicas e os
métodos da engenharia social. (Mitnick, 2003)

Neste sentido os seguintes meios de controles, não devem


faltar no plano de treinamento dos colaboradores:
seminários de sensibilização; cursos de capacitação;
campanhas de divulgação da política de segurança; crachás
de identificação; procedimentos específicos para demissão e
admissão de funcionários; termo de responsabilidade; termo
de confiabilidade; software de auditoria de acessos e
software de monitoramento e filtragem de conteúdo. (Alves,
2010)

Desta forma, Sêmola, 2014 considera os termos de responsabilidade e


confidencialidade, como mais um importante instrumento de sensibilização e
formação de cultura que tem o propósito de formalizar o compromisso e
entendimento do funcionário diante de suas novas responsabilidades
relacionadas a proteção das informações que manipula. Além disso, esse

55
Governança da Segurança da Informação

termo se encarrega de divulgar as punições cabíveis por desvios de conduta e,


ainda, esclarecer que a empresa é o legitimo proprietário dos ativos, incluído as
informações que fluem pelos processos de negócio e ora são temporariamente
custodiadas pelas pessoas.

- Termo de Responsabilidade visa resguardar a empresa de


sérios riscos de danos, responsabilizando o colaborador, no
exercício de sua função, em casos de pirataria, acesso a dados
privativos da empresa, má utilização do hardware e software
licenciado, entre outros. Este serviço pode compreender ainda,
a elaboração de termos de utilização de e-mails para todos os
funcionários, de acordo com a política da empresa,
conscientizando-os sobre a responsabilidade decorrente do
uso do mesmo.
- Termo de Confidencialidade de Informações visa manter a
confidencialidade das informações obtidas por funcionários e
colaboradores no exercício de suas funções. Compreende
ainda a conscientização da equipe sobre a importância da
padronização de procedimentos para a empresa e para o
colaborador, esclarecendo que as informações confidenciais
e/ou segredos de negócios podem abranger todo e qualquer
dado gerado, coletado ou utilizado nas operações da empresa.
Por definição, a engenharia social envolve algum tipo de interação
humana. Com frequência, um atacante usa vários métodos de comunicação e
tecnologias para tentar atingir o seu objetivo. Por esse motivo, um programa de
conscientização bem feito deve tentar abordar alguns ou todos estes itens:

 As políticas de segurança relacionadas com senhas de computador


e voice mail.
 O procedimento de divulgação de informações ou material
confidencial.
 A política de uso do correio eletrônico, incluindo as medidas para
evitar ataques maliciosos de código, tais com vírus, worms e
Cavalos de Tróia.
 Os requisitos de segurança física, tais como o uso de crachás.
 A responsabilidade de questionar as pessoas que estão nas
instalações sem o crachá.
 As melhores práticas de segurança para o uso do voice mail.
 Como determinar a classificação das informações e as medidas
adequadas para proteger as informações confidenciais.
 A eliminação adequada de documentos confidenciais e mídia de
computador que contenham, ou que já tenham contido material
confidencial. (Mitnick, 2003)
Da mesma forma, se a empresa pretende usar testes para determinar a
eficiência das defesas contra os ataques da engenharia social, um aviso deve
ser dado para que os empregados tomem conhecimento dessa prática. Deixe

56
Governança da Segurança da Informação

que saibam que em algum momento eles podem receber uma ligação
telefônica ou outra comunicação que usará as técnicas do atacante como parte
de tal teste. Use os resultados desses testes não para punir, mas para definir a
necessidade de treinamento adicional em algumas áreas.

A maioria das pessoas sabe que o aprendizado, mesmo das questões


importantes, tende a desaparecer, a menos que seja reforçado periodicamente.

Devido à importância de manter os empregados atualizados sobre o


assunto da defesa contra os ataques da engenharia social, um programa
constante de conscientização é de importância vital.

Um método para manter a segurança sempre na mente do empregado é


fazer com que a segurança das informações seja parte específica da função de
todas as pessoas que trabalham na empresa. Isso as encoraja a reconhecer o
seu papel crucial na segurança geral da empresa. Caso contrário há uma forte
tendência de achar que a segurança "não é problema meu".

Como disse Kevin Mitinick, não existe tecnologia que evite um ataque de
um Engenheiro Social, portanto é necessário um treinamento contínuo para
que as pessoas sempre saibam quais são as novas técnicas utilizadas e como
lidar com cada uma delas.

Outras formas de prevenção da engenharia social são a pesquisas de


perfis dos funcionários antes da admissão efetiva na empresa, para se
identificar eventuais problemas de conduta de falhas de segurança.

Da mesma forma, a gestão dos perfis de acesso após a contratação dos


funcionários deve ser constante, os perfis são amplamente usados por
organizações para descrever os atributos de cargos ou indivíduos nos sistemas
de informação, devendo estar em constante atualização para que acessos
indevidos não ocorram.

REFERÊNCIAS BIBLIOGRÁFICAS

ALVES, Cássio B. Segurança da informação vs. Engenharia Social: Como se


proteger para não ser mais uma vítima, 2010.

BRAGA, Pedro H. C. Técnicas de Engenharia Social, 2010.

CAIADO, Marcelo. Engenharia Social e o Fator Humano na Segurança da

Informação, 2008.

57
Governança da Segurança da Informação

COSTA, Josué. Engenharia Social e Segurança da Informação na Gestão de


Pessoas,2013.

MENEZEZ, Heleno, Leonardo, JACOBIMO, Moises e Wladys. O Fator Humano


naSegurança da Informação, 2004.

MITNICK, Kevin D.; SIMON, William L. Mitnick: A arte de enganar. Ataques de


hackers: Controlando o fator humano na Segurança da Informação.
PearsonEducation do Brasil Ltda, 2003.

SÊMOLA, Marcos. Gestão da Segurança da Informação 2ª Edição, 2014.

SILVA FILHO, Antônio M. Entendendo e Evitando a Engenharia Social:


Protegendo Sistemas e Informações. Disponível em:
<http://www.espacoacademico.com.br/043/43amsf.htm> Acesso em: 01 out
2015.

Sobre os autores

Mosar Rodrigues Rabelo Junior

Cursando Pós-Graduação em Governança de Tecnologia da


Informação pelo Centro de Ensino Unificado de Brasília – UNICEUB. -
Bacharel em Ciência da Computação pela Universidade Católica de
Brasília – UCB. Coordenador de Gestão de Sistemas de Informação
da Coordenação Geral de Tecnologia da Informação no Ministério do
Meio Ambiente. Já atuou como Gerente Executivo de Tecnologia da
Informação do Serviço Florestal Brasileiro, Chefe da Divisão de
Segurança e Infraestrutura de Rede da Coordenação Geral de
Tecnologia da Informação e Gestor de Serviços no SERPRO.

Selma Cândida da Cruz Vieira

Líder de equipe técnica em suporte a sistemas na empresa Central IT.


Cursando pós-graduação em Governança em TI, graduada em Análise
e Desenvolvimento de Sistemas.

58
Governança da Segurança da Informação

CAPÍTULO 6

GOVERNANÇA DA SEGURANÇA DA
INFORMAÇÃO

Autor: Hallisson Ricardo Sampaio Ribeiro

1. Gestão ou Governança? Qual a diferença?

De acordo com a norma ABNT NBR ISO/IEC 27001:2006 a gestão da


segurança da informação visa estabelecer, implementar, operar, monitorar,
analisar criticamente a decisão estratégica de uma organização. É influenciado
por objetivos.

Visa ainda a melhoria contínua da segurança da informação e representa


as várias atividades diárias que são necessárias para um programa de
segurança eficaz e ativo.

A governança da segurança da informação tem a missão de


descentralizar a gestão da segurança da informação de forma eficiente e
transparente, atrelado ao negócio fim da organização e considera os objetivos
estratégicos e tendências atuais do mercado.

A organização precisa gerenciar todas as suas atividades fins, visando o


uso de seus recursos e habilitar assim, as entradas e saídas incorporadas ao
seu processo. A concretização dessas atividades de gestão são considerados
abordagem de processo.

Segundo a Norma ABNT NBR ISO/IEC 27001:2006 a aplicação desses


processos para a gestão da segurança da informação apresenta as seguintes
vertentes junto aos usuários e sua importância:

a) Entendimento dos requisitos de segurança da informação de uma


organização e sua necessidade em estabelecer uma política e objetivos
para a segurança da informação;
b) Implementação e operação de controles para gerenciar riscos de
segurança da informação de uma organização no contexto dos riscos do
negócio global da empresa;

59
Governança da Segurança da Informação

c) Monitoração e análise crítica do desempenho e eficácia da SGSI e


melhoria contínua baseada em medições objetivas.

A Gestão está voltada para um maior gerenciamento das atividades em


que as atividades fins e objetivos sejam traduzidos em primícias chaves para
as metas dentro da organização. Os gestores visam garantir que as metas e
anseios dos clientes, sejam colocados em práticas pelo setor operacional
gerando assim valor agregado e resultado de ganho ou perda para a
organização. Na gestão, deve-se ter uma meta estratégica bem definida, na
qual irá proporcionar um vínculo fim com a área operacional que irá traduzir na
geração de lucro e maior representatividade da empresa no mercado na qual
está inserida.

Na gestão é adotado o PDCA (Plan-do-Check-Act) que é implementado


em seus processos.

Figura 1 – Modelo PDCA aplicado aos processos de Gestão da segurança da


informação

Fonte: ABNT NBR ISO/IEC 27001:2006

Plan (Planejar) – Estabelece os objetivos e práticas do GSI, em que traz


evidencia para a análise gerencial dos riscos e melhoria da SI.

Do (Fazer) – Opera a política alinhados aos programas da GSI

60
Governança da Segurança da Informação

Check (checar) – Monitora e analisa a GSI. Traz resultados que são


avaliados e analisados pela direção envolvida.

Act (Agir) – Mantém e melhora a GSI e está inserida na busca de


melhores prática junto à GSI da organização.

2 – Objetivo da Gestão

Segundo a ABNT NBR ISO/IEC 27001:2006 a gestão da segurança da


informação é projetado para assegurar a seleção de controles de segurança
adequados e proporcionados para proteger os ativos de informação e propiciar
confiança as partes interessadas. Convém que o negócio seja interpretado de
modo que as atividades sejam essênciais aos objetivos da existência da
organização.

O sistema de gestão inclui a estrutura organizacional, políticas,


planejamento, boas práticas, recursos e processos nele inseridos. Estabelece
ainda uma estrutura de gerenciamento controlando a implementação da
segurança da informação dentro da empresa e envolve todos os colaboradores
nela inseridos, podendo ainda contar com agentes externos que auxiliem e
cooperem para a melhor adequação da segurança.

3 – Responsabilidades da Gestão da segurança da informação

Segundo a ABNT NBR ISO/IEC 27001:2006 a organização deve definir


o escopo e os limites da gestão nos termos e características do negócio, sua
localização, ativos e tecnologia, incluindo detalhes e justificativas dentro do
escopo.

A definição da política da gestão inclui características do negócio e


estabelece um direcionamento global dos princípios e ações voltadas a
segurança em que esteja alinhada ao contexto estratégico da alta
administração e visa gerir os riscos e sua manutenção dentro da organização.
Estabelece ainda critérios em relação os riscos a serem avaliados e tenha
aprovação unanime da alta administração.

Dentro das métricas da gestão estão inseridos em seu contexto: a


implementação de conscientização e treinamento, gerenciamento das
operações e recurso da gestão da segurança da informação, a aplicação de
controles capazes de permitir e controlar a detecção de eventos visando assim,
os incidentes de segurança da informação. A realização das análises críticas
inclui as políticas e objetivos da gestão em que os resultados e incidentes da
informação, são resultados claros da eficácia e medição certa de todas as
partes inseridas nesse elo organizacional.

61
Governança da Segurança da Informação

Dentro da gestão deve haver um maior comprometimento da direção


superior, em que a política de gestão e sua garantia visa estabelecer as metas
direcionados junto ao plano estratégico da organização, e estabelecer os
papéis e responsabilidades da segurança da informação. Os recursos são
essenciais para implementação e operacionalização da melhoria continua da
gestão e sua eficácia.

A política interna da segurança da informação segundo ABNT


NBR ISO\IEC 17799:2005 estabelece que ela deve ser aprovada
pela direção, publicada e comunicados a todos os funcionários e
partes externas envolvidos. Deve ser analisada criticamente a
intervalos e planejados de acordo com a continua adequação a
eficácia.

As atribuições das atividades e responsabilidades na segurança da


informação, visa a conformidade atrelada a política interna da segurança, em
que convém que as responsabilidades sejam definidas e obedecidas. Cada
local será exigida uma proteção específica de segurança atrelada aos vários
colaboradores existentes da organização. Pessoas com tarefas e atividades
definidas, de acordo com a segurança da informação, podem descentralizar
tarefas a outros usuários, sendo necessário uma maior verificação junto as
atividades executadas para melhor monitoramento fim dentro da organização.

4 – Governança da Segurança da Informação

De acordo com IT Governance Institute (2005):

A governança de TI é de responsabilidade da alta administração


(incluindo diretores e executivos), na liderança, nas estruturas
organizacionais e nos processos que garantem que a TI da
empresa sustente e estenda as estratégias da empresa.

Outra definição é dada por Weill & Ross (2004):

Consiste em uma ferramenta para a especificação dos direitos de


decisão e responsabilidade, visando encorajar comportamentos
desejáveis no uso da TI.

Para a ISSO/IEC 38.500 (ABNT 2009) a governança é o

Sistema pelo qual o uso atual e futuro da TI são dirigidos e


controlados. Significa avaliar e direcionar o uso da TI para dar
suporte à organização e monitorar seu uso para realizar planos.
Inclui a estratégia e as políticas de uso da TI dentro da
organização.

Quando ela tem alto impacto nas atividades e planos diretos, dizemos
que a TI é estratégica e voltada para o negócio fim da organização. Deve-se ter
um claro direcionamento do que esperar das iniciativas e ações da segurança
da informação.

62
Governança da Segurança da Informação

Segundo o Cobit 5 ela projeta em atender as atuais necessidades dos


dirigentes de negócio alinhado aos atuais pensamentos de gestão e
governança em TI. Ela é de responsabilidade de toda organização e não só da
TI.

Ela é motivada pelos seguintes fatores de acordo com a figura abaixo:

Figura 2 – Fatores motivadores da Governança em TI

Fonte: Fernandes e Abreu, 2012

5 – Objetivos da Governança da Segurança da informação

O objetivo da governança é criar meios eficientes de gerenciamento


(alinhamento estratégico) em que o foco estar em garantir que as ações
implantadas sejam alinhadas aos interesses dos envolvidos e a busca de
maiores resultados, alinhados a estratégia fim da organização.

Cria valor e realiza os objetivos esperados, otimizando os riscos e


recursos. Atrelada ao negócio fim da organização e continuidade do negócio
(Gestão de riscos e de recursos). Visa medir os processos e foca nos objetivos
do negócio em que a otimização dos investimentos trará valor junto às metas
organizacionais (gestão desempenho e valor final).

63
Governança da Segurança da Informação

6 – Benefícios da Governança da Segurança da Informação

Aumenta o relacionamento com o cliente final (fornecedores e


parceiros), reduzindo assim o vazamento de informações precisas, redução do
custo operacional e melhor análise dos processos inseridos dentro da
organização e maior transparência e proteção à imagem da organização.

Por fim a governança visa alinhar os objetivos estratégicos da alta


administração agregando valor ao negócio proposto pela mesma e focando
sempre em futuras solicitações resultantes de seu posicionamento frente aos
mercados.

64
Governança da Segurança da Informação

7 – Referências.

ABNT.NBR ISO/IEC 27001:2006, Tecnologia da Informação – Técnicas de segurança


– Sistema de gestão de segurança da informação – Requisitos – Rio de Janeiro:
Associação Brasileira de Normas técnicas, 2006 34p.

ITGI (IT Governance Institute). Cobit Quickstart, 2nd edition, Rolling Meadows, IL,
2007 (2007a).

ISACA. COBIT 5 for Information Security. ISACA, 2012.

WEILL, Peter.; Ross W. Jeanne. IT Governance: How top performers manage IT


decision rights for superiors resutls. Boston, Harvard Business Scholl Press, 2004.

ABNT.NBR ISO/IEC 38500:2009: Governança corporativa de tecnologia da


informação. Rio de Janeiro, Associação Brasileira de Normas técnicas, 2005.

Fernandes, Aguinaldo Aragon – Implantando a governança de TI: estratégia à gestão


dos processos e serviços/ Vladimir Ferraz de Abreu – 3º ed. – Rio de Janeiro:
Brasport, 2012.

Sobre o autor

Hallisson Ricardo S. Ribeiro.

Administrador de Empresas, Pós Graduando em


Governança em TI. Atua a mais 07 anos com suporte da
tecnologia da informação.

65
Governança da Segurança da Informação

66
Governança da Segurança da Informação

CAPÍTULO 7

GOVERNANÇA DA SEGURANÇA DA
INFORMAÇÃO SEGUNDO A ISO 27014:2013

Autor: Douglas Gomes Batista

A norma ABNT NBR ISO/IEC 27014:2013 é a recomendação de


conceitos e princípios que orienta a qualquer tipo e tamanho de organização
sobre governança de segurança da informação. Dessa maneira elas podem
avaliar, dirigir, monitorar e comunicar as atividades relacionadas à segurança
da informação dentro da organização.

O documento dessa norma tem como aplicação os termos e definições


da ISO/IEC 27000:2009 e também se atribui dos termos e definições abaixo.

Gerência Executiva – trata-se de pessoa ou grupo de pessoas que tem


recebe a responsabilidade através do Corpo Diretivo para a implementação de
estratégias e políticas com o objetivo de obedecer e levar a organização ao
propósito da organização. Por se tratar da alta administração, a Gerência
Executiva pode compreender na composição dos Diretores Executivos (CEO),
Chefes de Organizações Governamentais, Diretores Financeiros (CFO),
Diretores de Operações (COO), Diretos de Tecnologia de Informação, Diretores
de Segurança da Informação (SICO) e também funções semelhantes.

Corpo Diretivo – compreende na pessoa ou grupo de pessoas, que


possuem a responsabilidade pelo desempenho e conformidade da
organização. A composição do corpo diretivo depende do modelo
organizacional de cada empresa, mas em sua grande maioria é onde encontra-
se os membros da presidência da organização.

Governança de Segurança da Informação – é o sistema na organização


que controla e dirige as atividades de segurança da informação.

Parte interessada – também denominado pelo termo stakeholder,


compreende em qualquer pessoa ou organização que de alguma maneira
afeta, é afetada ou percebe-se afetada por quaisquer atividades da

67
Governança da Segurança da Informação

organização, ou seja, desde os usuários finais que podem ser clientes externos
até membros da presidência, sócios e acionistas.

De acordo com (Manoel, 2014), a Governança de Segurança da


Informação tem o seu posicionamento no modelo de governança corporativa de
assessorar a presidência, contribuir com os objetivos estratégicos, atuando na
área de gestão da organização.

Figura 1 – Termos e definições

Fonte: o autor

A Governança de Segurança da Informação segundo a norma ISO/IEC


27014:2013 tem por necessidade o alinhamento dos objetivos e estratégias de
segurança da informação com os objetivos e estratégias do negócio e requer
que essa prática esteja conforme leis, regulamentos e contratos, além de ser
conveniente a abordagem de gestão de riscos e controles internos. O Corpo
Diretivo é o maior responsável por garantir que a segurança da informação
tenha eficiência, eficácia, aceitação e o alinhamento dos objetivos e estratégias
de negócios concedendo expectativas as partes interessadas, que essas
diferem-se de acordo com seus valores e necessidades.

Os objetivos da Governança de Segurança da Informação, de acordo


com a norma ISO/IEC 27014:2013, pretendem criar o alinhamento estratégico

68
Governança da Segurança da Informação

da segurança da informação à estratégia do negócio, entregar valor para o


corpo diretivo e as partes interessadas, garantindo que os riscos das
informações são corretamente endereçados.

Os resultados desejados adquiridos pela implementação eficaz da


governança da segurança da informação na organização, com base na norma
ISO/IEC 27014:2013, é dar visão ao corpo diretivo sobre a situação da
segurança da informação, subsidiando-o com abordagem ágil para tomada de
decisões sobre os riscos a informação, compreendendo os investimentos
eficientes e eficazes em segurança da informação e abordando as
conformidades com requisitos externos legais, regulamentares e contratuais.

Uma organização pode possuir vários modelos de áreas de governança,


sendo cada um membro de uma organização que enfatiza a importância do
alinhamento com os objetivos do negócio. Para o corpo diretivo, em sua grande
maioria, atribui-se vantagens quando se desenvolve a compreensão integral, e
não apenas de suas partes separadas, de seu modelo de governança, onde a
governança de segurança de informação seja uma parte. Pode ser que os
modelos de governanças se sobreponham, a exemplo, veja a relação entre
governança de segurança da informação e governança de tecnologia da
informação na Figura 2.

Figura 2 – Relação entre governança de segurança da informação e


governança de tecnologia da informação

Fonte: Manoel, 2014

69
Governança da Segurança da Informação

A governança de tecnologia da informação abrange recursos


necessários para adquirir, processar, armazenar e disseminar a informação e a
governança da segurança da informação abrangem a confidencialidade,
integridade, e disponibilidade da informação. Ambos os esquemas de
governança precisam ser tratados pela Avaliação, Direção e Monitoração,
entretanto a governança da segurança da informação requer o processo
interno de comunicação.

A norma ISO IEC 27014:2013 compreende em visão geral que princípios


são regras que atuam como guia de implementação de governança de
segurança da informação já os processos são tarefas que viabilizam e mostra
relação entre governança e gestão de segurança da informação.

Os princípios da governança da segurança da informação têm como


missão importante atender às necessidades das partes interessadas e entregar
valor para cada uma. Para entrega do objetivo da governança alinhado ao
negócio e valor às partes interessadas, a norma ISO IEC 27014:2103
estabelece seis princípios. Esses princípios são estabelecidos como base
sólida para a implementação de processos de governança para a segurança da
informação, sendo que cada um faz referência ao que convém que ocorra, não
é prescrito o como, quando e nem por quem os princípios seriam
implementados, pois isso dependerá da natureza da organização.
Independentemente do tipo de organização, o corpo diretivo que exige a
aplicação desses princípios e designa quem irá implementá-los que tenha
responsabilidade, responsabilização e autoridade.

Estabelecer a segurança da informação em toda a organização – a


Governança da Segurança da Informação, com base na norma ISO/IEC
27014:2013, garante que as atividades de segurança da informação sejam
entendidas e integradas, a segurança é tratada em nível organizacional, com a
tomada de decisões alinhada ao negócio, a segurança da informação e tudo
que for relevante, atividades física e lógica coordenadas de forma rigorosa. A
responsabilidade e responsabilização é estabelecida em cada grande ou
pequena parte das atividades da organização, ultrapassando as percepções da
organização, como o exemplo de informações transferidas e/ou armazenadas
por terceiros.

Adotar uma abordagem baseada em riscos – a Governança da


Segurança da Informação, segundo norma ISO/IEC 27014:2013, é decidida
com base em riscos, define a relação do risco da organização, perda de
vantagem competitiva, conformidade e riscos de responsabilidade civil,
interrupções operacionais, danos à reputação e perdas financeiras ao quanto
de segurança é aceitável. É necessário ter consistência e integração à

70
Governança da Segurança da Informação

abordagem global de riscos da organização, e os recursos para implementação


da gestão de riscos são alocados pelo corpo diretivo.

Estabelecer a direção de decisões de investimento – com base em


resultados de negócios alcançados e a norma ISO/IEC 27014:2013, a
Governança da Segurança da Informação estabelece estratégia de
investimento em segurança da informação, harmonizando requisitos de
negócio aos requisitos da segurança da informação em curto e em longo prazo,
atendendo necessidades atuais e crescentes das partes interessadas. A
otimização dos investimentos em segurança da informação para apoio aos
objetivos da organização convém ao corpo diretivo garantir a integração com
os atuais processos da organização para gastos com capital e operação,
conformidade legal e regulatório, para reporte de riscos.

Assegurar conformidade com os requisitos internos e externos – a


Governança da Segurança da Informação, sendo referenciada pela norma
ISO/IEC 27014:2013, garante que as políticas e práticas de segurança da
informação estão enquadradas nas regulamentações pertinentes obrigatórias,
requisitos de negócio ou contratuais e quaisquer outros requisitos externos ou
internos que houver. O corpo diretivo obtém garantia que as atividades de
segurança da informação estejam satisfatoriamente de acordo com os
requisitos internos e externos autorizando auditorias de segurança
independentes.

Promover um ambiente positivo de segurança – a Governança da


Segurança da Informação, seguindo a norma ISO/IEC 27014:2013, deve ser
construída sobre o comportamento humano, visando as crescentes
necessidades de todas as partes interessadas, pois o comportamento humano
é elemento fundamental para manter o nível apropriado de segurança da
informação, caso contrário os objetivos, papéis, responsabilidades, e recursos
podem conflitar uns com os outros, fatalmente tendo falhas para cumprimento
dos objetivos como resultado. Sendo assim, a harmonização e a orientação
entre as partes interessadas são extremamente importantes. É necessário
estabelecer uma cultura positiva de segurança da informação, e cabe ao corpo
diretivo que exija, promova, e apoie a coordenação das atividades das partes
interessadas para obter direção coerente. Com isso será possível implantar
programas de educação, treinamento e conscientização em segurança.

Analisar criticamente o desempenho em relação aos resultados de


negócios – a Governança da Segurança da Informação, conforme a norma
ISO/IEC 27014:2013, garantirá a abordagem estabelecida para proteger a
informação adequadamente à sua finalidade para apoio à organização, e
também garantirá que o desempenho da segurança seja mantido nos níveis
necessários para atender os requisitos de negócios atuais e futuros. O corpo
diretivo avalia o desempenho da segurança informação em relação ao impacto

71
Governança da Segurança da Informação

no negócio, não somente na eficácia e eficiência dos controles de segurança,


realizando análises críticas agendadas medindo desempenho para
monitoramento, auditoria e melhoria, e resultando na associação do
desempenho da segurança da informação ao desempenho do negócio.

Os processos são executados pelo corpo diretivo no tocante de


avaliação, direção, monitoração e comunicação, sendo que, além disso, o
processo de garantia fornece parecer objetivo em relação a Governança de
Segurança da Informação e o nível atingido. Na visão geral a norma não cita a
gerência executiva, mas ela é exposta na Figura 3 como participante dos
processos e suas ações são citadas em cada processo. Vejamos a Figura 3.

Figura 3 – Implementação do modelo de governança para a segurança da


informação

Fonte: Manoel, 2014

O processo de avaliação, de acordo com a norma ISO/IEC 27014:2013,


Governança de Segurança da Informação considera o atingimento atual e
previsto dos objetivos, com base em processos atuais e mudanças planejadas
e com isso determina os ajustes necessários para otimizar. O corpo diretivo
visa assegurar que as iniciativas de negócio levem em consideração as
questões de segurança da informação e responde aos resultados de
72
Governança da Segurança da Informação

desempenho da segurança da informação, prioriza e inicia ações necessárias,


comumente a gerência executiva garante que a segurança suporte e sustente
os objetivos de negócios de forma devida, submete novos projetos e propostas
de segurança da informação com impacto significativo para o corpo diretivo.

Manoel, 2014, propõe documentos utilizados como as entradas para o


processo de avaliação os indicadores de desempenho do processo,
indicadores de meta do processo, e para saídas os relatórios de desempenho
da Segurança da Informação, número de objetivos avaliados, número de ações
de SI implementadas por objetivos.

O processo de direção, conforme a norma ISO/IEC 27014:2013,


estabelece os objetivos a serem implantados, altera e aloca recursos, prioriza
as atividades de políticas e é nesse processo que ocorre a aceitação de riscos
materiais e o plano de gestão de riscos. Cabe ao corpo diretivo determinar o
apetite ao risco da organização, aprovar a estratégia e política de segurança da
informação e alocar investimentos e recursos adequados, e quanto à gerência
executiva, cabe desenvolver e implementar a estratégia e política de segurança
da informação, alinhar os objetivos de segurança da informação com os
objetivos de negócio além de promover uma cultura positiva de segurança da
informação.

Manoel (2014) propõe documentos utilizados como as entradas para o


processo de direção os relatórios de desempenho da Segurança da
Informação, relatório de tratamento de incidentes, e para saídas o plano de
investimento em Segurança da Informação, políticas de Segurança da
Informação aprovadas, plano de gestão de riscos aprovados, estratégias e
objetivos de Segurança da Informação.

Em se tratando do processo de monitoração, com base na norma


ISO/IEC 27014:2013, o interesse é avaliar o atendimento de objetivos
estratégicos, onde o corpo diretivo avalia a eficácia das atividades de
gerenciamento de segurança da informação, assegura a conformidade com os
requisitos internos e externos, considera alterações do ambiente de negócio,
legal e regulatório, e seu potencial impacto sobre o risco de informação, e de
outro modo, a gerência executiva seleciona as métricas de desempenho
apropriadas a partir de perspectiva de negócio, fornece retorno sobre os
resultados do desempenho da segurança da informação para o corpo diretivo,
contemplando o desempenho das ações previamente identificas pelo corpo
diretivo e os seus impactos sobre a organização, tendo por fim a atribuição de
alertar o corpo diretivo sobre novos desenvolvimentos que afetam os riscos de
informação e segurança da informação.

Manoel (2014) propõe documentos utilizados como as entradas para o


processo de monitoração o relatório de desempenho da Gestão de Segurança
da Informação e como saídas o percentual de processos críticos monitorados,
73
Governança da Segurança da Informação

quantidade de ações de melhoria implantadas por atividades de monitoração,


quantidade de metas e indicadores dos objetivos de Segurança da Informação
atingidas.

No processo de comunicação, segundo a norma ISO/IEC 27014:2013,


ocorre à troca de informações com partes interessadas sobre segurança da
informação às necessidades específicas e também explica as atividades de
segurança da informação para as partes interessadas, sendo assim cabendo
ao corpo diretivo ser responsável por efetuar essa comunicação ás partes
interessadas externas que a organização pratica um nível de segurança da
informação conivente com a natureza do seu negócio, notifica à gerência
executiva de questão de segurança da informação dos resultados de
avaliações externos e solicita ações corretivas, e também reconhece as
obrigações regulatórias, expectativas das partes interessadas e as
necessidades de negócio com relação à segurança da informação, por outro
lado, a gerência executiva é encarrega de aconselhar o corpo diretivo de
quaisquer assuntos que necessite de sua atenção e/ou alguma decisão, além
de instruir as partes interessadas sobre as ações detalhadas a serem tomadas
para apoiar o corpo diretivo no exercer de suas ações.

Manoel (2014) propõe documentos utilizados como as entradas para o


processo de garantia os requisitos de Segurança da Informação, relatório de
desempenho da Segurança da Informação e para saída o relatório de status de
Segurança da Informação detalhado.

O processo de garantia, seguindo a norma ISO/IEC 27014:2013,


compreende em o corpo diretivo autorizar e/ou encomendar auditorias, análises
críticas ou certificações independentes e objetivas, com isso, visa identificar e
validar os objetivos e ações relacionadas com a execução das atividades de
governança e condução de operações para o atingimento do nível desejado de
segurança da informação, sendo tarefa do corpo diretivo a encomenda de
parecer independente e objetivo sobre o status do cumprimento com a sua
responsabilidade para o nível desejado de segurança da informação, e
cabendo a gerência executiva apoiar a auditora, análises críticas ou as
certificações supracitadas.

Manoel, 2014, propõe documentos utilizados como as entradas para o


processo de garantia o relatório de escopo da auditoria de Segurança da
Informação e para saídas o relatório de auditoria, relatório de conformidade e
não conformidade, recomendações para os processos.

74
Governança da Segurança da Informação

Bibliografia

ABNT. NBR ISO/IEC 27014:2013, Tecnologia da Informação — Técnicas de


Segurança — Governança de segurança da informação. 2013
MANOEL, Sergio da Silva. Governança de Segurança da Informação: Como
criar oportunidades para o seu negócio – Rio de Janeiro: Brasport, 2014

Sobre o autor

DOUGLAS GOMES BATISTA

Graduado em Gestão de Tecnologia da Informação


pelo UNISEB - Ribeirão Preto/SP, Pós-Graduando em
Governança de TI pelo UNICEUB – Brasília/DF,
atualmente é Analista de Infraestrutura de TI na SCYTL
Soluções de Segurança e Voto Eletrônico,
Coordenador de Informática da Associação dos
Servidores do Banco Central de Brasília (ASBAC
Brasília) e Consultor Independente em Soluções de
Infraestrutura de TI, com experiência de 10 anos na
área de tecnologia da informação.

75
Governança da Segurança da Informação

76
Governança da Segurança da Informação

CAPÍTULO 8

GESTÃO DA SEGURANÇA DA INFORMAÇÃO


SEGUNDO O COBIT 5

Autores: Edson Vicente de Souza

Marcos de Oliveira Pinho

8.1. Introdução

Os conceitos e princípios de segurança da informação, bem como a


governança e gestão da segurança da informação, foram assuntos
mencionados nos capítulos 1 e 6. Assim sendo, este capítulo tem como
propósito descrever a gestão da segurança da informação sob a abordagem do
COBIT5®, publicado pelo ISACA® em 2012.

O COBIT 5, também chamado de Framework, possui um conjunto de


guias ou publicações para profissionais, entre eles o COBIT 5 for Information
Security (figura 1). Esta publicação fornece orientações e práticas detalhadas,
tanto para os profissionais de segurança da informação, bem como demais
partes interessadas nas organizações. O COBIT 5 também reúne, em seu
conjunto de publicações, os conhecimentos anteriores dispersos por diferentes
frameworks da ISACA e outros modelos, tais como COBIT, BMIS, Risco de TI e
Val IT - relacionados à Segurança da Informação – outros baseados nas
normas como a série 27000 ISO/IEC, a 1SF - norma de Boas Práticas de
Segurança da Informação e US Instituto Nacional de Padrões e Tecnologia
(NIST) SP800-53A.

77
Governança da Segurança da Informação

Figura-1: Família de produtos COBIT 5

Fonte: ISACA, 2012

Amplamente difundido nos ambientes de negócios das organizações,


framework COBIT 5, segundo Souza Neto (2012), foi projetado para atender as
necessidades dos dirigentes de negócio e está alinhado com os atuais
pensamentos em Gestão e Governança Corporativa de TI. A incorporação do
conceito de Governança Corporativa de TI possibilita que a TI seja governada e
gerida de uma forma holística nas organizações, considerando os negócios de
ponta a ponta, bem como mantém os interesses das partes interessadas
(stakeholders), internas e externas, relacionados com a TI. Este assunto será
abordado mais adiante, neste capítulo, nos princípios do COBIT 5 relacionados
à Segurança da Informação.

8.2. Princípios de Governança do COBIT 5 relacionados à Segurança


da Informação

O framework COBIT 5 define cinco princípios básicos para governança e


gestão da TI (figura 2):

• Atender às Necessidades das Partes Interessadas


• Cobrir a Organização de Ponta a Ponta
• Aplicar um Modelo Único Integrado
• Permitir uma Abordagem Holística
• Distinguir a Governança da Gestão

Estes princípios permitem que as organizações construam um modelo


eficiente de governança e gestão de TI, otimizando os investimentos em TI e
gerando benefícios para as partes interessadas. Por sua vez, o guia do COBIT
5 for Information Security também referencia os mesmos princípios, bem como
a relevância de cada para a segurança da informação.

78
Governança da Segurança da Informação

Figura – 2: Princípios do COBIT 5

Fonte: ISACA, 2012.

1º Princípio: Atender às Necessidades das Partes Interessadas

No guia para segurança da informação este princípio possui a seguinte


definição:

“As organizações existem para criar valor para as partes


interessadas – incluindo partes interessadas da segurança
da informação – mantendo o equilíbrio entre a realização de
benefícios e a otimização de risco e o uso dos recursos.”
(ISACA, 2012. Tradução do autor).

Uma abordagem distinta deste princípio faz Souza Neto (2012, p. 8) ao


dizer que no atendimento as partes interessadas:

“O objetivo agora é atender a todas as partes interessadas,


ampliando o foco para além das áreas de negócio.”

Como ferramenta de auxilio na adequação das necessidades das partes


interessadas e dos diferentes e conflitantes objetivos, o framework COBIT 5
usa a Cascata de Objetivos (figura 3), na qual essas necessidades são
traduzidas em objetivos corporativos – específicos e praticáveis –, em seguida,
desdobrados em objetivos de TI e estes, consequentemente, desdobrados em
metas de Habilitadores, de forma adequada ao ambiente da organização. Os
Habilitadores compõem o último nível da cascata e serão abordados com mais
detalhes em Habilitadores, neste tópico.

79
Governança da Segurança da Informação

Figura – 3: Cascata de Objetivos do COBIT 5

Fonte: ISACA, 2012.

Exemplificando a utilidade da Cascata de Objetivos em 4 passos,


segundo framework COBIT 5:

Passo 1 – refere-se aos Direcionadores das partes interessadas que


influenciam as necessidades das Partes Interessadas. Tais influências advêm
do contexto externo - por exemplo mercado, setor, marcos regulatórios,
tecnologias - e do contexto interno da organização – por exemplo cultura,
organização, inclinação ao risco, etc.

Passo 2 – refere-se ao desdobramento das necessidades das partes


interessadas em objetivos corporativos. Geralmente, essas necessidades estão
relacionadas a um grupo de objetivos corporativos genéricos, definidos pelo
COBIT 5 em dezessete no total e estruturados de acordo com as dimensões do
Balanced Scorecard (BSC).

Passo 3 – refere-se ao desdobramento dos objetivos corporativos em objetivos


de TI, também estruturados de acordo com as dimensões do Balanced
Scorecard de TI (IT BSC).

Passo 4 – refere-se ao desdobramento dos objetivos de TI em metas do


Habilitador. O bom desempenho dos Habilitadores permitem atingir os objetivos
de TI.

80
Governança da Segurança da Informação

A Segurança da Informação também compõe o conjunto de necessidade


das partes interessadas (direcionadores). Aplicando-se a cascata neste caso,
chega-se aos objetivos de segurança de informação corporativos e estes são
desmembrados também em objetivos de TI que serão desmembrados em
metas para os diferentes habilitadores.

2º Princípio: Cobrir a Organização de Ponta a Ponta

Neste princípio, o guia para segurança da informação registra a


integração da governança de TI à governança corporativa por:

Cobre todas as funções e processos corporativos; O COBIT


5 não se concentra somente na ‘função de TI’, mas
considera a tecnologia da informação e tecnologias
relacionadas como ativos que devem ser tratados como
qualquer outro ativo por todos na organização.

Considera todos os habilitadores de governança e gestão de


TI aplicáveis à organização de ponta a ponta, ou seja,
incluindo tudo e todos - interna e externamente - que forem
considerados relevantes para a governança e a gestão das
informações e de TI da organização. (ISACA, 2012.
Tradução do autor).

A aplicação deste princípio atende a todas as partes interessadas,


funções e processos da organização que são relevantes para a segurança da
informação.

3º Princípio: Aplicar um Modelo Único Integrado

Neste princípio, o guia do COBIT 5 para Segurança da Informação,


reúne, especificamente, conhecimentos de outros frameworks e orientações de
importantes normas técnicas relacionadas à Segurança da Informação, já
mencionados na introdução do capítulo.

Como um framework único e integrado, o COBIT 5 torna-se uma


referência consistente de orientação com uma linguagem não técnica no
diagnóstico comum do ambiente organizacional, permitindo o seu uso na
governança e na gestão corporativa da TI. A figura 4 ilustra o mencionado
modelo único e integrado.

81
Governança da Segurança da Informação

Figura – 4: Modelo Único e Integrado do COBIT 5

Fonte: ISACA, 2012.

4º Princípio: Permitir uma Abordagem Holística

O guia do COBIT 5 para Segurança da Informação descreve a


abordagem holística deste princípio, como:

“Governança e gestão eficiente e eficaz de TI da


organização requer uma abordagem holística, levando em
conta seus diversos componentes interligados. O COBIT 5
define um conjunto de habilitadores para apoiar a
implementação de um sistema abrangente de governança e
gestão de TI e informação da organização.” (ISACA, 2012.
Tradução do autor).

82
Governança da Segurança da Informação

Souza Neto (2012, p. 8) acrescenta outros temas e conceitos que


também são considerados numa abordagem holística da organização neste
princípio, referenciado a seguir:

“A preocupação não é mais exclusivamente com processos,


como nas versões anteriores. Agora, temas como
comportamento, cultura, ética, competências, princípios,
informação, entre outros, também são levados em
consideração. Além disso, conceitos do COSO, TOGAF,
PMBoK, ITIL, Sarbanes-Oxley, entre outros, também foram
incorporados.”

Neste princípio, o framework do COBIT 5 ressalta e define sete


categorias de Habilitadores como sendo os vetores para maximização dos
investimentos em tecnologia da informação e promovendo benefícios para as
partes interessadas. Esses habilitadores estão descritos mais adiante neste
capítulo, em Habilitadores.

5º Princípio: Distinguir a Governança da Gestão

Em referência ao guia do COBIT 5 para Segurança da Informação, este


aborda uma clara distinção entre governança e gestão. Essas duas funções
abrangem diferentes tipos de atividades, envolvem diferentes estruturas
organizacionais para atender os objetivos estratégicos, além de atender a
propósitos distintos. A referida distinção entre governança e gestão é definida
da seguinte forma:

Governança:
“A governança garante que as necessidades, condições e
opções das partes interessadas sejam avaliadas a fim de
determinar objetivos corporativos acordados e equilibrados;
definindo a direção através de priorizações e tomadas de
decisão; e monitorando o desempenho e a conformidade
com a direção e os objetivos estabelecidos.” (ISACA, 2012.
Tradução do autor).

Gestão:
“A gestão é responsável pelo planejamento,
desenvolvimento, execução e monitoramento das atividades
em consonância com a direção definida pelo órgão de
governança a fim de atingir os objetivos corporativos.”
(ISACA, 2012. Tradução do autor).

O referido guia também ressalta que, na maioria das empresas, a


governança é da responsabilidade do conselho de administração, sob a
liderança do presidente e a gestão executiva está sob a liderança do diretor-
presidente (CEO). Esses distintos papéis, governança da segurança da
informação e gestão da segurança da informação, aparecem explicitamente no

83
Governança da Segurança da Informação

modelo de referência do COBIT 5 (figura 5) que inclui processos de


governança e processos de gestão, ou seja, cada conjunto com as suas
próprias responsabilidades.

Figura – 5: Modelo de Referência de Processo do COBIT 5

Fonte: ISACA, 2012

Habilitadores

Conforme mencionado no 4º Princípio – Permitir uma Abordagem


Holística, a segurança da informação está relacionada com todos os sete
habilitadores, ilustrados na figura 6.

84
Governança da Segurança da Informação

Figura – 6: Habilitadores corporativos do COBIT 5

Fonte: ISACA, 2012

Uma das definições apresentada no guia para Segurança da


Informação, descreve os habilitadores como:

“Habilitadores são fatores que, individual e coletivamente,


influenciam se a governança e gestão vai funcionar em toda
TI da organização com relação à governança de segurança
da informação. Habilitadores são movidos por objetivos da
cascata, ou seja, as metas de alto nível, relacionados a TI e
definir o que os diferentes habilitadores devem alcançar.”
(ISACA. COBIT 5 for Information Security, 2012. Tradução
do autor).

Os sete Habilitadores são:

Habilitador 1: Princípios, políticas e frameworks - são veículos para a


tradução do comportamento desejado em orientações práticas para a
gestão diária; inclui informações de segurança, princípios, políticas e
frameworks.

Habilitador 2: Processos - descrevem um conjunto organizado de


práticas para alcançar determinados resultados para atingir os objetivos
de TI; inclui detalhes e atividades específicas de segurança da
informação.

Habilitador 3: Estruturas organizacionais - são as principais entidades


de tomada de decisão de uma organização; inclui estruturas
organizacionais específicas de segurança da informação.

85
Governança da Segurança da Informação

Habilitador 4: Cultura, ética e comportamento – está relacionado a


pessoas e organizações que muitas das vezes são subestimados como
um fator de sucesso nas atividades de governança e gestão; considera
também os fatores que determinam o sucesso de governança e gestão
da segurança da informação.

Habilitador 5: Informações - permeia qualquer organização e inclui


todas as informações produzidas e utilizadas pela organização. A
Informação é necessária para manter a organização em funcionamento
e bem governada. No nível operacional, a informação por si só é muitas
vezes o principal produto da organização; inclui informações específicas
da segurança da informação.

Habilitador 6: Serviços, infraestrutura e aplicativos – incluem a


infraestrutura, a tecnologia e os aplicativos que fornecem à organização
o processamento e os serviços de TI necessários; inclui também
serviços específicos para suportar a segurança da informação nas
organizações.

Habilitador-7: Pessoas, habilidades e competências – estão


associadas às pessoas e são necessárias para a conclusão bem
sucedida de todas as atividades, bem como para a tomada de decisões
corretas e medidas corretivas.

Reforçando a importância desses habilitadores, é possível afirmar que


podem ser aplicados em situações práticas nas empresas, bem como serem
usados para implementar a governança e a gestão da segurança da
informação, conforme o modelo genérico do COBIT 5 (figura 7). Esse modelo
demonstra a estrutura do conjunto de Dimensões comum a todos os
habilitadores, de forma simples, efetiva e eficiente, para atingir os resultados
desejados, inclusive na implementação da segurança da informação.

As Dimensões dos habilitadores são:

• Partes interessadas
• Objetivos/metas
• Ciclo de Vida
• Boas Práticas

O COBIT 5 descreve detalhadamente essa dimensões, mas


resumidamente são caracterizadas por:

Partes interessadas – todo habilitador possui partes interessadas


Internas e externas à organização.

Objetivos/metas – diversas metas para cada habilitador que criam valor


ao atingi-las; podem ser divididas em Qualidade intrínseca, Qualidade
86
Governança da Segurança da Informação

contextual e Acesso e segurança (habilitadores disponíveis quando, e se,


necessário; os resultados são seguros, ou seja, o acesso é restrito a quem de
direito e que precisar dele).

Ciclo de vida – do habilitador inclui a criação, vida útil operacional e


descarte; fases do ciclo de vida: planejar, Projetar,
desenvolver/adquirir/criar/implementar, usar/operar, Avaliar/monitorar e
Atualizar/descartar.

Boas Práticas – apoiam as metas dos habilitadores; fornece exemplo


de como implementar o habilitador; entre outros.

Figura – 7: Habilitadores do COBIT 5: Genéricos

Fonte: ISACA, 2012

Conforme ilustrado na figura 7, além das quatro dimensões de


habilitadores, o COBIT 5 orienta como controlar o desempenho dos
habilitadores de forma específica – considera perguntas e respostas pré-
definidas, bem como os indicadores de resultados e indicadores de progresso.
Em relação aos indicadores, o de resultados serve para aferir se as metas dos
habilitadores foram alcançadas. O indicador de performance refere-se ao
efetivo funcionamento dos habilitadores.

8.3. Iniciativas de implantação de segurança da informação

O guia COBIT 5 para Segurança da Informação, considera que as


organizações necessitam definir seus próprios habilitadores para implantação
da segurança da informação, bem como os fatores internos e/ou externos no
ambiente no qual está inserida, tais como:

87
Governança da Segurança da Informação

• Ética e cultura para segurança da informação


• Leis, regulamentos e políticas
• Regulamentações contratuais aplicáveis
• Políticas e práticas existentes
• O nível de maturidade dos facilitadores de segurança da
informação atual
• Capacidades de segurança da informação e os recursos
disponíveis
• Práticas da indústria
• Padrões e estruturas obrigatórias sobre segurança da informação

Deve considerar também a definição dos requisitos de segurança da


informação da organização, tendo como base o plano de negócios, o seu
modelo de gestão, o perfil de risco da informação e o seu apetite ao risco. Além
disso, os frameworks de melhores práticas e padrões são úteis apenas se
forem adotados e adaptados de forma assertiva porque existem desafios que
precisam ser superados e problemas que precisam ser resolvidos para que a
gestão estratégica de TI seja implantada com êxito, além de fornecer
orientações de como fazer.

Para as iniciativas de implementação da segurança da informação, o


guia COBIT 5 para Segurança da Informação ilustra um modelo próprio,
denominado os três componentes inter-relacionados do ciclo de vida da
implementação, cujo objetivo é de tratar a complexidade e os desafios
encontrados nessas iniciativas, considerando também os ambientes
disponíveis e adequados nas organizações. O mencionado modelo, possui sete
fases de implementação e estão agrupadas em três estágios: Gestão do
programa (anel externo), Capacitação da mudança (anel intermediário) e Ciclo
de vida de melhora continua (anel interno), conforme figura 8.

88
Governança da Segurança da Informação

Figura – 8: As sete fases do ciclo de vida da implementação

Fonte: ISACA, 2012

As sete ciclo de vida da implementação, são:

Fase 1 – Quais são os Direcionadores?


Fase 2 – Onde estamos agora?
Fase 3 – Onde queremos estar?
Fase 4 – O que precisa ser feito?
Fase 5 – Como chegaremos lá?
Fase 6 – Chegamos lá?
Fase 7 – Como manter o impulso?

Apesar de não estarem detalhadas, é possível obter todas as


informações no framework do COBIT 5. É importante mencionar que todas as
fases possuem relevância na implementação das iniciativas, sejam relativas à
segurança da informação ou não. Entretanto, na implantação da segurança da
informação, observa-se que as fases 1, 2, e 3 abordam escopos específicos e
orientações relacionados aos habilitadores já abordados neste capitulo, em
Habilitadores.

89
Governança da Segurança da Informação

A tabela 1 a seguir exemplifica o relacionamento dos escopos e


orientações com os habilitadores, conforme mencionado no parágrafo anterior.

Tabela – 1: Relacionamento das Fases do Ciclo de Vida de Implantação com os


Habilitadores e Escopos dos Habilitadores

Fases do ciclo de vida de Habilitador Escopo do habilitador


implantação relacionado

Fase 1 – Ambiente de Habilitador-1 Práticas operacionais


segurança da informação apresentadas: Avaliação
da segurança da
informação, incluindo
resultados de auditoria e
relatórios de risco.

Fase 2 – Escopo da Todos Devem ser avaliados e


segurança da informação verificados;

O escopo desta fase pode


considerar as metas dos
processos de TI
relacionado à segurança
da informação;

Considerar os cenários de
risco.

Fase 3 - Usando a Habilitador-3 Iniciativas de alto impacto


orientação de segurança da e baixo esforço (ganhos);
informação
Identificação de Gaps e
potencias soluções;

Mudanças são
necessárias para o rápido
sucesso;

Demonstrar o valor gerado


para as organizações.

Fonte: Adaptado de Souza Neto, 2012.

8.4. Gestão da segurança da informação

O COBIT 5 sustenta que as organizações implementem os processos de


governança e gestão de forma que as principais áreas de governança e gestão

90
Governança da Segurança da Informação

sejam cobertas. Essas áreas compreendem planejar, construir, executar e


monitorar (PBRM Plan, Build, Run and Monitor) para cobrir a TI fim-a-fim.

No 5º Princípio do COBIT 5 - Distinguir a Governança da Gestão – pelas


respectivas definições, fica evidenciado a diferença entre governança e gestão.
A figura 9 ilustra essa diferença e identifica os quatro domínios específicos para
Gestão no contexto da organização, são eles:

• Alinhar, Planejar e Organizar (Align, Plan and Organise – (APO)


• Construir, Adquirir e Implementar (Build, Acquire and Implement –
(BAI)
• Entregar, Serviços e Suporte (Deliver, Service and Support -
(DSS)
• Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess –
(MEA)

Figura – 9: Principais áreas de governança do COBIT 5

Fonte: ISACA, 2012

Ressalta-se que, a partir das necessidades do negócio, os processos de


governança (Monitorar, Avaliar e Analisar - domínio MEA) alimentam os
processos de gestão e, após executar PBRM, retroalimentam e fornecem
feedbacks à governança, criando valor para as partes interessadas.

Assim como o framework COBIT 5, o guia COBIT 5 para Segurança da


Informação também definem três processos específicos para Gestão da
Segurança da Informação:

• APO13 - Gerenciar a segurança da informação


• DSS04 – Gerenciar Continuidade
• DSS05 - Gerenciar serviços de segurança da informação
91
Governança da Segurança da Informação

Baseado no trabalho de Souza Neto (2012, p. 19 e 20), a título de


ilustração dos mencionados processos - APO13, DSS04 e DSS05 -, a tabela 2
consolida os objetivos de cada um, conforme definidos pelo citado autor.

Tabela 2 – Processos APO13, DSS04 e DSS05 seus objetivos

Processo Objetivos do Processo

APO13 i. Um sistema está em vigor que considera e aborda eficazmente os


requisitos de segurança da informação corporativos.

ii. Um plano de segurança foi estabelecido, aceito e comunicado a toda


a organização.

iii. Soluções de segurança da informação são implementadas e


operadas consistentemente em toda a organização.”

DSS04 i. Informações críticas de negócios estão disponíveis para o negócio


alinhadas com os níveis de serviço mínimos exigidos.

ii. Existe resiliência suficiente para serviços críticos.

iii. Testes de continuidade de serviços têm verificado a eficácia do


plano.

iv. Um plano de continuidade atualizado reflete os requisitos de


negócios correntes.

v. Partes internas e externas foram treinadas no plano de continuidade.

DSS05 i. Segurança de Redes e comunicações atendendo às necessidades de


negócio.

ii. Informações processadas, armazenadas e transmitidas por


dispositivos periféricos são protegidas.

iii. Todos os usuários são unicamente identificáveis e têm direitos de


acesso de acordo com o seu papel de negócio.

iv. Medidas físicas foram implementadas para proteger as informações


de acesso não autorizado, dano e interferência quando estiverem
sendo processadas, armazenadas ou transmitidas.

v. Informação eletrônica está adequadamente protegida quando estiver


sendo armazenada, transmitida ou destruída.

Fonte: Adaptado de Souza Neto, 2012.

Finalizando toda a abordagem deste tópico e referindo-se a Cascata de


Objetivos, apresentada no primeiro princípio do COBIT 5, a título de exemplo, a
tabela 3 permite demonstrar como os principais processos de segurança da

92
Governança da Segurança da Informação

informação (APO13, DSS04 e DSS05) se relacionam com os objetivos da TI de


forma primária, representando o quarto passo da cascata para implantar ou
aprimorar a gestão de TI nas organizações.

Tabela – 3: Relacionamento dos processos de Gestão da Segurança da Informação


com os objetivos de TI

Fonte: Adaptado de ISACA,2012.

93
Governança da Segurança da Informação

Referências Bibliográficas

ISACA. COBIT 5 for Information Security. ISACA, 2012.

Souza Neto, J. Gestão e Governança de Segurança da Informação no


Ambiente de TI. Material do curso de especialização em gestão da segurança
da informação e comunicação – CEGSIC. UNB. 2012.

Sobre os autores

Edson Vicente de Souza

Formado em Tecnólogo em Processamento de Dados,


com MBA em Gerenciamento de Projetos pela UCB,
cursando atualmente MBA em Governança em T.I pelo
UNICEUB, atuando profissionalmente desde 2006 como
Gestor de T.I.

Marcos de Oliveira Pinho

Cursando Pós-Graduação em Governança da Tecnologia


da Informação e Graduado em Tecnologia de Análise e
Desenvolvimento de Sistemas da Informação, ambos
cursos pelo Centro Universitário de Brasília – UniCEUB.
Certificado em ITIL Foundation. Filiado ao PMI
internacional e ao capítulo PMI-DF e membro Pesquisador
do ISACA Student Group (http://isg.uniceub.br).
Experiência de 16 anos em Gestão de Múltiplos Projetos
de TI. Atualmente exercendo atividades de Especialista em
Projetos no setor bancário público brasileiro.

94
Governança da Segurança da Informação

CAPÍTULO 9

O PLANEJAMENTO ESTRATÉGICO DA
SEGURANÇA DA INFORMAÇÃO – PESI

Autor: Antonio Jonathas da Costa

Por mais que a palavra “planejar” pareça ser prescindível das questões
repetitivas e rotineiras da vida, como acordar, tomar banho (não planejamos,
por exemplo, em qual ordem lavar as partes do corpo), tomar café da manhã e
dirigir-se ao trabalho ou à escola, em alguns casos, percebemos que planejar é
necessário. Já diante de outras situações, planejar é indispensável.

Numa viagem ao exterior, como ilustração, procuramos obter


informações sobre o clima no outro país, a cotação da sua moeda, onde se
hospedar, o que visitar e se há ou não exigências de visto, seguro ou vacinas
para entrarmos nele. Por meio dessas informações - e de acordo com o
período no qual vamos viajar - decidimos que tipos de roupa levar na mala
(para frio ou calor) e elaboramos os nossos roteiros (os pontos turísticos e seus
horários de funcionamento).

Da mesma maneira que as informações são importantes para os nossos


planejamentos pessoais, no mundo corporativo a atenção dada às informações
alcança níveis de importância bem acima da esfera pessoal. Como diz Sêmola
(2003, p.1), não se pode negar que todas as empresas, independentemente de
seu segmento e porte, se valem de informações na busca por produtividade,
redução de custos, agilidade e embasamento para suas ações estratégicas. Ou
seja, a informação é um dos principais patrimônios de uma organização.

Portanto, se a informação apresenta todo esse valor, faz-se necessário


que as empresas que reconhecem essa importância tenham um cuidado, uma
preocupação especial com as suas informações. E, para aquelas que estão
atentas a isso, em tese, possuir um planejamento estratégico (principalmente
da segurança das suas informações) não seria obrigatório, mas com certeza é
muito importante. “Pode-se proteger a informação sem um planejamento
estratégico? Sim, é possível. Porém, esta proteção será momentânea e não
haverá uma garantia de que ao longo do tempo esta proteção continue.”
(FONTES, 2013)

95
Governança da Segurança da Informação

De acordo, então, com essas considerações, vê-se que um


planejamento estratégico ajuda as empresas, das pequenas às multinacionais,
a lidarem com suas particularidades e complexidades: sua organização
(presidências, diretorias, a parte financeira, a comercial, a tecnológica); a
quantidade de funcionários; a abrangência da sua atuação (local, interestadual,
internacional); o tipo de trabalho (manufatura ou indústria); o ramo de atividade
(tecnologia, alimentação, vestuário) e a própria essência do negócio (comércio
de produtos ou serviços).

Outra particularidade que as empresas apresentam entre si (e que um


planejamento ajuda a cuidar) é o estágio no qual elas se encontram: umas
estão sendo criadas, outras estão em desenvolvimento e algumas orbitam na
manutenção das suas atividades. E nesse oceano de características, que as
empresas possuem, é seguro que haja mares de informações, das quais parte
delas, certamente, está sujeita a alguma vulnerabilidade.

Relembrando, entende-se por vulnerabilidades as falhas, os riscos e


fragilidades com as quais as empresas estão constantemente lidando, seja na
sua origem, desenvolvimento ou preservação. Tais perigos advêm, nas etapas
do ciclo de vida da informação, dos incontáveis ambientes (natural, econômico,
social) nos quais as organizações estão inseridas e dos diversos agentes com
os quais elas se relacionam (funcionários, investidores, clientes).

A título de exemplo, sabe-se que as informações contidas em bancos de


dados, documentos, relatórios, estudos, pesquisas, testes e etc. podem ser
afetadas por fenômenos naturais (falta de energia, incêndios, inundações,
terremotos); por guerras; pelo próprio desgaste natural dos equipamentos (pela
capacidade de processamento ou a tecnologia se tornarem ultrapassadas) e
demais. E, considerando, o aspecto humano, ainda há os ataques cibernéticos,
greves, furtos, roubos, omissões e descuidos na utilização da informação
(alterações indevidas ou até a perda), entre tantos outros.

Para um sistema de controle de objetos (cartas, telegramas, etc.) e seus


dados (remetente, destino e conteúdo), numa empresa de correios, por
exemplo, a pergunta “Como é armazenada a informação?” provavelmente terá
como resposta que é em servidores de bancos de dados. Essa resposta,
talvez, seja a mesma que um banco daria se perguntado sobre o controle das
informações das suas transferências financeiras. Contudo, cada uma dessas
atividades, devido as suas características, possui formas distintas de assegurar
a sua informação e, salvo algumas particularidades, é provável que a solução
de segurança adotada para uma não servirá para a outra.

Portanto, a priorização de ações, para lidar com os problemas que


podem afetar a segurança das suas informações, permite às empresas ir de
encontro com as boas práticas necessárias para lidar com essa questão. Mais
precisamente, elas chegam à importância de definir, de forma geral, as regras
96
Governança da Segurança da Informação

que incidirão “sobre todos os momentos do ciclo de vida da informação:


manuseio, armazenamento, transporte e descarte, viabilizando a identificação e
o controle de ameaças e vulnerabilidades.” (SÊMOLA, 2003, p.43)

Esse conjunto de regras, conforme visto nos capítulos anteriores,


constantemente estará apoiado nos princípios básicos: a Confidencialidade, a
Integridade, a Disponibilidade, a Autenticidade e a Legalidade das informações.
E foi esmiuçando cada um desses principais conceitos, até aqui, que pudemos
fazer ideia da sua complexidade, dos seus desdobramentos e da necessidade
de um plano que os contemple.

9.1 – O Plano Estratégico de Segurança da Informação

Independente da maneira como a empresa conduz a segurança das


suas informações é conveniente ter definido e organizado qual é o
direcionamento; o ponto aonde ela aspira chegar; como ela pretende se
posicionar (ou posicionar seus produtos ou serviços) no mercado; qual
abrangência ela quer dar ao seu negócio (nacional ou global) e em quais
valores (ética, confiança, eficiência, etc.) ela deseja pautar as relações com
seus funcionários, seus clientes e o meio ambiente.

Geralmente, a resposta dessas perguntas é chamada de “visão” da


empresa, o objetivo que ela visa alcançar. E, para concretizar essa vontade,
ela precisa ter estabelecido um projeto, um plano de ações. Dessa forma,
quando se olha para as empresas que se dispõem a delinear, no nível
estratégico, a maneira como elas pretendem lidar com as suas informações e a
definir quais ações necessárias para garantir a segurança dessas, nos
deparamos com o Plano Estratégico de Segurança da Informação.

Esse plano, basicamente, visa identificar qual é a situação atual da


empresa, como ela lida com a informação hoje e, a partir desse diagnóstico,
concentrar-se aonde ela quer chegar no quesito segurança e o que é preciso
fazer para realizar isso. Sérgio Manoel (2014, p.69) define:

“O Plano Estratégico de Segurança da Informação (PESI) é


um processo utilizado para desenvolver e elaborar
atividades, a fim de saber o que deve ser executado e de
qual maneira deve ser executado, para comunicar e
implantar a estratégia escolhida pela organização. Além
disso, deve responder a três perguntas básicas: onde
estamos? Para onde vamos? Como chegaremos lá?
Esse plano é (...) um dos principais fatores para o sucesso
de SI em uma organização.”

97
Governança da Segurança da Informação

No momento de esboçar esse plano, as organizações podem fazê-lo de


forma resumida, pois detalhes (como mudanças de governos, de legislação, de
fornecedores, etc.) se alteram com o passar do tempo e as ameaças à
informação, resultantes desses agentes, podem (em grau, por exemplo)
aumentar, manterem-se nos mesmos níveis ou até deixarem de existir.
Todavia, o plano precisa ser flexível e pressupor a possibilidade da mudança,
já que essa palavra é intrínseca aos variados aspectos e ambientes nos quais
a empresa está inserida, pois constantemente, novas situações surgem e
novos fatos ocorrerem.

9.2 - O processo de elaboração do Plano Estratégico de Segurança da


Informação

Mesmo sendo composto, em suma, só de direcionamentos e


orientações, é importante que o plano de segurança se ocupe de certos pontos
e atenda certas fases. Segundo Sérgio Manoel (2014, p.85) “a primeira
atividade para a elaboração do PESI é a entrevista com a alta direção e a
pesquisa sobre os objetivos estratégicos da organização”. Esse ponto inicial,
certamente, dará as primeiras orientações à base do plano de segurança, pois
ele estará baseado naquilo que desejam as pessoas que administram e
conduzem o negócio.

A participação dos dirigentes também ajuda na tomada de decisões, as


quais promovem o reconhecimento da segurança da informação como um dos
elementos que contribuem para o alcance dos objetivos estratégicos da
organização. Essas decisões auxiliam a difundir a cultura da segurança na
empresa, pois ela precisa ser adotada nos diversos setores e obter a adesão
de todos os funcionários.

Adiante, ao lembrar que segurança relaciona-se com “estabelecer


limites” - desde o simples acompanhamento de tarefas (como os registros em
folhas de ponto), até à restrição do acesso de pessoas a dados, documentos,
ao maquinário ou aos departamentos da empresa - também se vê que o plano
de segurança precisa estar focado no negócio e que esse aspecto não deve
ser atravancado pelas limitações que proporcionam segurança e trazem a
estabilidade pretendida. Portanto, os objetivos estratégicos da empresa e os
objetivos de segurança da informação devem fomentar-se, um ao outro,
constantemente.

98
Governança da Segurança da Informação

Figura 1. Alinhamento Estratégico de SI com os Objetivos Estratégicos da Organização.

Fonte: MANOEL (2014,p.90)

Ainda no processo de elaboração, como mais um andamento proposto


por Sérgio Manoel (2014, p.85), tem-se “a conformidade com leis e
regulamentos os quais a organização é obrigada a cumprir”. Concisamente,
isso equivale a buscar a adequação com as legislações gerais e específicas
que regulamentam e se relacionam com o negócio, como acordos e contratos
feitos com agentes externos, tais como: governos, outras organizações e
investidores.

9.2.1 - Diagnóstico de Gestão da Segurança da Informação

O próximo passo é o mapeamento das áreas e dos processos, para


realizar um diagnóstico de como está a situação da segurança da informação
na empresa. Esse diagnóstico, segundo Manoel (2014, p.65) “permite à
organização analisar com eficiência o estado atual do ambiente como um todo,
determinando o grau de proteção das informações, e, além disso, verificar as
principais ameaças e vulnerabilidades às quais os ativos de informação estão
expostos.”

Mas considerando as possibilidades de tipo de negócio e o estágio onde


a empresa se encontra, como definir qual informação é importante ou não para
uma empresa? Bem, como estamos falando de segurança da informação nas

99
Governança da Segurança da Informação

corporações e se a informação está presente em todos os setores, é razoável


dizer que esse diagnóstico precisa ser empregado como um todo.

Todavia pode ocorrer que, num primeiro momento, a empresa não tenha
condição de realizar um diagnóstico de maneira completa ou não saiba por
onde começar. Como lembra Fontes (2013), todas as organizações “têm
muitas vulnerabilidades e se somarmos o tempo para resolução de cada uma
delas, chegaremos na eternidade.” Com isso conclui-se, com um elevado grau
de acerto, que a empresa pode partir de uma análise das informações mais
relacionadas aos seus objetivos estratégicos ou daquelas que fazem parte da
essência do seu negócio.

E como é feito esse diagnóstico? Manoel (2014, p.65-66) recomenda


sustentar-se em um modelo de avaliação concordante com as diretrizes do
COBIT 5, visto no capítulo passado, e numa análise completa baseada nas
seções da norma ISO 27002. Ou seja, identificar qual a dimensão de
planejamento e gerenciamento, de cada processo na empresa, para aquele
modelo e como está a segurança da informação em cada item (setor ou
processo) dessa norma. Essas seções são:

“Seção A5 Política de Segurança da Informação


Seção A6 Organizando a Segurança da Informação
Seção A7 Segurança em Recursos Humanos
Seção A8 Gestão de Ativos
Seção A9 Controle de Acessos
Seção A10 Criptografia
Seção A11 Segurança Física e do Ambiente
Seção A12 Segurança de Operações
Seção A13 Segurança das Comunicações
Seção A14 Aquisição, Desenvolvimento e Manutenção de
Sistemas de Informação
Seção A15 Relacionamento com Fornecedores
Seção A16 Gestão de Incidentes de Segurança da
Informação
Seção A17 Aspectos da Segurança da Informação para a
Gestão de Continuidade de Negócios
Seção A18 Conformidade”

9.2.2 - Gestão de Riscos de Segurança da Informação

Após o diagnóstico de como é feita a gestão da segurança parte-se para


um nível mais específico de levantamento, que consiste em identificar os riscos
aos quais estão sujeitos um ou alguns elementos em particular da organização;
quais são as ações de segurança que ela adota para tratar esse(s) risco(s) e se
essas ações são ou não satisfatórias. Em essência, essa investigação procura
definir o objeto, analisar e avaliar seu risco.

100
Governança da Segurança da Informação

Na definição desse objeto, que será pesquisado, é possível tomar em


análise toda organização, um setor dela, um processo ou somente uma
determinada informação. E, a partir dessa definição, estabelecer os critérios
para avaliá-lo e qual o nível de risco aceito para ele.

Já na fase de análise e avaliação são identificados esses riscos e quais


são os seus níveis, baseando-se nos princípios da segurança da informação
para verificar se há riscos de confidencialidade, integridade e disponibilidade
para cada item analisado.

Feita essa sondagem, de acordo com Manoel (2014, p.72-73) parte-se


para o tratamento dos riscos encontrados, “considerando as opções de reduzir,
evitar, transferir ou aceitar o risco, observando:

- eficácia dos controles de Segurança da Informação já existentes;

- restrições organizacionais, técnicas e estruturais de cada organização;

- requisitos legais; e

- análise de custo-benefício.”

Consolidando as etapas de elaboração do PESI, Manoel (2014, p.86)


propõe a realização de um levantamento, de cenários ou ambientes
denominado, SWOT, analisando as Forças (S - Strength), as Fraquezas (W -
Weakness), as Oportunidades (O - Opportunities) e as Ameaças (T - Threat).
Ao dividir essa análise em ambientes interno e externo, o SWOT pontua que o
exame das forças e fraquezas estão relacionados, geralmente, com os
aspectos internos da empresa, enquanto as oportunidades e ameaças apontam
para os elementos externos.

Conforme a Figura 2 pode-se ver um exemplo dos pontos analisados em


uma empresa conforme a matriz SWOT. Terminado esse estudo, a
organização delimita as ações necessárias para reduzir ou eliminar as suas
fraquezas e potencializar as suas qualidades.

101
Governança da Segurança da Informação

Figura 2. Exemplo de Análise SWOT para uma Empresa.

Fonte: MANOEL (2014, p.86, adaptado)

Assim, desses feitos, obtemos o Plano Estratégico de Segurança da


Informação, que como já foi dito, é de grande importância para propiciar às
organizações um melhor desempenho em alcançar os seus objetivos
estratégicos. Além da importância em garantir a segurança das informações
nas empresas, cabe lembrar que o planejamento é um processo contínuo.
Como lembra Sêmola (2001, p.12), investir em segurança é “a fronteira entre
continuar crescendo ou estar fadado à regressão e possivelmente à
descontinuidade.”

9.3 - Períodos de Planejamento

Por fim, para facilitar o acompanhamento e a evolução do plano de


segurança Manoel (2014, p.104-105) propõe separá-lo em períodos diferentes,
com diferentes atividades em cada um. Cada uma dessas fases relaciona-se
naturalmente com os estágios que a empresa percorre durante a implantação
do PESI (Figura 3).

- Inicialmente, a empresa define, implanta e divulga o seu plano de


segurança e inicia as primeiras ações de identificação e redução
dos riscos;

- Depois, ao ter tratado suas principais ameaças e fraquezas (e já


com certa vivência da administração da segurança das suas
informações), a empresa deve buscar a conformidade com as leis
e regulamentos relacionados a sua atividade, como também,

102
Governança da Segurança da Informação

instituir essa regulamentação (na forma de documentos e normas)


dentro do seu ambiente;

- Já num último momento, quando estiverem satisfatoriamente


estruturadas as suas ações de segurança da informação, a
empresa se concentrará em ajustar seus processos para propor os
planos de continuidade do negócio.

Figura 3. Evolução do Plano Estratégico de Segurança da Informação.

Fonte: MANOEL (2014,p.105, adaptado)

Satisfeita a etapa de criação e acompanhamento do plano estratégico, a


empresa terá um terreno preparado para desenvolver a sua Política de
Segurança da Informação. Essa política trará a especificação detalhada
“através de Diretrizes, Normas, Procedimentos e Instruções que irão oficializar
o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores
práticas para o manuseio, armazenamento, transporte e descarte de
informações (...).” (SÊMOLA, 2003, p.34).

O detalhamento dessas ações de segurança será o refinamento, a


especificação detalhada daqueles aspectos macros tratados aqui, no Plano
Estratégico de Segurança da Informação.

103
Governança da Segurança da Informação

Referências Bibliográficas

FONTES, Edison. IT Fórum 365. Planejamento Estratégico da Segurança da


Informação. Ago. 2013. Disponível em:
http://itforum365.com.br/blogs/post/173/planejamento-estrategico-da-
seguranca-da-informacao. Acesso em: 02/10/2015.

MANOEL, Sérgio da Silva. Governança de Segurança da Informação: como


criar oportunidades para o seu negócio. Rio de Janeiro: Editora Brasport, 2014.

MANOEL, Sérgio da Silva. PESI – Plano Estratégico de Segurança da


Informação. Disponível em: http://pt.slideshare.net/ModuloSecurity/plano-
estratgico-de-segurana-da-informao. Acesso em: 05/10/2015.

SÊMOLA, Marcos. Analisando Vários Tópicos da Política de Segurança -


Developers Magazine, ano V, número 54, p.10-13, Fevereiro 2001.

SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da


segurança da informação aplicada ao Security Officer. 2ª edição. Rio de
Janeiro: Editora Campus, 2003.

Sobre o autor

Antonio Jonathas da Costa Jr.

Assessor, na área de Informação, no Banco do Brasil.


Graduado em Comunicação Social pela Universidade
Católica de Brasília, Pós-Graduado em Comércio Exterior
e Pós-Graduando em Governança de TI pelo UniCEUB.

104
Governança da Segurança da Informação

CAPÍTULO 10

PLANO DIRETOR DE SEGURANÇA DA


INFORMAÇÃO
Autor: Felipe Vasconcelos de Souza

1. Introdução

Segundo Sêmola (2001), o Plano Diretor de Segurança da Informação


(PDSI) é mais que um orçamento, pois o plano deve suportar as novas
necessidades de segurança que emergem devido à velocidade das mudanças
nos fatores físicos, tecnológicos e humanos.

Ainda de acordo com Sêmola (2001), a modelagem inicial do PDSI está


relacionada com ações de obtenção de informações negociais, de forma a
identificar ameaças, vulnerabilidades, riscos e impactos potenciais para o
negócio. O PDSI deve especificar as ações e atividades a serem feitas durante
sua vigência, contribuindo para a minimização dos riscos e para o alcance do
nível de segurança projetado pelo negócio e levando em conta o modelo de
gestão corporativa da segurança da informação.

Em analogia com a medicina, Sêmola (2001) argumenta que não há um


modelo de PDSI que atenda a todo tipo de empresa, mesmo que sejam do
mesmo porte ou do mesmo segmento de mercado. Do mesmo modo que um
paciente recebe uma receita única e personalizada para a enfermidade, fatores
como: ameaças, riscos, sensibilidade e vulnerabilidades físicas, humanas e
tecnológicas tornam o problema único.

A modelagem do Plano Diretor de Segurança da Informação será


dividida em 6 etapas, consolidando as visões de Manoel (2014) e Sêmola
(2003): mapeamento das áreas e dos processos de negócio, mapeamento da
relevância, estudo de impactos CIDAL, estudo de prioridades GUT, estudo de
perímetros e estudo de atividades. Convém destacar que Sêmola (2003)
chama a primeira etapa de “identificação dos processos de negócio” e começa
a análise diretamente nos processos de negócio. Por outro lado, Manoel
(2014), coloca os mapeamentos de relevância, impacto e prioridade como
subtópicos da etapa de mapeamento dos processos do negócio.

105
Governança da Segurança da Informação

2. Mapeamento das áreas e dos processos de negócio

Manoel (2014), utiliza o termo “área” para se referir a um setor ou


departamento da organização, como, por exemplo, a área de recursos
humanos.

Conforme Manoel (2014), após a identificação das áreas, mapeia-se


também o responsável por ela (cargo e nome) e a importância dela para o
objetivo estratégico da organização. A avaliação da importância deve ser feita
de forma independente e por quem conhece todos os processos de negócio,
pois, se o responsável de cada área for entrevistado, ele dirá que a área sob
responsabilidade dele é a mais relevante para a organização.

Quadro 1 – Relevância da área da organização

Relevância da área Auxílio de interpretação


A interrupção das operações da área causa
1 Muito baixa
impactos irrelevantes para a organização.
A interrupção das operações da área causa
2 Baixa
impactos apenas consideráveis para a organização.
A interrupção das operações da área causa
3 Média impactos parcialmente significativos para a
organização.
A interrupção das operações da área causa
4 Alta
impactos muito significativos para a organização.
A interrupção das operações da área causa
5 Muito alta impactos incalculáveis, podendo comprometer a
continuidade da organização.

Fonte: adaptado de Manoel (2014).

Convém destacar que Sêmola (2003) chama esta etapa de “identificação


dos processos de negócio” e começa a análise diretamente por esses
processos. Com o envolvimento dos principais gestores com representatividade
na empresa, elencam-se os processos de negócio críticos que farão parte das
atividades que comporão a solução. Parte-se da premissa de que as ações de
segurança devem focar o negócio e as informações que o sustentam.

A identificação dos processos críticos pode se dar com base nos


resultados financeiros e estratégicos resultantes. Com isso, é importante o

106
Governança da Segurança da Informação

envolvimento dos gestores que possam compartilhar informações sobre esses


processos, indo além dos aspectos operacionais.

Esse mapeamento inicial, segundo Sêmola (2003), dos processos de


negócio busca representar perímetros com funções e características
explicitamente específicas, justificando assim ações personalizadas. Com isso,
espera-se que os processos negociais críticos para a empresa sejam
mapeados, que sejam identificados os gestores-chave desses processos, que
comece a integração e o comprometimento dos gestores-chave envolvidos e
que inicie-se a compreensão quanto ao funcionamento do negócio.

Figura 1 – Mapa de relacionamento entre processos de negócio e


infraestrutura

Fonte: adaptado de Sêmola (2003).

3. Mapeamento da Relevância

Nesta fase, após o conhecimento de como o negócio funciona, é feito o


mapeamento da relevância dos processos críticos, de forma a evitar distorções
ao priorizar as atividades que farão parte da solução.

Segundo Sêmola (2003), para que o mapeamento seja adequado, deve-


se envolver um ou mais gestores que conheçam o funcionamento global do
negócio sem envolvimento direto nem exclusivo com um ou mais processos

107
Governança da Segurança da Informação

específicos ou que sejam imparciais no momento da ponderação da


importância, pois esta servirá como referência das ações nas etapas
seguintes.

Ainda de acordo com Sêmola (2003) e Manoel (2014), uma forma de


mensurar a relevância do processo é usando uma escala de 1 a 5, em que,
quanto mais próximo do 5, maior é a relevância.

Quadro 2 – Escala de relevância do processo da área da organização

Relevância do Auxílio de interpretação


processo
A interrupção do processo causa impactos
1 Muito baixa
irrelevantes para a organização.
A interrupção do processo causa impactos apenas
2 Baixa
consideráveis para a organização.
A interrupção do processo causa impactos
3 Média
parcialmente significativos para a organização.
A interrupção do processo causa impactos muito
4 Alta
significativos para a organização.
A interrupção do processo causa impactos
5 Muito alta incalculáveis, podendo comprometer a continuidade
da organização.

Fonte: adaptado de Manoel (2014)

Como resultado desta etapa, esperam-se que os processos de negócio


críticos tenham a relevância mapeada, que os gestores com visão global do
negócio sejam envolvidos e que tenha-se a percepção dos fatores importantes
considerados por esses gestores.

4. Estudo de Impactos CIDAL

De acordo com Sêmola (2003), esta etapa aponta a sensibilidade de


cada processo crítico numa possível quebra de segurança, especificamente
dos conceitos de integridade, confidencialidade e disponibilidade e dos
aspectos de autenticidade e legalidade.

108
Governança da Segurança da Informação

São feitas entrevistas isoladas com o gestor de cada processo e são


aplicados os mesmos critérios de classificação definidos no mapeamento da
relevância, mas, desta vez, sem levar em conta o negócio como um todo.

O entendimento de como o processo reagiria na possibilidade de quebra


dos três conceitos e dois aspectos de segurança da informação é um
detalhamento importante que ajuda a modelar e dimensionar o PDSI.

Quadro 3 – Escalas para classificação de sensibilidade dos processos


do negócio

Conceitos Aspectos

Classificação de
Confidencialidade Integridade Disponibilidade Autenticidade Legalidade
impacto

1 Muito baixo

2 Baixo

3 Médio

4 Alto

5 Muito alto

Fonte: adaptado de Sêmola (2003) e Manoel (2014).

Como resultados desta etapa, esperam-se que cada processo do


negócio tenha a sensibilidade CIDAL classificada, que os gestores com visão
isolada de processos específicos sejam envolvidos e que tenha-se a percepção
dos fatores importantes considerados por esses gestores.

5. Estudo de prioridades GUT

Segundo Sêmola (2003), nesta etapa, ainda reunidos individualmente


com o principal gestor de cada processo considerado crítico, estudam-se e
pontuam-se as prioridades desses processos usando a matriz GUT: gravidade,
urgência e tendência. A definição da prioridade final considera a multiplicação
dos valores obtidos em cada dimensão do GUT.

Na dimensão gravidade, é considerada a severidade dos impactos


associados direta e exclusivamente ao processo de negócio analisado. Nessa
dimensão, o questionamento é quão severo seria para o processo de negócio
se qualquer um dos conceitos (confidencialidade, integridade e disponibilidade)
e aspectos (autenticidade e legalidade) fosse atingido e causasse a quebra da
segurança da informação. Como exemplo de Sêmola (2003), como o processo

109
Governança da Segurança da Informação

de aprovação de crédito de uma instituição financeira seria afetado se a base


de dados dos clientes estivesse corrompida (integridade afetada)?

Na dimensão urgência, é considerado o tempo de duração dos impactos


associados direta e exclusivamente ao processo de negócio analisado. Nessa
dimensão, questiona-se quão urgente seria para solucionar os efeitos da
quebra de segurança da informação, independente do conceito ou aspecto
afetado, e para diminuir os riscos do processo de negócio em análise. Citando
o exemplo de Sêmola (2003), como o processo de aprovação de crédito de
uma instituição financeira seria afetado se a base de dados dos clientes ficasse
corrompida por 2 dias seguidos?

Já a dimensão tendência considera a variação da importância dos


impactos associados direta e exclusivamente ao processo de negócio
analisado. Nessa dimensão, questiona-se a tendência dos riscos de segurança
se nenhuma atividade preventiva ou corretiva for feita, tendo em consideração
os planos de curto, médio e longo prazos vinculados à evolução do processo
de negócio em análise. Citando o exemplo de Sêmola (2003), como o processo
de aprovação de crédito de uma instituição financeira seria afetado se a base
de dados dos clientes fosse corrompida a curto, médio e longo prazos?

Nesse estudo de prioridade, cada dimensão é pontuada de 1 a 5, em


que, quanto mais próxima do 5, maior a priorização. As expressões usadas na
escala devem ser lidas com cuidado, pois não devem ser lidas isoladamente,
mas devem ser uma forma de medir a importância de cada processo do
negócio.

Quadro 4 – Escala para classificação de prioridade dos processos do


negócio
Gravidade Urgência Tendência

1 Sem gravidade 1 Sem pressa 1 Não vai agravar

Vai agravar a longo


2 Baixa gravidade 2 Tolerante à espera 2
prazo
O mais cedo Vai agravar a
3 Média gravidade 3 3
possível médio prazo
Com alguma Vai agravar a curto
4 Alta gravidade 4 4
urgência prazo
Altíssima Vai agravar
5 5 Imediatamente 5
gravidade imediatamente

Fonte: adaptado de Sêmola (2003).

110
Governança da Segurança da Informação

Como resultados desta etapa, espera-se que cada processo de negócio


tenha a prioridade mapeada e que as características desses processos sejam
percebidas considerando as dimensões da matriz GUT.

6. Estudo de perímetros

Segundo Sêmola (2003), nesta etapa, considerando o perfil técnico de


atividades que formarão a solução corporativa de segurança da informação,
são identificados os alvos de infraestrutura relacionados direta e indiretamente
com cada processo de negócio tratado individualmente. Também são
estudados os ativos responsáveis por sustentar cada um dos processos de
negócio.

Figura 2 – Representação hipotética da divisão da empresa em processos de


negócio e os agrupamentos baseados na similaridade dos ativos físicos, tecnológicos e
humanos que os sustentam direta ou indiretamente

Fonte: adaptado de Sêmola (2003).

Com o mapeamento de processos realizado, têm-se os pontos de dor,


sua localização e os possíveis impactos caso sejam afetados. Considerando os
conceitos (confidencialidade, integridade e disponibilidade) e aspectos
(autenticidade e legalidade) da segurança da informação, conforme Sêmola
(2003), “os ativos possuem vulnerabilidades que deverão ser eliminadas,
minimizadas e administradas pelas ações dos controles de segurança”.

Ainda conforme Sêmola (2003), ao contrário das atividades anteriores,


nesta etapa os principais gestores das áreas técnica e tática são entrevistados
e esses levantam números e informações topológicas, físicas e tecnológicas

111
Governança da Segurança da Informação

associadas direta e indiretamente com os processos de negócio. Pode-se, por


exemplo, solicitar planta baixa do ambiente físico, mapas topológicos e
inventário de equipamento, sistema ou aplicação nas diversas plataformas.

Como esta etapa busca identificar os ativos que sustentam o


funcionamento do negócio, o que for importante para a operação do ativo deve
ser relacionado, inclusive com identificação do funcionamento, como relação de
intercâmbio de informações e fluxo de dados.

7. Estudo de atividades

Conforme Sêmola (2003), nesta etapa, começa-se a elaboração do


PDSI, informando as atividades e projetos necessários e o momento temporal
desses, considerando-se a prioridade conseguida baseada na percepção de
relevância dos processos negociais.

Manoel (2014) sugere uma fórmula para calcular a criticidade de um


processo e, consequentemente, indicar aqueles que exigirão mais atenção
quanto à Segurança da Informação.

Quadro 5 – Cálculo da criticidade de um processo

Classificação do impacto = Confidencialidade X Integridade X Disponibilidade/3


Classificação de prioridade = Gravidade X Urgência X Tendência/3
Criticidade = Classificação do impacto X Classificação de prioridade X relevância do processo

Fonte: Manoel (2014).

Quadro 6 – Nível de criticidade de um processo

Nível Pontuação da criticidade

Baixo 0 a 2801

Médio 2802 a 5602

Alto 5603 a 8405

Fonte: adaptado de Manoel (2014).

Convém destacar que, para facilitar o entendimento do estudo de


impacto, Manoel (2014) desconsidera, no cálculo da criticidade, os aspectos de
autenticidade e legalidade sugeridos por Sêmola (2003). Assim, a

112
Governança da Segurança da Informação

desconsideração desses (autenticidade e legalidade) pode mudar o nível de


criticidade associado a um processo de negócio.

De acordo com Sêmola (2003), nesta etapa também são planejadas as


ações coordenadas que acontecerão nos ambientes e perímetros isolados,
levando em conta as diretrizes de segurança da companhia. Além disso,
ocorrem reuniões para interpretação das informações obtidas e comparação
destas com os planos de negócio, com os recursos disponíveis e com patamar
de segurança atual versus o recomendado para dada atividade.

Segundo Sêmola (2003), em paralelo ao levantamento de informações e


diagnóstico, recomenda-se iniciar a formação do Comitê Corporativo de
Segurança. Ele deve ter as responsabilidades de planejamento, monitoração e
execução definidas. Também deve ser posicionado no organograma da
companhia e ser oficializado. Esse comitê é composto de representantes das
várias áreas estratégicas, contemplando especialidades e visões diferentes; e
será responsável por organizar, concentrar e planejar as ações de segurança,
podendo redirecionar os planos conforme as mudanças físicas, humanas ou
tecnológicas venham a ocorrer. Resumindo, segundo Sêmola (2003), o Comitê
Corporativo de Segurança é uma “espinha dorsal” e “deve ser consistente,
dinâmico e flexível para representar oficialmente os interesses da empresa
perante os desafios do negócio”.

De acordo com Sêmola (2003), o Security Officer é “mediador,


orientador, questionador, analisador de ameaças, riscos, impactos e do
consequente estudo de viabilidade dos próximos passos”. Conforme Fontes
(2008), entre os papeis e responsabilidades do Security Officer, estão o
fornecimento de meios (políticas, regras, conscientização) para que a
segurança da informação de fato ocorra na organização; buscar soluções
considerando o porte, o negócio e o momento atual da organização e trabalhar
de modo coerente, paralelo e complementar à auditoria.

Já o Comitê Interdepartamental de Segurança tem abrangência menor e


tem como papeis mensurar os resultados em ambientes específicos, relatar
necessidades novas e situações que possam comprometer a informação e
seguir as diretrizes no Comitê Corporativo de Segurança.

8. Um caso real

Uma questão com a qual a indústria sempre se depara é se os hackers


são bons ou ruins para a indústria de jogos. No caso da Sony, ela enfrentou
problemas quando um programador, George Hotz, conseguiu obter acesso
pleno ao PlayStation 3 e compartilhou sua descoberta.

113
Governança da Segurança da Informação

Se por um lado pioneiros nos jogos de computador veem valor no hacker


ético, por outro fabricantes de consoles, que dependem da venda de hardware
proprietário, costumam tratar hackers como uma ameaça. No caso da Sony,
por meio do OtherOS do PS3, Hotz conseguiu acessar o sistema de memória e
processador do PS3.

A fabricante havia anunciado o OtherOS como funcionalidade na


primeira versão do PS3 em 2006. Essa funcionalidade permitia que o dono do
PS3 pudesse jogar, assistir filmes, ver fotos, ouvir música e executar um
sistema operacional Linux, transformando o PS3 em um computador
doméstico. Mas após a divulgação de Hotz, a Sony entendeu que a segurança
do sistema havia sido comprometida e temia que usuários executassem jogos
ilegais. Alegando preocupações com a segurança, a Sony liberou uma
atualização de firmware que desabilitava o OtherOS e processou Hotz.

Mas a ação da Sony fez com que o grupo Anonymous “adotasse” a


causa. Citando violação dos direitos de privacidade, o Anonymous
desencadeou um ataque de negação de serviço contra os websites da Sony e
organizou boicotes e protestos mundiais contra a companhia em março de
2011.

Mas a guerra estava longe do fim. Em 19 de abril de 2011, técnicos da


Sony descobriram um problema no PlayStation Network, um sistema de jogos
online contendo dados pessoais das contas de 77 milhões de consumidores. A
equipe constatou que 4 dos 30 servidores de rede estavam se reiniciando sem
explicação e sujeitos a uma atividade não planejada e incomum. Após desligar
esses servidores e descobrir outros 6 possivelmente comprometidos, a Sony
desligou toda a PlayStation Network.

Após a análise de peritos, a Sony confirmou que intrusos conseguiram


acesso não autorizado, inclusive apagando arquivos de log para encobrir os
rastros. Embora a Sony não tenha sido capaz de determinar se informação de
cartão de crédito havia sido roubada, a brecha, tornada pública em 26 de abril
de 2011, causou certo temor em consumidores e políticos, que mais tarde
pediram ao Congresso dos EUA uma investigação.

As coisas ainda haviam de piorar. Uma equipe técnica da Sony avaliou a


infraestrutura de rede dos servidores para o SOE (Sony Online Entertainment)
e descobriram uma brecha que pode ter potencialmente exposto dados das
contas de cerca de 25 milhões de consumidores, incluindo nome, endereço e
senha. Em resposta aos questionamentos do Congresso dos EUA, a Sony
alegou que os ataques foram uma represália pela imposição dos direitos de
propriedade intelectual.

114
Governança da Segurança da Informação

Em resposta aos ataques, a Sony anunciou planos para fortalecer as


medidas de segurança, como monitoração automatizada via software, aumento
da proteção de dados, firewalls, a mudança do sistema para um novo
datacenter e a nomeação de um novo chefe para o escritório de segurança da
informação.

A questão sobre o que os consumidores deveriam fazer com os produtos


que ele adquire, sobre quem controla o console do videogame permanece e vai
além da indústria de jogos. Seria como se um fabricante de computador
dissesse que não se pode executar um programa a menos que seja autorizado.

O caso ressalta a importância de um PDSI, especialmente em saber que


processos de negócio seriam afetados - e em que intensidade - no caso de
quebra de confidencialidade ou disponibilidade em um servidor.

115
Governança da Segurança da Informação

Referências

FONTES, E. Praticando a Segurança da Informação. Rio de Janeiro: Brasport,


2008.
KUSHNER, D. How Sony’s Antipiracy Approach Made It a Hacker Target.
Disponível em http://spectrum.ieee.org/consumer-electronics/gaming/how-
sonys-antipiracy-approach-made-it-a-hacker-target, acesso em 27 de setembro
de 2015.
MANOEL, S. S. Governança de Segurança da Informação – Como criar
oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014.
SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. Rio
de Janeiro: Elsevier, 2003. 12ª tiragem.
SÊMOLA, M. Plano diretor de segurança: fator crítico de sucesso. Coluna
Firewall – IDGNow, 2001. Disponível em
http://www.semola.com.br/disco/Coluna_IDGNow_30.pdf, acesso em 27 de
setembro de 2015.

Sobre o autor

Felipe Vasconcelos de Souza

Bacharel em Ciência da Computação, tem


certificação ITIL v3 Foundation, trabalhou na
área de tecnologia da Caixa Econômica Federal,
no processo de Gerenciamento de Mudanças, e
atualmente está na área de tecnologia do Banco
do Brasil.

116
Governança da Segurança da Informação

CAPÍTULO 11

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Autores: André Alves Antunes

Vitor Rebello Moreira

1 Introdução

1.1 O que é POSIC?

Segundo ISO/IEC 27002 (2013 apud FERRER, 2014, p.19), o objetivo


primordial de uma PSIC é prover orientação da Direção e apoio para a
segurança da informação de acordo com os requisitos do negócio e com as leis
e regulamentações relevantes.

Conforme Castro (2012 apud FERRER, 2014, p.20), a Política de


Segurança da Informação é basicamente um manual de procedimentos que
descreve como os recursos de que manipulam as informações da empresa
devem ser protegidos e utilizados, e é o pilar da eficácia da Segurança da
Informação, estabelecendo investimentos em recursos humanos e
tecnológicos.

1.2 Para que serve?

De acordo com Nakamura e Geus (2003 apud FERRER, 2014, p.20),

“A elaboração da Política de Segurança deve considerar os


processos, os negócios, toda e qualquer legislação que os
envolva, os aspectos humanos, culturais e tecnológicos da
organização. Ela servirá de base para a criação de normas e
procedimentos que especificaram as ações no nível micro do
ambiente organizacional, além de ser facilitadora e simplificadora
do gerenciamento dos demais recursos da organização.”

1.3 Resultados da implantação bem sucedida

Conforme TCU (2007) “O sucesso da POSIC está diretamente


relacionado com o envolvimento e a atuação da alta administração. Quanto

117
Governança da Segurança da Informação

maior for o comprometimento da gerência superior com os processos de


elaboração e implantação da POSIC, maior a probabilidade de ela ser efetiva e
eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.”

Logo, uma política de segurança da informação implantada com sucesso


torna a empresa assegurada do mal uso de seus dados e faz com que os seus
colaboradores mais propícios a terem um melhor rendimento no trabalho.

Seu sucesso está diretamente relacionado ao envolvimento da alta


administração e gerências superiores na elaboração e implantação na
organização.

1.4 Consequências da não implantação

Em Santo (2010) vamos encontrar que

Os riscos associados à falta de segurança é o que pode ser


perdido, por exemplo, com um bug em seu banco de dados, os
hackers podem se beneficiar destas falhas e conseguir se
infiltrarem no sistema da organização. Dentro do sistema da
empresa eles tem acesso a todos a dados relacionados à
empresa, bem como dados de seus clientes. Por esse fato para
adotar uma política de segurança da informação deve-se levar em
conta isso. Além de fatores naturais como incêndios, inundações,
terremotos.

Sobre os benefícios esperados, Santo(2010) explica:

Os benefícios esperados são evitar vazamentos, fraudes,


espionagem comercial, uso indevido, sabotagens e diversos
outros problemas que possam prejudicar a empresa. A segurança
visa também aumentar a produtividade dos funcionários através
de um ambiente mais organizado e viabilizar aplicações críticas
das empresas. Os custos de implantação dos mecanismos variam
de acordo com o que a organização pretende implementar.

1.5 Diretriz, norma e procedimento.

De acordo com IMA (2015), Diretriz está no nível estratégico e é definida como:

Documento elaborado pelo comitê de segurança da informação


com base no planejamento estratégico corporativo e informacional
descrito pela alta administração da empresa. A partir dela é que

118
Governança da Segurança da Informação

são elaboradas e definidas as normas e procedimentos de


segurança da informação.

Norma para IMA (2015) está no nível tático e é definida como:

Especificação da forma e controle em que será feita a segurança


da informação na organização de uma forma tática. Cada norma
está associada a uma diretriz e aquela origina diversos
procedimentos.

Já o Procedimento, IMA (2015) classifica como operacional e é definido como:

A descrição de um padrão operacional que deve ser executado


para atingir uma finalidade em um instrumento de manuseio de
baixa complexidade. Cada procedimento é documentado originado
a partir de uma norma.

Figura 01 – Níveis da Segurança da Informação

Fonte: adptado de http://www.tic.rs.gov.br/upload/GD_20140214144749seguranca.jpg

119
Governança da Segurança da Informação

2 Política de Segurança da Informação

Segundo o site AnalistaTI5, para implementar uma política de segurança da


informação é necessário seguir os seguintes passos:

2.1 Planejamento e avaliação do perfil da empresa


Analisar o que deve ser protegido, tanto interno como externamente.

2.2 Aprovação da política de segurança pela diretoria.


Garantir que a diretoria apoie a implantação da política.

2.3 Análise interna e externa dos recursos a serem protegidos.


Estudar o que deve ser protegido, verificando o atual programa de segurança
da empresa, se houver, enumerando as deficiências e fatores de risco.

2.4 Elaboração das normas e proibições, tanto física, lógica e humana.


Nesta etapa devemos criar as normas relativas à utilização de programas,
utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos,
bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos,
etc.

2.5 Aprovação pelo Recursos Humanos


As normas e procedimentos devem ser lidas e aprovadas pelo departamento
de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos
funcionários da organização.

2.6 Aplicação e Treinamento da Equipe


Elaborar um treinamento prático com recursos didáticos, para apresentar a
política de segurança da informação, recolhendo declaração de
comprometimento dos funcionários. A política deve ficar sempre disponível
para todos os colaboradores da organização.

2.7 Avaliação Periódica


A política de segurança da informação deve ser sempre revista, nunca pode
ficar ultrapassada.

2.8 Feedback
A organização deverá designar um colaborador específico para ficar
monitorando a política, a fim de buscar informações ou incoerências, que

5
Política de Segurança da Informação – Como fazer?, disponível
em:<http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/> Acesso em: 05 de
outubro de 2015

120
Governança da Segurança da Informação

venham a alterar o sistema, tais como vulnerabilidades, mudanças em


processos gerenciais ou infraestrutura.

2.9 Atenção à novas tecnologias

O setor de TIC deve estar sempre atendo à novas tecnologias e


demandas externas, para poder analisar e atualizar constantemente a POSIC
da empresa, um exemplo é a utilização indiscriminada de dispositivos móveis
(smartphones e tablets) dentro da empresa, também conhecida como
Consumerização de TI e o uso de Aplicativos móveis de Mensagens de Texto e
Voz, tudo deve estar bem definido, com regras claras na Política de Segurança
da Informação.

3 Ciclo de Vida de Política de Segurança da


Informação

A imagem abaixo apresenta o ciclo de vida da POSIC:

Figura 02 – Ciclo de Vida da Política de Segurança da Informação

Fonte 6

6
Fonte: adaptado de http://image.slidesharecdn.com/consultcorp-f-securecyberoamhsc-palestra-
comoevitarosriscoslegaisnaeradigital-consult-150316065441-conversion-gate01/95/consultcorp-
fsecure-cyberoam-hsc-palestra-poltica-de-segurana-da-informao-como-evitar-os-riscos-legais-na-era-
digital-consult-16-638.jpg?cb=1426489145

121
Governança da Segurança da Informação

1. Estabelecida: A POSIC é estabelecida pelo CISM (veja capitulo 3). Em


seguida, ela é discutida com a diretoria para que a sua aprovação seja obtida.
2. Implementada: Posteriormente, ela deverá ser implementada e o
responsável é o CISP (veja capitulo 3). Sendo assim, baseado nas definições
apresentadas pelo CISM, o CISP deverá implantar.
3. Monitorada: Ao atingir o monitoramento o CISA irá auditar e verificar se os
procedimentos estão sendo seguidos conforme recomendado e implementado.
4. Analisada Criticamente: No próximo passo, a política será analisada
criticamente por todos os responsáveis (CISM, CISP, CISA e diretoria).
5. Melhorada: Caso seja identificada alguma melhoria, entra-se na próxima
etapa que é realizar a melhoria. Com isso, todos os responsáveis citados
anteriormente irão realizar todos os procedimentos do ciclo novamente.

122
Governança da Segurança da Informação

4 Referências

SIMÕES, José Carlos Ferrer. ANÁLISE DA MATURIDADE DA POLÍTICA DE


SEGURANÇA DA INFORMAÇÃO DOS ÓRGÃOS DA ADMINISTRAÇÃO
PÚBLICA FEDERAL DIRETA. 2014. Disponível em: repositorio.uniceub.br

TCU, (2007). Boas Práticas de Segurança da Informação 2ª edição,


disponível em <http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF>
Acesso em: 06 de outubro de 2015.

SANTO, Adrielle Fernanda Silva do Espírito. SEGURANÇA DA


INFORMAÇÃO, disponível em:
<http://www.ice.edu.br/TNX/encontrocomputacao/artigos-
internos/aluno_adrielle_fernanda_seguranca_da_informacao.pdf > Acesso em:
06 de outubro de 2015.

IMA. Informática de Municípios Associados S/A. Política de Segurança,


disponível em: <http://www.ima.sp.gov.br/politica-de-seguranca-da-informacao>
Acesso em: 05 de outubro de 2015.

Sobre os autores

André Alves Antunes

Formado em Análise e Desenvolvimento de Sistemas e


pós-graduando em Governança de TI pelo UniCEUB, ex-
funcionário público e, atualmente, concurseiro.

Vitor Rebello Moreira.

Formado em Ciência da Computação. Atualmente trabalha


com serviços de TI e está a 5 anos no mercado de
Tecnologia da Informação

123
Governança da Segurança da Informação

124
Governança da Segurança da Informação

CAPÍTULO 12

PLANO DE CONTINUIDADE DE NEGÓCIOS

Autor: Leandro Lima Raineri

Introdução

As operações das organizações sempre foram e serão vulneráveis a


uma vasta gama de riscos e impactos que podem ser ocasionados tanto por
desastres (inundações, terremotos, furacões, atentados terroristas, etc) como
por pequenos incidentes (quedas de energia, falhas de sistema, vírus de
computador, etc). Estes eventos podem acarretar a interrupção parcial ou total
das atividades da organização. Segundo o Departamento de Segurança da
Informação e Comunicações ligados a Presidência da República (DSIC -
Norma Complementar 04):

Riscos de Segurança da Informação e Comunicações – potencial


associado à exploração de uma ou mais vulnerabilidades de um
ativo de informação ou de um conjunto de tais ativos, por parte de
uma ou mais ameaças, com impacto negativo no negócio da
organização.

Falhas são inevitáveis, mas o impacto das falhas, o colapso do sistema,


a interrupção no fornecimento do serviço e a perda de dados, podem ser
evitados pelo uso adequado de técnicas viáveis, normatizadas e disponíveis no
mercado. Conforme Wheatman (2001):

Muitas organizações que sofrem uma interrupção de suas


atividades devido a um desastre nunca se recuperam e 40% das
empresas que passaram por essa situação encerraram as
atividades num prazo de até 5 anos. Por outro lado, apesar de
todos esses indicadores, ainda há organizações que não dão a
devida atenção ao assunto, o que pode ser temerário.

Torna-se imprescindível conhecer os problemas potencialmente


provocados por falhas no sistema, soluções existentes para evitar falhas ou
recuperar o sistema após um evento, assim como o custo associado a essas
soluções, nas grandes organizações que prestam serviço por meio eletrônico.

Para desenvolvedores de software, projetistas de hardware e


administradores de rede, o domínio das técnicas voltadas à disponibilidade

125
Governança da Segurança da Informação

torna-se essencial na seleção de tecnologias, na especificação de sistemas e


na incorporação de novas funcionalidades aos seus projetos.

Todavia, as técnicas de tolerância a falhas têm um alto custo associado.


Pode ser a simples necessidade de backup dos dados, que consome espaço
de armazenamento e tempo para realizar a cópia, redundância de
equipamentos e espelhamento de discos, que consome recursos de hardware
sem contribuir para o aumento do desempenho, ou a terceirização da
prestação dos serviços. O domínio da área de disponibilidade auxilia
administradores e desenvolvedores de sistemas a avaliar a equação custo
benefício para o seu caso específico e determinar qual a melhor técnica para
seu orçamento.

Para a manutenção da disponibilidade dos sistemas, é necessário que


se elabore um plano de ação, denominado Plano de Continuidade de Negócios
(PCN) que é um termo relativamente novo, resultante da junção de três outros
planos. Falando de forma genérica, o PCN é uma metodologia elaborada para
garantir a recuperação de um ambiente de produção, independentemente de
ocorrências que suspendam suas operações e dos danos nos componentes
(softwares, hardware, infraestrutura, etc) por ele utilizados.

Continuidade de negócios

Continuidade de Negócio é um processo essencialmente proativo, cujo


planejamento visa assegurar que uma organização sobreviva a um desastre ou
acontecimento imprevisto que promova destruição ou faça estrago em algum
de seus ativos críticos, colocando em risco quaisquer de suas funções
importantes ao negócio. Portanto, a Continuidade do Negócio visa a
manutenção da operacionalidade da organização em um nível aceitável,
previamente definido, em resposta a qualquer interrupção provocada por
imprevistos.

Para a Administração Pública Federal7 Continuidade de Negócios é o:


Processo abrangente de gestão que identifica ameaças potenciais
para uma organização e os possíveis impactos nas operações de
negócio, caso estas ameaças se concretizem. Este processo
fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de responder efetivamente e
salvaguardar os interesses das partes interessadas, a reputação e
a marca da organização, e suas atividades de valor agregado.

7
Governo Eletrônico. Conceitos e definições. Disponível em
http://www.governoeletronico.gov.br/sisp-conteudo/seguranca-da-informacao-no-
sisp/conceitos-e-definicoes. Acesso 29 de set de 2015.

126
Governança da Segurança da Informação

Segundo a ABNT NBR 15.999-1, Continuidade de Negócios pode ser


definido como:
Processo abrangente de gestão que identifica ameaças potenciais
para uma organização e os possíveis impactos nas operações de
negócio, caso estas ameaças se concretizem. Este processo
fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de responder efetivamente e
salvaguardar os interesses das partes interessadas, a reputação e
a marca da organização, e suas atividades de valor agregado.

Para proceder a identificação dos riscos e respectivos impactos ao


negócio da organização é realizada, preferencialmente, de forma
compartimentada para cada uma de suas funções chave, a análise de riscos e
a análise no impacto para o negócio, Obtêm-se como produto final informações
de apoio a decisão sobre as ameaças e vulnerabilidades existentes, as
possíveis consequências e as probabilidades potenciais de ocorrência de cada
um dos riscos elencados, bem como os custos para prevenir ou minimizar os
danos e o tempo de recuperação.

Nessa etapa, os processos de negócio devem ser ordenados em função


do seu custo de parada. Todo esse conhecimento é utilizado para a definição
das estratégias de Continuidade de Negócios que ficam registradas em um ou
mais Planos de Continuidade de Negócios da Organização. Segundo Sêmola
(2003):
Diferente do que muitos imaginam, uma empresa não possuirá um
plano único, mas diversos planos integrados e focados em
diferentes perímetros, sejam físicos, tecnológicos ou humanos e,
ainda, preocupada com múltiplas ameaças potenciais. Esta
segmentação é importante; afinal, uma empresa tem processos
cuja tolerância a falha é variável, os impactos idem, assim como o
nível de segurança necessário a natureza das informações
manipuladas.

Plano de continuidade de negócios

O Plano de Continuidade de Negócios (PCN) tem como propósito a


garantia da continuidade das principais funções que sustentam o negócio da
organização, minimizando, desta forma, os impactos de um possível desastre.

Segundo Amaro (2004), o PCN deve ser parte da política de segurança


de uma organização complementando assim o planejamento estratégico desta.
Nele são especificados procedimentos pré-estabelecidos a serem observados
nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a
diminuir o impacto causado por incidentes que não poderão ser evitados pelas
medidas de segurança em vigor.

A expressão Plano de Continuidade de Negócios é normalmente


lembrada, apenas como o documento utilizado para o restabelecimento das

127
Governança da Segurança da Informação

operações em caso de desastre, quando essa definição é mais corretamente


empregada para o Plano de Recuperação de Desastres (PRD), que é parte
integrante de um PCN.

O PCN deve ser desenvolvido para atender as necessidades de


contingência que não forem previstas ou que não puderem ser evitadas,
identificando as funções críticas da organização, suas possíveis ameaças e
como proceder a continuidade das mesmas, provendo, mesmo com alguma
restrição, os serviços essenciais ao negócio, até que as condições normais de
operação sejam retomadas. Segundo Dias (2000):

O Plano de Continuidade de serviços de informática deve ser


planejado com o objetivo de manter a integridade de dados da
organização, manter operacionais os serviços de processamento
de dados e prover, se necessário, serviços temporários ou com
certas restrições até que os serviços normais sejam restaurados.

A redução das consequências negativas ao negócio da organização é


um fator crítico de sucesso que deve estar inserido dentre as prioridades do
Plano de Continuidade de Negócios por meio da incessante busca pela
redução, ao mínimo possível, do tempo de parada dos serviços que poderão
ser impactados por um desastre ou incidente. Segundo Wheatman (2001):

Muitas organizações que sofrem uma interrupção de suas


atividades devido a um desastre nunca se recuperam e 40% das
empresas que passaram por essa situação encerraram as
atividades num prazo de até 5 anos. Por outro lado, apesar de
todos esses indicadores, ainda há organizações que não dão a
devida atenção ao assunto, o que pode ser temerário

Para atingir seu objetivo o PCN é composto por diversos outros planos
que juntos visam blindar o negócio contra diversos riscos que podem trazer
prejuízo. Cada um destes outros planos é focado em uma determinada variável
de risco, numa situação de ameaça ao negócio da organização. Conforme
Silva (2009), mais de um plano é necessário para complementar o plano de
continuidade de negócios, para cada processo do negócio um escopo de
procedimentos é detalhado para atender o estado de contingência.

Utilizando-se o PCN, garantimos a redução dos possíveis impactos,


minimizando-os a níveis toleráveis para a organização. Segundo Marinho
(2003),

O Plano de Continuidade de Negócios deve documentar as


capacidades e requisitos técnicos que suportarão as operações de
contingência. Para isso, é imprescindível definir regras bem
detalhadas, assim como responsabilidades, equipes e
procedimentos relacionados com a recuperação do ambiente
informatizado após a ocorrência de um desastre.

Diferença entre Continuidade e Contingência

128
Governança da Segurança da Informação

A Continuidade é rotineiramente confundida com a Contingência


(abordada no próximo capítulo), sendo assim faz-se necessário esclarecer a
diferença estre os dois conceito.

As atividades que contemplam a contingência são as mais realizadas


pelas organizações. A grande maioria das organizações realiza procedimentos
de contingência visando garantir que não ocorra perda de informações caso
algum desastre ocorra. No ambiente de tecnologia da informação podemos
entender essas atividades como backup de dados e equipamentos. Conforme a
ISO/IEC 270008.

Estabelecido o ambiente contingente através dos procedimentos


de backup, a organização atendeu ao primeiro chamado, o de
preservar os dados. Mas se o ambiente computacional
(servidores, rede de dados, energia elétrica e comunicação)
também for afetado por um incidente, é necessário possuir “outros
tipos de backup”, como: servidores reservas, ativos de rede e
comunicação redundante, etc. Desta maneira, além de garantir a
existência dos dados, estará sendo assegurado que eles poderão
ser retornados em algum equipamento para uso.

Dentro de todo cenário na Contingência, em nenhum momento se


fez menção ao tempo exigido de retorno da informação, ou mesmo
qual a quantidade de informação que pode ser perdida se ocorrer
um incidente entre os períodos de execução dos backups. O foco
da contingência é garantir que existam maneiras de salvaguardar
os dados e fazer a sua recuperação, independente de tempo de
retorno, capacidade suportada ou mesmo quantidade de dados
perdidos.

No entanto somente a Contingência não atende a plena capacidade da


organização, ou seja, os equipamentos definidos para suportarem o ambiente
durante uma contingência não possuem e mesma capacidade dos
equipamentos de produção, limitando assim a quantidade de usuários que
serão atendidos. Além disso, o foco são os procedimentos que serão
realizados dados a ocorrência de eventos específicos.

É por isso que a Continuidade é um passo a mais que a Contingência.


As atividades envolvidas no oferecimento de continuidade estão diretamente
relacionadas às operações de negócio da organização, o apetite a risco e o
tempo de recuperação da organização.

Isso significa que além de toda a preocupação de um ambiente


contingente, existe o compromisso de disponibilizar as informações dentro de
períodos acordados com as áreas de negócio. Neste sentido a Continuidade

8
ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponível em
http://iso27000.com.br/index.php?option=com_content&view=article&id=55:contcontdis
p&catid=34:seginfartgeral&Itemid=53. Acesso 13 de out de 2015.

129
Governança da Segurança da Informação

está centrada em manter as operações de negócio ativas. Segundo o exemplo


da ISO/IEC 270009.

Imagine uma rede de supermercados com uma crise de


Tecnologia da Informação. O primeiro grande impacto é a parada
imediata da operação de negócio, pois sem os sistemas nem
existe forma rápida e simples de continuar as vendas. A
Continuidade está preocupada em retornar as operações de
negócio dentro de um tempo máximo, pré-estabelecido. Após este
tempo, se as operações não retornarem, existe uma chance muito
grande da organização não conseguir recuperar as operações de
negócio. Em outras palavras, a perda financeira pode ser grande,
que a organização não consegue voltar a operar.

Para fazer este acordo de tempo com as áreas de negócio e


relacionar este mesmo tempo a impactos financeiros, a
Continuidade necessita de uma análise especial, denominada
Análise de Impacto no Negócio (também conhecida como BIA –
Business Impact Analisys). Através desta análise é possível
desenhar os possíveis cenários de impacto financeiro devidos a
incidentes e crises de Tecnologia da Informação.

Além disso, através das técnicas desta análise é realizada


identificação dos períodos de tempo suportáveis pelas áreas de
negócio. As informações servirão de base para o alinhamento das
operações de negócio com as operações de serviços de
Tecnologia da Informação.

Assim sendo, a Continuidade reside em voltar as operações de negócio


dentro deste espaço temporal apresentado pela Análise de Impacto no Negócio
e que foram acordados com as áreas de negócio.

Figura 1 – Plano de Continuidade de Negócios

Fonte – Adaptado de www.bcmpedia.org/wiki/business_comunity_plan_(bc_plan)

9
ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponível em
http://iso27000.com.br/index.php?option=com_content&view=article&id=55:contcontdis
p&catid=34:seginfartgeral&Itemid=53. Acesso 13 de out de 2015.

130
Governança da Segurança da Informação

Estrutura do plano de continuidade de negócio

O PCN deve apontar quais processos críticos da organização que


suportam o negócio da organização e os procedimentos necessários para
evitar ou mitigar a indisponibilidade dos serviços, de forma que os processos
possam ser recuperados no menos intervalo de tempo possível e de acordo
com as prioridades do negócio, após a ocorrência de um desastre.

1. Definição do Escopo

A organização deve definir o escopo e descrever o cenário atual levando


em conta o nível de maturidade que se encontra. É importante pensar em um
plano que seja completo, onde vão existir diversas etapas e versões que serão
revisadas e melhoradas. A alta administração como patrocinadora do plano,
deve ter conhecimento da abrangência e das limitações do plano que está
sendo criado.

2. Avaliação de Ameaças

A organização deve realizar uma análise das ameaças e riscos


considerando o escopo definido anteriormente. A avaliação deve ser
mensurada com valores qualitativos (critico, alto, médio e baixo) e deve
percorrer várias pessoas e equipes para chegar a uma visão completa das
ameaças existentes à organização.

3. Análise de Impacto

É importante que as consequências de imprevistos (desastres, falhas,


indisponibilidades...) passem por uma minuciosa análise de impacto com foco
no negócio das organizações.

A análise de impacto deve mapear os seguintes itens:


• Quantificar impactos financeiros, de imagem ou operacionais;
• Processos de negócio críticos e suas prioridades;
• Dependências internas e externas;
• Recursos críticos;
• Prazos para impactos severos;
• Tempo de recuperação esperado;

4. Identificar Soluções

Baseado nas informações obtidas nas etapas anteriores deve ser


avaliado, dentro das diversas soluções possíveis, a opção mais adequada a
cada caso levando em conta os critérios pré-estabelecidos pelas necessidades
do negócio.

131
Governança da Segurança da Informação

5. Elaboração do PCN

O PCN é composto por um conjunto de documentos, procedimentos e


manuais que devem ser escritos visando com que as pessoas, em caso de
uma situação de contingência, possam seguir as instruções de sorte que o
incidente seja contornado e os processos de negócio continuem funcionando.

Estes documentos devem ser escritos de maneira clara e concisa


contemplando os riscos, as pessoas e suas responsabilidades.

Conforme Magalhães (2007), o PCN deve ser elaborado com, pelo


menos, os seguintes tópicos:

• Sumário executivo: contento, o propósito do plano, autoridade


e responsabilidades das pessoas chaves, tipos de emergências
que podem ocorrer e o local de gerenciamento da operação.
• Gerenciamento dos elementos de emergência: descrevendo
os processos de direção e controle, comunicação, recuperação
e restauração, administração e logística.
• Procedimento de resposta a emergência: a organização
deve elaborar checklists para orientar as ações que devem ser
tomadas para proteção das pessoas e a manutenção dos
equipamentos, os procedimentos devem conter: alertas para
avisos de catástrofes naturais, condução de evacuação,
desligamento das operações, proteções, proteção dos dados
vitais e restauração das operações.
• Documentos de suporte: a organização deve anexar ao PCN
alguns documentos, tais como: lista de telefones das pessoas
evolvidas no processo, planta das instalações físicas, guias
com o desenho da infraestrutura de TI e procedimentos para
recuperação dos serviços de TI.
• Identificar desafios e priorizar atividades: o PCN deve
conter uma lista de tarefas para ser executada definindo quem
e quando e determinar como devem ser tratados os problemas
identificados na fase de levantamento.

132
Governança da Segurança da Informação

REFERÊNCIAS

AMARO, Mariza de O. S. Sua organização está preparada para uma


contingência? Programa de Pós-Graduação de Engenharia de Sistemas e
Computação. Rio de Janeiro: UFRJ, 2004. Disponível
em:<https://www.mar.mil.br/sdms/artigos/6816.pdf>. Acesso em 27 de set de
2015.

DIAS, C. Segurança e auditoria da tecnologia da informação. ed. Rio de


Janeiro: Axcel Books do Brasil, 2000.

MAGALHÃES, I. L.; PINHEIRO W. B. Gerenciamento de serviços de TI na


prática: uma abordagem com base no ITIL. Porto Alegre: Novatec, 2007.

MARINHO, F. Como proteger e manter seus negócios. ed. Rio de Janeiro:


Campus,
2003.

Gestão de Riscos de Segurança da Informações e Comunicações (GRSIC).


Norma Complementar 04. Disponível em
http://dsic.planalto.gov.br/documentos-/nc_04_grsic.pdf. Acesso 05 de out de
2015.

SÊMOLA, M. Gestão da segurança da informação: visão executiva da


segurança da
informação: aplicada ao security officer. ed. Rio de Janeiro: Elsevier, 2003.

SILVA, Ronaldo; MOURA, Viviane da Cunha; DEPONTI, Euclides; ROSA,•


Vinícius. Plano de continuidade de negócios: planejamento. Universidade
católica de Brasília, 2007. Brasília, DF. Disponível
em:<http://www.lyfreitas.com/artigos_mba/artpcn.pdf>. Acesso em 29 de set de
2015.

WHEATMAN V., After math: disaster recovery, Gartner Research, AV-14-5238,


setembro de 2001.

Sobre o autor

LEANDRO LIMA RAINERI

Engenheiro e pesquisador da área de segurança da


informação. Com duas pós-graduações em Gestão de
Segurança e Governança de TI. Certificado em CompTIA
Security +, ISSO/IEC 27002, ITIL, LPI 2 e CCNA.

133
Governança da Segurança da Informação

134
Governança da Segurança da Informação

CAPÍTULO 13

PLANO DE CONTINGÊNCIA

Autor: Rejane Bezerra Leandro Mota

Tiago Mesquita Carvalho dos Reis

Conceitos de Contingência e Plano de Contingência

Na gestão de segurança da informação um aspecto de grande


importância que deve ser abordado é a contingência, ou melhor, o Plano de
Contingência. Cada organização deve incluir em seu planejamento um Plano
de Contingência com o objetivo de garantir a disponibilidade de seus serviços,
informações e processos de negócio. Dessa forma a organização terá
capacidade de restabelecer suas funções críticas.

De acordo com o porte da organização o Plano de Contingência é


apenas uma pequena parcela do Plano de Continuidade de Negócios definido
pelo departamento de Governança Corporativa da empresa.

Inicialmente vejamos alguns conceitos de contingência. Para PINHEIRO


(2004) contingência é a possibilidade de um fato acontecer ou não. É uma
situação de risco existente, mas que envolve um grau de incerteza quanto à
sua efetiva ocorrência.

Para LAUREANO (2005) o Plano de Contingência é um plano para a


resposta de emergência, operações backup, e recuperação após um desastre
em um sistema como a parte de um programa da segurança para assegurar a
disponibilidade de recursos de sistema críticos e para facilitar a continuidade
das operações durante uma crise.

Para MARINHO (2014) Plano de Contingência é a definição de


processos alternativos para atuação da empresa durante um evento que afete
as atividades normais, necessários para funcionamento da organização.

Etapas do Planejamento do Plano de Contingencia

135
Governança da Segurança da Informação

De posse dos conceitos pode-se observar a importância que o Plano de


Contingência tem para cada organização. Este plano deve fazer parte da
estratégia da gestão de segurança das organizações para garantir sua
sobrevivência caso aconteçam eventos inesperados.

Como exemplo podemos citar as instituições financeiras, a cada ano no


período do acordo coletivo da categoria existe a grande possibilidade de suas
atividades serem interrompidas devido à mobilização dos funcionários em
participar da greve para reivindicar seus direitos. Nesta situação caso as
instituições financeiras não possuam um plano de contingência bem
estruturado, seus serviços seriam interrompidos causando prejuízos para as
instituições e para seus clientes. Esse tipo de risco afeta diretamente a
sobrevivência das instituições.

Diante desses aspectos podemos nos perguntar: Como as organizações


devem se preparar para a contingência? A realização de um planejamento
estruturado da gestão da segurança da informação, incluindo a existência de
um Plano de Contingência, prepara as organizações para eventos inesperados.

Para DIAS (2000) antes da realização do planejamento de contingência,


deve ser definidos aspectos administrativos e operacionais, como objetivos,
orçamento, prazos, recursos humanos a serem utilizados na contingência,
tratando o Plano de Contingência como um projeto da organização. Dessa
forma o planejamento para construção de um Plano de Contingência segue as
seguintes fases:

Figura 4 – Etapas do planejamento do Plano de Contingência

Fonte: Elaborada pelo autor

136
Governança da Segurança da Informação

 Atividades preliminares: conscientização da alta gerência,


identificação dos recursos críticos, análise de custos,
definição de prazos e aprovação do projeto inicial;
 Análise de impacto: identifica impactos sobre a organização
da interrupção de cada sistema e sua real importância para
continuidade das atividades da organização;
 Análise das alternativas de recuperação: estudo detalhado
das alternativas de recuperação dos serviços balanceando
custos e benefícios, apresentando um relatório com o
resultado da análise e recomendações.
 Desenvolvimento do plano de contingências: definição em
detalhes do plano e os recursos necessários para sua
execução;
 Treinamento: garantir que todos os funcionários da
organização estejam conscientizados e conheçam os riscos
envolvidos, a política corporativa, o próprio plano de
contingência e seus papeis e responsabilidades;
 Teste do plano de contingências: provar sua exequibilidade.
Após realização dos testes pode-se avaliar se o plano é
adequado ou se necessita de adaptações ou correções;
 Avaliação dos resultados e atualização do plano: realização
de uma avaliação dos resultados dos testes e implementação
das mudanças necessárias.

Classificação dos Planos de Contingencia

Para GALVES10 um Plano de Contingência de TI deve está baseado em


três vértices:

10
GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em:
http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado em 02/10/2015.

137
Governança da Segurança da Informação

Figura 5 - Vértices do Plano de Contingência

Fonte: Elaborada pelo autor

• Vértice PESSOAS - que trata dos recursos humanos envolvidos nas


atividades em Contingência;
• Vértice ORGANIZAÇÃO - que trata especificamente sobre a disponibilidade
e segurança de recursos estruturais e organizacionais para suportar as
atividades necessárias em Contingência.
• Vértice TECNOLOGIA - que contempla os recursos de hardware, software e
ambientais apoiados em tecnologias de TI e complementares para atender
em contingência.

Plano de Gerenciamento da Crise (PGC)

Esse é um dos planos que servem de base para o PCN (Plano de


Continuidade do Negócio) e que, conforme definido por Veras (2013):

“Tem o propósito de definir as responsabilidades de cada membro


das equipes envolvidas com o acionamento da contingência antes,
durante e depois da ocorrência do incidente. Além disso, tem que
definir os procedimentos a serem executados pela mesma equipe
no período de retorno à normalidade. O comportamento da
empresa na comunicação do fato à imprensa é um exemplo típico
de tratamento dado pelo plano.”

A crise deve ser gerenciada, de forma que a organização se antecipe e


consiga tomar as melhores decisões, inclusive quanto à forma de comunicação

138
Governança da Segurança da Informação

externa. Prever consequências e antecipar possíveis medidas pode mitigar um


impacto à imagem organizacional ou até mesmo neutralizar.

Plano de Continuidade Operacional

Os danos diretos e indiretos causados por um período de


indisponibilidade de um serviço podem manchar a imagem de uma empresa
por bastante tempo. O PCO então tem a missão de reduzir o período de
indisponibilidade e conforme definido por Veras (2013):

Tem o propósito de definir os procedimentos para


contingenciamento dos ativos que suportam cada processo de
negócio, objetivando reduzir o tempo de indisponibilidade e,
consequentemente, os impactos potenciais ao negócio. Orientar
as ações diante da queda de uma conexão à internet exemplifica
os desafios organizados pelo plano.

Manter a continuidade da operação não é barato e envolve uma série de


variáveis. No entanto, uma economia nesse sentido pode custar muito caro no
futuro.

Conforme citado por Guindani (2008)


Os executivos tendem a encarar o PCN como despesa. Esse é um
problema para a realização do projeto e cabe aos responsáveis
por seu desenvolvimento modificar tal percepção.

Plano de Recuperação de Desastre (PRD)

O PRD tem como propósito, conforme definido por Veras(2013):

Definir um plano de recuperação e restauração das


funcionalidades dos ativos afetados que suportam os processos
de negócio, a fim de restabelecer o ambiente e as condições
originais de operação, no menor tempo possível.

Segundo Guindani (2008)

É conveniente desenvolver e implementar os procedimentos de


resposta a situações de desastre, incluído a criação e a
especificação de normas para o gerenciamento de um centro
operacional de emergência (COE), utilizando como central de
comando durante uma crise.

Estratégias de Contingência

139
Governança da Segurança da Informação

Em relação a estratégia que a organização vai definir para o Plano de


Contingência, deve-se levar em consideração criticidade do negócio, apetite ao
risco da organização e prioridades definidas em seu Plano de Continuidade dos
Negócios.

Quanto ao nível de criticidade do negócio classificamos as estratégias


de contingência como: Hot-site, Warm-site e Cold-site. Para SEMOLA (2003)
estão definidas conforme abaixo:

Hot-site: estratégia “quente” ou pronta para entrar em operação


assim que uma situação de risco ocorrer. O tempo de
operacionalização desta estratégia está diretamente ligado ao
tempo de tolerância a falhas do objeto.
Warm-site: estratégia aplicada a objetos com maior tolerância à
paralisação, podendo se sujeitar à indisponibilidade por mais
tempo, até o retorno operacional da atividade.
Cold-site: esta estratégia propõe uma alternativa de contingência
a partir de um ambiente com os recursos mínimos de
infraestrutura e telecomunicações, desprovido de recursos de
processamento de dados. Portanto, aplicável à situação com
tolerância de indisponibilidade ainda maior. (SEMOLA 2003)

Quanto à modalidade escolhida da estratégia de contingência


classificamos como: Realocação de Operação, Bureau de Serviços, Acordo de
Reciprocidade e Autossuficiência, conforme definidas por SEMOLA (2003):

Realocação de Operação: esta estratégia objetiva desviar a


atividade atingida pelo evento que provocou a quebra de
segurança, para outro ambiente físico, equipamento ou link,
pertencentes à mesma empresa. Esta estratégia só é possível
com a existência de “folgas” de recursos que podem ser alocados
em situações de crise.
Bureau de Serviços: considera a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente
terceirizado; portanto, fora dos domínios da empresa. Por sua
própria natureza, em que requer um tempo de tolerância maior em
função do tempo de reativação operacional da atividade, torna-se
restrita a poucas situações.
Acordo de Reciprocidade: conveniente para atividades que
demandariam investimentos de contingência inviáveis ou
incompatíveis com a importância da mesma, esta estratégia
propõe a aproximação e um acordo formal com empresas que
mantêm características físicas, tecnológicas ou humanas
semelhantes a sua, e que estejam igualmente dispostas a possuir
uma alternativa de continuidade operacional. Estabelecem em
conjunto as situações de contingência e definem os procedimentos
de compartilhamento de recursos para alocar a atividade atingida
no ambiente da outra empresa. Desta forma, ambas obtêm
redução significativa dos investimentos.
Omissão: Aparentemente uma estratégia impensada, a omissão
é, muitas vezes, a melhor ou única estratégia possível para
determinada atividade. Isso ocorre quando nenhuma outra
estratégia é aplicável, quando os impactos possíveis não são

140
Governança da Segurança da Informação

significativos ou quando estas são inviáveis, seja financeiramente,


tecnicamente ou estrategicamente. (SEMOLA 2003 - adaptado)

Abaixo, tabela com um exemplo de cenário com uma relação entre a


criticidade e modalidade, sendo que cada uma das modalidades pode ter um
nível de criticidade diferente para cada negócio:
Tabela 2 - Relação Modalidade x Criticidade

CRITICIDADE
MODALIDADE
HOT-SITE WARM-SITE COLD-SITE
Realocação de
X
Operação
Bureau de
X
Serviços
Acordo de
X
Reciprocidade
Omissão Não se encaixa nessa classificação
Fonte: Elaborada pelo autor

Nesse contexto da Segurança da Informação apresentamos os


principais conceitos e boas práticas a serem seguidas na elaboração e
condução de um Plano de Contingência. Verificamos que o Plano de
Contingência orienta a organização para prevenção de incidentes bem como a
recuperação em caso de desastres e em momentos de crise.

141
Governança da Segurança da Informação

BIBLIOGRAFIA

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva.


Editora Campus Elsevier, 2003.

DIAS Cláudia. Segurança e Auditoria da Tecnologia da Informação. Editora


Axcel Books, 2000.

PINHEIRO, J. Maurício Santos. Conceitos de Redundância e Contingência.


Disponível em:
http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.ph
p. Acessado em 30/09/2015.

LAUREANO, M. A. Pchek. Gestão de Segurança da Informação. 2005.


Disponível em:
http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acessado
em 01/10/2015.

MARINHO, Fernando. Riscos, Negócios e Tecnologia. 2014. Disponível em:


https://www.linkedin.com/pulse/6-dicas-para-conquistar-investidores-uma-nova-
empresa-leo-zysman

Contingência, Continuidade e Disponibilidade. Disponível em:


http://iso27000.com.br/index.php?option=com_content&view=article&id=55:cont
contdisp&catid=34:seginfartgeral&Itemid=53. Acessado em 02/10/2015

GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em:


http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado
em 02/10/2015.

VERAS, Manoel. Arquitetura Corporativa de nuvem: amazon web service


(aws). Editora Brasport, 2013.

142
Governança da Segurança da Informação

Sobre os autores

Rejane Bezerra Leandro Mota

Formada em Administração de Empresas pela UECE, pós-


graduanda em Governança de TI pelo UniCEUB,
certificada Cobit5, funcionária do Banco do Brasil S/A na
Diretoria de Tecnologia.

Thiago Mesquita Carvalho dos Reis

Formado em Gestão em Tecnologia da Informação pela


FACSENAC, pós-graduando em Governança de TI pela
UNICEUB, certificado em COBIT FOUNDATION, ITIL
FOUNDATION, Gerenciamento de serviços de TI baseado
na ISO/IEC 20000 e Segurança da Informação Foundation
baseado na ISO/IEC 27002, gerente de relacionamento na
empresa Intersmart Comércio Importação Exportação de
Equipamentos Eletrônicos, S.A.

143
Governança da Segurança da Informação

144
Governança da Segurança da Informação

CAPÍTULO 14

ASPECTOS DA SEGURANÇA DA INFORMAÇÃO


NA PRODUÇÃO DE SOFTWARES

Autor: Fabiano Mariath de Oliveira

14.1 Introdução

Segurança da Informação e Produção de Software deveriam estar em


total sinergia, mas ainda existem lacunas a serem preenchidas entre esses
dois campos da computação.

Obviamente, quando tratamos o tema Segurança da Informação não nos


remetemos exclusivamente às informações digitalizadas e armazenadas em
sistemas computacionais, mas não podemos negar que a cada dia a produção,
armazenamento, transformação e divulgação da informação se dá nesse
ambiente.

A produção de software se deu ao longo dos anos de diversas formas e


ainda está em franca mudança. A Engenharia de Software é a área do
conhecimento que estuda os modelos de produção e sistematiza processos de
desenvolvimento que visam a produção de software com qualidade.

Os novos desafios impostos pelas tecnologias emergentes (que


provavelmente até o final desta leitura, poderão estar em uso popular)
representam forças que pressionam mudanças nesse campo de estudo.

Outro fator significativo na produção de software é o aspecto humano,


sob o prisma que a atividade ainda é feita intensivamente por pessoas, mesmo
considerando a evolução das ferramentas CASE11 para agilização do processo
de desenvolvimento. Entretanto, essa realidade pode mudar nos próximos anos
com o avanço da inteligência artificial e máquinas inteligentes.

11
CASE ou Computer Aided Software Engineering (Potter & Premkumar) é um conjunto de ferramentas de software ou ambiente
que suporta as metodologias de engenharia de software

145
Governança da Segurança da Informação

Esse capítulo visa a abordar esses temas. Explorando a evolução na


produção de software e como enfrentar os novos desafios impostos pela
Cibersegurança frente às novas tendências tecnológicas.

14.2 Influência da Normas de Segurança da Informação na produção de


software.

Para entender os aspectos das questões de segurança inerentes na


produção de software é preciso compreender a evolução histórica desses dois
elementos. Se tomarmos a família de normas da ISO 2700012 podemos
considerar uma evolução significativa com as dimensões da norma de acordo
com o sistema de gerenciamento da segurança da informação tais como o
gerenciamento de riscos da segurança da informação (ISO 27005),
comunicações intra e interinstitucionais (ISO 27010), Guia para proteção
pessoal na nuvem (ISO 27018), continuidade do negócio (ISO 27031) e
cibersegurança (ISO 27032).

Considera-se a norma ISO/IEC 27001 como ponto de partida para a


operação de um sistema de gerenciamento da segurança da informação, pois
estabelece o elemento principal para o mesmo, seus requisitos. Muitos tem
atribuído inclusive à influência única da TI na norma. Isso não é bem verdade,
mas podemos considerar que ela auxilia sobremaneira o planejamento de
requisitos adequado para a construção e sustentação de sistemas
informatizados que garantirão o Sistema de Gerenciamento de Segurança da
Informação.

Dentre seu corpo de conhecimento, o anexo A da norma ISO 27001 nos


alerta para uma série de controles de segurança para serem utilizadas no
sentido de aprimorar o sistema de segurança. Dentre esses elementos
destacam-se:

A.8 Gestão de ativos – controles relacionados ao inventário de ativos e


uso aceitável, e também para a classificação de informação e manuseio de
mídias

A.9 Controle de acesso – controles para a política de controle de


acesso, gestão de acesso de usuários, controle de acesso a sistemas e
aplicações, e responsabilidades dos usuários

12
História da ISO 27000 - http://www.27000.org/thepast.htm

146
Governança da Segurança da Informação

A.10 Criptografia – controles relacionados a gestão de chaves


criptográficas

A.12 Segurança nas operações – vários controles relacionados a gestão


da produção de TI: gestão de mudança, gestão de capacidade, software
malicioso, cópia de segurança, registro de eventos, monitoramento, instalação,
vulnerabilidades, etc.

A.13 Segurança nas comunicações – controles relacionados a


segurança em rede, segregação, serviços de rede, transferência de
informação, mensageria, etc.

A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles


definindo requisitos de segurança e segurança em processos de
desenvolvimento e suporte

A.16 Gestão de incidentes de segurança da informação – controles para


reportar eventos e fraquezas, definindo responsabilidades, procedimentos de
resposta e coleta de evidências

Outra contribuição significativa dos padrões e regulamentações de


segurança na produção de software teve início em 1991 com a publicação da
norma ISO/IEC 9126. Posteriormente, esse modelo evoluiu para os aspectos
do modelo de qualidade, externos, internos e de uso dos sistemas de
informação computacionais por meio das normas ISO/IEC 9126-1, ISO/IEC
9126-2, ISO/IEC 9126-3 e ISO/IEC 9126-4.

A evolução das normas ISO/IEC 9126 se deu em 2005 com a família


ISO/IEC 25000:2005 e revisada em 2014. Considerando os aspectos do
modelo SQuaRE (Software product Quality Requirements and Evaluation) os
aspectos internos, externos e de uso estão sendo revisados pelas ISO/IEC
25023 e ISO/IEC 25022, respectivamente. Isso demonstra claramente a
preocupação com os elementos de segurança na produção de softwares como
ativo de segurança fundamental para a operação das Instituições e
Organizações.

Entretanto, observa-se que a produção de software remonta a um


passado mais antigo e que as formas de se produzir foram evoluindo
constantemente muito em função das novas necessidades de negócio e dos
aspectos tecnológicos. Não obstante esses dois fatores, há que se levar em
consideração o aspecto humano e o modelo mental evolutivo da sociedade.
Nesse sentido, (BOHEM, 2006) estabelece uma relação na evolução da
produção de software, por meio da Engenharia de Software nos séculos XX e
XXI.

147
Governança da Segurança da Informação

Para entender como esses dois processos evoluíram ao longo dos anos.
Barry Boehm (BOHEM, 2006) faz uma revisão da evolução da Engenharia de
Software nos séculos XX e XXI. Seu trabalho estabelece a visão de tese,
antítese e síntese baseada em Hegel para explicar o fenômeno na evolução da
Engenharia de Software. Nesse sentido, podemos entender a evolução da
Engenharia de Software desde 1950 até o final dos anos 2000.

Na década de 1950 a tese predominante era de que a Engenharia de


Software deveria ser encarada como a Engenharia de Hardware, isto porque o
Hardware ocupava nesta época o papel principal na Ciência da Computação.
Com base nesse pensamento, projetar software era um processo
extremamente rígido e nada tolerante à falhas, o que é admissível no projeto
de hardware, pois é inviável resolver um problema de projeto após a produção
de um equipamento físico.

Nesse sentido, o primeiro processo de produção de software foi


concebido para a criação do maior desafio computacional da época, o SAGE
(Semi-Automated Ground Environment) um mecanismo de defesa para os EUA
e Canadá. Basicamente um processo em cascata (modelo waterfall).

Após anos de desenvolvimento e a percepção clara que software não é


igual a hardware, a antítese vigente em 1960 era enxergar o software como
uma entidade maleável. As empresas começaram a adotar a técnica “codifica
e conserta” (code and fix), pois a unidade de trabalho não necessitava de
consertos para cada elemento produzido, bastava recompilar o produto original.

Entretanto, nem todas as empresas e produtores de software


sucumbiriam a esse modelo. Algumas missões críticas, como por exemplo os
projetos da NASA para Mercury, Gemini e Apollo foram lideradas pela IBM em
um modelo de trabalho ainda com foco intenso no processo rígido de produção.
Nesses sistemas o elevado nível de confiabilidade exigido impulsionou a
indústria para a criação de modelos de produção de software.

A Engenharia de Software começava a se delinear impulsionada pelas


conferências de 1968 e 1969 organizadas pelo Comitê de Ciência da
Organização do Tratado do Atlântico Norte (OTAN ou NATO13). Se
observarmos a missão da OTAN, podemos perceber claramente as questões
de segurança da informação pautadas nos dois pilares base da Organização
que são o político e o militar.

Na década de 70 houve uma síntese e uma antítese formando a ideia de


que o formalismo e o processo clássico eram necessários. Surge a
programação estruturada, a linguagem Pascal e muitos estudos como a
psicologia da programação de computadores de (WEINBERG, 1971).
13
Organização do Tratado do Atlântico Norte - http://www.nato.int

148
Governança da Segurança da Informação

Já no final dos anos 70, as empresas estavam gastando mais em


software do que em hardware. A pressa em codificar e fazer o atalho para a
produção, menosprezando os requisitos e o projeto de software fizeram os
custos com testes e manutenção disparar.

Os anos 80 foram marcados pela síntese de que a produtividade e a


escalabilidade deveriam ser o foco na produção de software. Surgiram os
métodos orientados a objeto, os modelos de maturidade e qualidade (como o
CMM14), as fabricas de software além das ferramentas CAD e linguagens 4GL.

Já nos anos 90 uma discussão global se estabeleceu: como resolver o


Bug do milênio? Muitos sistemas então construídos não estavam preparados
para lidar com as datas após 1999, pois simplesmente foram programados com
dois dígitos para representar o ano. Sendo assim, as operações com data
entenderiam “00” como 1900 e não como 2000. Imagine um cálculo de juros
para quitação de dívidas.

Ao longo dos anos 90 havia necessidade de se correr contra o relógio na


produção de software e uma abordagem ganhava força: o desenvolvimento
concorrente ou iterativo. Outras eventos importantes da época foram a criação
do Linux em 1991, o que desencadeou a força do movimento Open Source
criado em 1985 com Richard Stallman pela Free Software Foundation e pelo
W3C (World Wide Web Consortium) de Berners Lee em 1994. Os usuários
passaram também a se preocupar mais com a usabilidade dos softwares do
que apenas com as funcionalidades.

Os anos no início do novo milênio foram marcados pelo conceito de


agilidade e valor agregado na produção de software. Com o advento da
popularização da Internet, o fenômeno da globalização e o surgimento de
grandes empresas como Google o mercado estava cada vez mais presente na
produção de software. Em 2000, os membros da NASDAQ votaram para sua
reestruturação e spin off resultando em uma companhia voltada para o lucro.
Já em 2001 a NASDAQ foi o primeiro mercado de ações a atingir os padrões
da ISO 9001.

Os métodos ágeis como ASD (Adaptive Software Development), Crystal,


DSD (Dynamic Systems Development), XP (Extreme Programming) e SCRUM
ganhavam a atenção de desenvolvedores no mundo. Em 11 de setembro de
2001, com o atentado às torres gêmeas o mundo deu ainda mais atenção ao
tema Segurança.

A criticidade e dependabilidade ficaram notórias. Pessoas, sistemas e


Organizações estavam totalmente dependentes de software para executar
suas rotinas. Foi criado um grupo pela ACM (Association of Computing

14
CMM (Capability and Maturity Model) criado pelo Software Engineering Insitute da Universidade de Carneggie Mellon.

149
Governança da Segurança da Informação

Machinery) denominado SPUR (Security/Privacy, Usability, and Reliability). As


questões ligadas a segurança tomavam participação de forma explícita.

Fazendo um paralelo entre as normas e modelos referentes à segurança


da informação e a evolução da produção de software de acordo com o quadro
10.1 percebe-se uma lacuna entre esses dois temas. Apesar do tema
Segurança da Informação remontar a antiguidade com métodos criptográficos
para comunicação (a exemplo da Cifra de César no séc. I a.C) observa-se que
as normas e modelos para Sistemas Computacionais evoluíram somente 3
décadas após os modelos de produção de software.

Quadro 10.1 Fatores de Qualidade e Segurança da Informação e Produção de Software

Década Qualidade e Segurança da Informação Produção de Software


ISO/IEC 27001:2005 Valor agregado para o
ISO/IEC 9126-2:2003 negócio
ISO/IEC 9126-3:2003 Agilidade
2000
ISO/IEC 9126-1 a 9126-4 Segurança, Privacidade,
ISO/IEC 17799 Usabilidade e
Confiabilidade
Padrão Britânico (BSI) BS 7799 1995 Concorrência versus
Código de Prática para Gerenciamento Processo Sequencial
1990
de Segurança - 1992
ISO/IEC 9126
Modelo SW-CMM Produtividade e
1980
Escalabilidade
1970 Formalismo
1960 Software artesanalmente
1950 Software como Hardware
Fonte: elaborado pelo autor

Reflexões

Pode-se entender portanto que os aspectos de segurança da informação


, apesar de remontar a um passado distante no que se refere à criptografia,
mecanismos de defesa militar, privacidade não estão diretamente associados
com as práticas de engenharia de software. A evolução da engenharia de
software também se deu por aspectos mercadológicos competitivos o que
precisou de mecanismos ágeis de desenvolvimento rápido e fácil. Tal cenário
impõe restrições de investimentos em segurança na área do desenvolvimento
de aplicações.

150
Governança da Segurança da Informação

14.3 O Perfil do Recurso Humano na Produção de Software e o


Tratamento das Questões de Segurança.

A produção de software não se dá exclusivamente por pessoas com


capacitação formal em ciência da computação, sistemas de informação,
processamento de dados, engenharia da computação e cursos afins. É comum
presenciar pessoas com outras formações ou mesmo jovens sem ainda terem
concluído o ensino superior nessa atividade.

Parte desse comportamento pode ser explicado pela atividade ser


desenvolvida como um hobby ou mesmo pelas facilidades tecnológicas para
criação de sites, blogs, aplicativos e até mesmo sistemas mais robustos por
meio de geradores de código.

Entretanto, seja profissional formalmente capacitado ou não, o perfil do


desenvolvedor remete às competências ligadas à criatividade, inovação,
agilidade. Enfim, características que exploram novas formas de pensamento,
novas fronteiras tecnológicas, novo desafios. Esse tipo de perfil criador tende
a ignorar ou mesmo dar menos atenção aos riscos inerentes à segurança da
informação.

Portanto, aliado ao perfil do desenvolvedor e uma certa facilidade na


criação de aplicações as questões de segurança ficam de certa forma
comprometidas no processo de criação de software. Existem várias brechas
para ataques, invasões e roubos de informação.

Parte desse fenômeno pode ser explicado pelo comportamento dos


usuários em relação à segurança da informação. Após a revelação do caso de
invasões à privacidade de pessoas, incluindo autoridades globais, por Edward
Snowden, os usuários em um primeiro momento tiveram comportamento
indicando interesse nesse assunto. Entretanto, em pesquisa recente esse
interesse caiu abaixo dos níveis originais (PREIBUSCH, 2015).

Há também, para os profissionais da área, a questão da formação


curricular. Um exame aprofundado nos currículos sugeridos pela ACM para a
Ciência da Computação nos mostra que em 2001 o curriculum oficial
mencionava a segurança e criptografia apenas no corpo de conhecimento de
sistemas operacionais e sistemas centrados em redes como conteúdo optativo
(ACM, 2001).

Posteriormente em 2008, a ACM já traz no seu curriculum a questão de


segurança de maneira mais enfática. Pela primeira vez, explica-se no
documento que de modo mais significativo é importante a preocupação em
escrever software seguro. (ACM, 2008).

151
Governança da Segurança da Informação

Em 2013 a ACM promoveu uma pesquisa para formação da sua base


curricular pautada nos relatórios de 2001 e 2008 onde participaram 1500
departamentos de ciência da computação. Dois tópicos foram aclamados como
de extrema importância para contemplar o novo currículo como áreas de
conhecimento: Computação Paralela e Distribuída e Segurança (ACM, 2013).

Até então, esses tópicos figuravam em outras áreas do conhecimento


como redes de computadores e sistemas operacionais. Foi criada então uma
área do conhecimento denominada IAS (Information Assurance and Secuity).

Percebe-se portanto que também na formação dos profissionais o tema


segurança da informação vem crescendo em importância, mas ainda é algo
recente. Obviamente, mudanças curriculares levam tempo a serem absorvidas
pelas Instituições de ensino, professores e alunos pela própria natureza da
duração destes cursos. Logo, não é difícil de perceber que o reflexo prático
deste conhecimento demore um pouco a chegar nos produtos de software de
maneira mais ampla.

Reflexões

O tema segurança da informação sob a perspectiva da formação do


conhecimento em Ciência da Computação, área fundamental para a criação de
sistemas computacionais tangencia o conhecimento básico. Como pôde ser
observado, nas grades de formação o assunto só teve a importância à partir
desta década.

Os usuários não possuem a preocupação com o tema da maneira como


deveriam e portanto, a formação dos requisitos de usuário e por consequência
dos requisitos de software minimizam a importância do tema na construção dos
softwares. Fato que pode explicar a quantidade de vulnerabilidades das
aplicações legadas.

14.4 Novos desafios na produção de software e a cibersegurança.

A codificação de programas (programação de computadores), atividade


imprescindível na produção de softwares é muito ampla. Pode ser vista desde
a criação de um software para automatizar algumas funções em uma planilha

152
Governança da Segurança da Informação

de cálculo ou editor de texto, passando por criar jogos, interação com mídias,
sistemas transacionais corporativos até sistemas de tempo real e de missão
crítica de alta complexidade.

Em outubro de 2014, uma pesquisa15 realizada com os ministérios da


educação dos países europeus identificou que a programação de
computadores está presente no currículo acadêmico de 12 países como:
Bulgaria, Chipre, República Tcheca, Dinamarca, Estônia, Grécia, Irlanda, Itália,
Lituânia, Polônia, Portugal e Inglaterra.

Os Estados Unidos também estão engajados diretamente nessa


motivação de integrar nas escolas fundamentais a Ciência da Computação por
meio da programação de computadores. Iniciativas como o Scratch
(www.scratch.mit.edu) do MIT (Massachussets Institute of Technology) foram
pioneiras para o ensino da programação de computadores para crianças.

Atualmente, a plataforma CODE.ORG divulga e promove o aprendizado


da programação de computadores e governo Americano está diretamente
engajado desde a administração Clinton. No final de 2014, o Presidente
Barack Obama participou pessoalmente da Semana da Computação que
passou pelos corredores da Casa Branca.

A cada dia, outras plataformas de ensino da programação de


computadores são lançadas com o intuito de agregar cada vez mais pessoas
de diversas formações para o mundo da programação de computadores, tais
como: Appinventor do MIT, site que ensina a programar para dispositivos
móveis, a plataforma CODEA, que permite programar diretamente do IPAD e a
plataforma Alice, que ensina a programação em ambientes 3D e possui
apoiadores como Google, Oracle, EA Sports e Disney.

Esse cenário nos leva a um futuro próximo (até 10 anos) em que o


número de pessoas familiarizadas com a programação de computadores será
significativamente maior. Engenheiros, médicos, artistas, psicólogos terão a
programação como instrumento de atividade complementar às suas atividades
profissionais. Portanto, o cenário que se desenha para o futuro não é de
exclusividade para profissionais de Ciência da Computação nas técnicas de
programação de computadores.

Nesse sentido, iniciativas já vem sendo tomadas por empresas e pela


academia. A exemplo disso, podemos citar o trabalho de (BURNETT &
MYERS, 2014) que indicam uma nova era para a Engenharia de Software onde
o desafio é levar os conceitos de produção de software profissional para
usuários que não são engenheiros de software.

15
Pesquisa realizada pela European Schoolnet, acessível em http://www.eun.org

153
Governança da Segurança da Informação

As pesquisas mostram que o número de usuários que utilizam a


programação em seus ofícios chega a ser 4 vezes maior do que o número de
programadores profissionais e esse número chega a ser 10 vezes maior se
considerados apenas usuários que utilizam ferramentas como Excel para
automatizar algumas funções básicas.

Esse cenário exibe claramente uma pressão no mercado futuro para a


construção de aplicativos e ferramentas de apoio que manipulam e integram
informações de várias fontes e para vários públicos. Como essas ferramentas
para usuários devem ser adaptadas para as suas necessidades é comum que
estejam sendo disponibilizadas na nuvem (Cloud Computing).

O uso da nuvem minimiza vários aspectos da complexidade do


desenvolvimento como a criação do ambiente de programação do
desenvolvedor, repositório dos arquivos fonte, configuração e instalação de
bancos de dados, sistemas operacionais e infraestrutura computacional de
hardware. Nesse sentido empresas como a IBM disponibilizam plataformas
como o Bluemix. Google, Amazon, Oracle e Microsoft também possuem
ambientes similares.

O uso de plataforma de desenvolvimento na nuvem cria cenários de


risco que devem ser endereçados para as questões éticas como segurança,
privacidade, integridade e disponibilidade de informações (AKANDE, APRIL, &
VAN BELLE, 2013) e geram um ambiente de insegurança que deve ser tratado
de forma contundente pelos provedores (Cloudstack, Amazon AWS, VMWare,
Oracle, Adobe, etc.) para evitar atividades criminosas (WLOSINSKI, 2015).

Outras tecnologias e oportunidades também irão surgir para atender a


demanda por ocasião da Internet das Coisas16 (IoT). A criação de sensores e
dispositivos para capturar e produzir dados, redes de comunicação para que as
coisas se interconectem e os sistemas computacionais embarcados se
proliferarão. Com eles, novos riscos à segurança pessoal da informação
também irão surgir em relação à informações médicas, hábitos de consumo,
alarmes residenciais, operações financeiras (GONZALEZ, 2015).

Reflexões

Os desafios atuais e futuros contam com a proliferação de novas


tecnologias e de mais pessoas se envolvendo com a arte da programação.
Esse cenário provocará uma imensa quantidade de soluções em software com
potencial grande para ataques e invasões.

16
Geladeiras, carros, aparadores de grama, fornos, turbinas de avião, carros, etc.

154
Governança da Segurança da Informação

14.5 Como se preparar para a Cibersegurança.

Muito se tem discutido sobre segurança da informação e recentemente o


termo Cibersegurança vem ganhando espaço. A ISACA17 (Associação de
Auditoria e Controle de Sistemas de Informação) é uma associação
internacional que suporta e patrocina o desenvolvimento de metodologias e
certificações para o desempenho das atividades de auditoria e controle em
sistemas de informação.

Mais conhecida pelo framerwork de Governança de TI, COBIT, a ISACA


vem trabalhando na sua plataforma de conhecimento em segurança e
formação profissional de Cibersegurança, denominada CSX (Cibersecurity
Nexus). O tema tem ganhado muita atenção em função do crescimento dos
Cibercrimes e Ciberataques ocorridos principalmente contra pequenas e
médias empresas que possuem linhas de defesa cibernética menos provida de
recursos de contramedida.

Cibercrimes configuram invasões em meios digitais por pessoas ou


Organizações não autorizadas com intuito de roubar informações sigilosas de
indivíduos ou Organizações (ROSS, 2015). Dos cibercrimes mais comuns os
cometidos contra indivíduos são os mais comentados nas redes sociais e mídia
em geral. Após a divulgação de Snowden sobre as invasões americanas
contra países aliados, o que mais se ressaltou foram os cibercrimes cometidos
contra os representantes de países. No Brasil, o caso mais pictórico ocorreu
contra a Presidente da República.

Ciberataques por sua vez implicam em tentativas de danificar uma


pessoa ou Organização. O roubo de uma informação é algo prejudicial, mas
não compromete de maneira perene as funções de negócio essenciais de uma
empresa. Portanto, o ciberataque impede que a Organização cumpra sua
missão (ROSS, 2015).

As Organização devem portanto tratar de forma adequada as


vulnerabilidades em sua Cibersegurança. (SHARKASI, 2015) indica 10 áreas
de melhoria que devem ser tratadas pelas Organizações:

• Área 1: Classificação de dados e inventário de ativos


• Área 2: Riscos de tecnologias emergentes
• Área 3: Uso de módulos de avaliação de riscos sob medida
• Área 4: Riscos da computação em nuvem e residência dos dados
• Área 5: Preocupação com as ameaças internas

17
http://www.isaca.org

155
Governança da Segurança da Informação

• Área 6: Segurança nos pontos de acesso final (notebooks, smartphones,


etc.)
• Área 7: Dificuldade em lidar com sistemas legados
• Área 8: Aplicações de compartilhamento de arquivos
• Área 9: Maturidade de segurança e acesso remoto
• Área 10: Ferramentas de teste para cibersegurança

Fica evidente que precisamos de um modelo para lidar com a


Cibersegurança que envolva de maneira iterativa ações consistentes em várias
frentes de trabalho. Propomos um modelo de governança de segurança da
informação exemplificado na figura 14.1.
Figure 14.1 - Modelo de Governança para Cibersegurança

Fonte: elaborado pelo autor

A priorização dos processos de negócio corporativos essenciais para as


ações de Cibersegurança pauta-se pelo fato de que proteger tudo pode ser
tarefa inviável do ponto de vista do esforço e custo. A classificação da
informação e dos ativos, como propõe (SHARKASI, 2015) na área 1 deve ser
executada. Saber quais são as informações restritas, sigilosas, em que ativos
de informação elas são criadas, transformadas e armazenadas é premissa para
saber o que proteger.

Incluir no planejamento estratégico as questões relacionadas à


Cibersegurança cria condições fundamentais para o comprometimento da alta
gestão. Sem esse comprometimento ações isoladas e descompassadas não

156
Governança da Segurança da Informação

terão os resultados esperados e a falta de recursos financeiros e humanos será


o maior desafio.

A adoção de frameworks globais como o COBIT 5 e o CSX traz


benefícios de conhecimento, formação de profissionais, clareza de ações além
de uma ontologia comum e de amplo acesso. Dentre os 37 processos
existentes no COBIT 5, três são essenciais para se implementar uma
governança de TI nos aspectos de segurança: APO12 – Gerenciar Riscos,
APO13 - Gerenciar Segurança e DSS05 - Gerenciar Serviços de Segurança
(GREENE, 2015).

O modelo de governança de segurança deve continuamente avaliar a


maturidade da política de segurança. Possuir um método para fazer essa
análise é condição imprescindível para que se saiba exatamente o nível de
aderência e se os resultados alcançados na avaliação merecem ações de
melhoria. O trabalho realizado no Brasil com a avaliação de requisitos claros
em conformidade com a ISO 27002:2013 estabelece atributos de regulação,
prevenção/controle e responsabilidade/penalidades das políticas de segurança
de 40 entidades governamentais (LYRA, 2015). Portanto, um modelo de
avaliação de maturidade eficiente deve estar aderente aos padrões globais.

Para garantir a Cibersegurança das Organizações, as mesmas devem


investir em ferramentas especializadas e confiáveis. Nesse sentido, a opção
de aquisição deve ser feita evitando os erros comuns devem ser evitados como
por exemplo não realizar análises de avaliação em função das necessidades
da Organização apenas confiando em um único fornecedor (ANDERSON,
2015).

Realizar uma análise SWOT pode ser útil para a avaliação de uma
ferramenta de segurança, mas também definir os fatores críticos de sucesso
bem como os indicadores chave de desempenho para realizar a escolha certa
deve fazer parte desse processo sistemático (ANDERSON, 2015).

Por fim, estabelecer uma abordagem para o monitoramento contínuo e


identificação e respostas à ameaças devem ser executados para que seja
viável um plano de melhoria no modelo de governança de segurança da
informação. (VOHDRASKY, 2015) e (GREENE, Cibersecurity Detective
Controls - Monitoring to Identify and Respond to Threats, 2015) trazem
trabalhos nesse sentido.

Reflexões

157
Governança da Segurança da Informação

Os desafios atuais e futuros contam com a proliferação de novas


tecnologias e de mais pessoas se envolvendo com a arte da programação.
Esse cenário provocará uma imensa quantidade de soluções em software com
potencial grande para ataques e invasões. Portanto, necessita-se de uma
estratégia contínua para se trabalhar com as ameaças e vulnerabilidades.

158
Governança da Segurança da Informação

Bibliografia

ACM. (2013). Computer Science Curricula 2013. New York: ACM.

ACM. (2008). Computer Science Curriculum 2008: An Interim Revision of CS


2001. ACM. New York: ACM.

ACM. (2001). Computing Curricula 2001 Computer Science. New York: ACM.

AKANDE, O. A., APRIL, N. A., & VAN BELLE, J.-P. (2013). Management
Issues with Cloud Computing. ICCC (pp. 119-124). ACM.

ANDERSON, K. A. (2015). Evaluating Information Security Solutions. ISACA


Journal , 2, 36-40.

BOHEM, B. (2006). A View of 20th and 21st Century Software Engineering.


ICSE’06 (pp. 20-28). Los Angeles: ACM.

BURNETT, M. M., & MYERS, B. A. (2014). Future of End-User Software


Engineering: Beyond the Silos. FOSE 14. Hyderabad: ACM.

GONZALEZ, M. H. (2015). Internet of Things Offers Great Opportunities and


Much Risk. ISACA Journal , 2, 18-23.

GREENE, F. (2015). Cibersecurity Detective Controls - Monitoring to Identify


and Respond to Threats. ISACA Journal , 5, 51-53.

GREENE, F. (2015). Selected COBIT 5 Procecesses for Essential Enterprise


Security. ISACA Journal , 2, 33-35.

LYRA, M. R. (2015). Checking the Maturity of Security Policies for Information


and Communication. ISACA Journal , 2.

POTTER, M., & PREMKUMAR, G. (1995). Special double issue: diffusion of


technological innovation. (E. R. McLean, Ed.) ACM SIGMIS Database , 26, pp.
105-124.

PREIBUSCH, S. (1 de Maio de 2015). Privacy Behaviors After Snowden.


Communications of the ACM , 58, pp. 48-55.

159
Governança da Segurança da Informação

ROSS, S. J. (2015). Information Security Matters: Cyberwhatsit. ISACA Journal


, 2.

SHARKASI, O. Y. (2015). Addressing Cybersecurity Vulnerabilities. ISACA


Journal , 5, 19-29.

VOHDRASKY, D. (2015). A Practical Approach to Continuous Controls


Monitoring. ISACA Journal , 2, 41-47.

WEINBERG, G. M. (1971). The Psychology of Computer Programming,. New


York: Van Nostrand Reinhold.

WLOSINSKI, L. G. (2015). Cloud Insecurities. ISACA Journal , 2, 28-32.

Sobre o autor

Mestre em Gestão do Conhecimento e da Tecnologia


da Informação, professor nos cursos de Pós
Graduação de Gerência de Projetos de TI e
Governança de TI do UniCEUB. Professor nos cursos
de Engenharia de Computação e Ciência da
Computação do UniCEUB desde 2001. Coordenador
do Projeto Fábrica de Software do UniCEUB.
Membro certificado do PMI e Diretor do ISACA-DF.
Atua na área de Tecnologia da Informação há mais de
15 anos principalmente como Gerente de Portfólio de
Projetos de TI. Coordenou projetos nas áreas de
finanças, logística, comercial e de implantação de
processos de qualidade e maturidade de software.
Atualmente é Coordenador de Processos e Produtos
de Software da Empresa Brasileira de Pesquisa
Agropecuária (EMBRAPA)

160
Governança da Segurança da Informação

SOBRE O ORGANIZADOR

Doutor em Ciência da Informação pela


Universidade de Brasília – UNB.
Professor nos cursos de Pós-Graduação de
Gerência de Projetos de TI e Governança de
TI do UniCEUB. Professor nos cursos de
Engenharia de Computação e Ciência da
Computação do UniCEUB.
É certificado PMP, ITIL, COBIT, RUP, CTFL -
Certified Tester, MCSO – Segurança da
Informação, OCUP – OMG Certified UML
Professional e IT Service Management –
ISO/IEC 20000.
Profissional da área de TI desde 1987,
atuando em diversas áreas do setor público e
privado.
Autor do livro Segurança e Auditoria em
Sistema de Informação, publicado pela Editora
Ciência Moderna em 2008.

161