Você está na página 1de 6

27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

A Segurança da Informação sob a


Ótica da Gestão por Processos
(/index.php/site-map/articles/98-a-
seguranca-da-informacao-sob-a-
otica-da-gestao-por-processos)
Segurança Da Informação (/Index.Php/Site-Map/Articles)  Hits: 1279
 Print

RESUMO

A segurança da informação tem ganhado cada vez mais importância dentro das organizações. Em um
mundo voltado a tecnologia e conectividade, as informações fluem em níveis e velocidades nunca antes
experimentados. Neste cenário a segurança também precisa ser ágil, precisa e eficiente. Estas
características podem ser abordadas através da adoção da gestão por processos de segurança da
informação. Partindo de frameworks já reconhecidos e normas internacionais, como a ABNT NBR ISO/IEC
27002, as organizações estão se organizando e evoluindo seus processos de segurança. Isso pode ser
entendido quando comparamos

as pesquisas de maturidade de segurança da informação de 2012 e 2016, realizada pelo Autor. Os


resultados indicam que o tema ainda é foco da área de tecnologia da informação - TI, mais está evoluindo
de maneira significativa. Ainda é possível identificar que as organizações têm dificuldade em tratar um
assunto com sensível quanto este. Outra conclusão importante é que o tema ainda possui campo para
evoluir nas organizações, pela baixa maturidade dos processos identificada na pesquisa. Isso sugere que de
fato ainda existem melhorias a serem desenvolvidas, principalmente nas questões de gestão da segurança
da informação. Isso pode ser encarado como uma oportunidade, uma vez que as organizações já investem
em gestão por processos em outras áreas (principalmente em processos de negócios).

Palavras-chave: Segurança da informação, Gestão por processo, Governança.

1 INTRODUÇÃO

As organizações têm evoluído suas estruturas internas a fim de desenvolver diferenciais competitivos. Esta
evolução, assim como do mundo de uma forma geral, está associada ao uso de novas tecnologias, seja na
elaboração de produtos, seja na operação dos negócios. Nos dias de hoje é possível identificar que o uso da
Internet é um dos principais meios de comunicação, negócios e marketing. Quase sem exceção, toda
organização, com ou sem fins lucrativos, possui uma página eletrônica na Internet, um endereço de correio
eletrônico e por fim algum processo de negócio automatizado que recebe como entrada dados e
informações da Internet.

Mas independente de como a tecnologia está sendo utilizada, a preocupação com a segurança da
informação está em crescimento e se tornou pauta diária para todos, organizações e pessoas. O sentimento
existente é que toda segurança é sempre insuficiente, ou seja, vive-se num sentimento eterno de
insegurança. A velocidade com que as informações são geradas e trocadas está em constante aceleração,

http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=
27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

fazendo com que os seus proprietários não se atentem a questões mais específicas como confidencialidade,
integridade e disponibilidade, os pilares da segurança da informação (ABNT, 2013).

Uma vez que existem normas internacionais de segurança da informação e que o mundo, pessoas e
organizações, precisam cada vez mais estarem conectadas entre si, principalmente pela Internet, e com isso
suas informações devem ser protegidas, como a gestão por processos pode reforçar a segurança da
informação? Este trabalho busca discutir como os processos de segurança da informação existentes na
norma de segurança da informação ABNT NBR ISO/IEC 27002:2013 estão evoluindo dentro das
organizações.

Partindo do princípio que as informações estão cada vez mais disponíveis na Internet e que a troca destas
informações é constante, a preocupação sobre a segurança da informação é vital e ao mesmo tempo deve
ser realizada de forma organizada, consistente e com rápida capacidade de evolução. Em sua pesquisa
sobre modelo de maturidade dos processos de segurança de informação, Johnson (2012) destaca o pouco
uso de ferramentas de planejamento e gestão da segurança, o que dificulta a governança da segurança da
informação.

2 A SEGURANÇA REFORÇADA PELA GESTÃO POR PROCESSOS

2.1 REFERENCIAL TEÓRICO

A segurança da informação tem sido um assunto cada vez mais discutido dentro de todas das organizações
(BAARS et al., 2016), assim como nas escolas e lares. Mas a abordagem da segurança da informação ainda
possui influência das ações de segurança de rede executadas pelas áreas de infraestrutura dos
departamentos Tecnologia da Informação das organizações, como Johnson (2012) conclui em sua pesquisa.

A informação é considerada um ativo dentro das organizações, sendo essencial para os processos de
negócios e por isso precisa ser protegida adequadamente. Ativo é qualquer coisa que tenha valor para a
organização, tendo ou não referência financeira, ou seja, o ativo pode ter um valor financeiro e/ou um valor
intangível para o negócio (ABNT, 2013). Ela existe nas mais diversas formas, como informação impressa,
eletrônica, falada. A segurança da informação é a proteção da informação, sob os mais variados aspectos,
minimizando suas vulnerabilidades e as ameaças relacionadas. Mais objetivamente, é a preservação da
confidencialidade, integridade e disponibilidade da informação (ABNT, 2013).

Porém, as ameaças existem nas mais diversas formas é a causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema, organização ou pessoas. Um incidente é um ou uma série de
eventos indesejados ou inesperados, que tenham ocorrido em um ativo da informação e que possa
comprometer sua confidencialidade, integridade, disponibilidade e que esteja em desacordo com as políticas
de segurança da informação da organização (ABNT, 2013).

As ações de segurança da informação são baseadas em vários tipos de métodos como controles, políticas,
processos e procedimentos. A aplicação destes métodos visa mitigar os riscos aos quais a informação está
exposta devido a sua natureza. Um controle também pode ser entendido como uma proteção ou
contramedida (ABNT, 2013).

Cada vez mais a segurança da informação tem sido entendida como uma deficiência dentro das
organizações, geralmente relacionada a riscos, ameaças, vulnerabilidades e com uma conotação negativa
(BAARS et al., 2016). As primeiras abordagens de segurança foram relacionadas à segurança de redes,
principalmente no início do uso da Internet. Hoje, as organizações já compreendem que a segurança saiu
dos limites da Tecnologia da Informação, atingindo todo o ambiente corporativo.

É muito importante que o alinhamento de controles de uma norma dentro do ambiente corporativo precisa
http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=
27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

estar dentro do alinhamento estratégico, com entrega de valor, gestão de riscos e recursos e,
principalmente, monitorada e avaliada. Estes são os princípios básicos da Governança de Tecnologia da
Informação proposto pelo COBIT em sua versão 5 (ITGI, 2016). A Governança está focada no negócio da
organização e como a TI - Tecnologia da Informação está suportando os processos de negócio através de
processos de TI definidos. Com base nestes princípios de Governança, as organizações passaram a tratar a
Tecnologia da Informação como um parceiro estratégico, com orientação ao negócio.

Vislumbrando este cenário de controle, monitoramento, avaliação de desempenho e alinhamento, é possível


identificar várias iniciativas com o objetivo de prover uma estrutura que apoie a organização a realizar a
Segurança da Segurança da Informação. O guia de Governança da Segurança da Informação para os
Gerentes de Segurança, proposto pelo ITGI (2016), discute um modelo para esta abordagem, concluindo
pela necessidade do desenvolvimento formal de uma estrutura (framework), que possa ser seguida para a
implementação da Governança da Segurança da Informação. Esta estrutura formal deve contemplar a
especificação de objetivos de controle documentados, assim como processos, atividades e modelos de
avaliação de maturidade.

Através da análise de maturidade dos processos de segurança da informação é possível identificar pontos
de melhoria nestes processos. A partir disto, desenvolver um planejamento estratégico de melhoria,
estabelecendo-se o caminho para atingir novos níveis desejados de maturidade. Além disso, por ser uma
abordagem processual é importante adotar os princípios de melhoria contínua propostos pela ISO 9001
(ABNT, 2015).

3 RESULTADOS

Em seu trabalho, Johnson (2012) partiu da norma internacional de segurança da informação, a ABNT NBR
ISO/IEC 27002:2013, e obteve uma estrutura de processos que representa e abrange todas áreas
organizacionais onde a segurança da informação se faz presente. Além disso segregou os processos em
categorias, facilitando o entendimento e compreensão dos mesmos.

Os processos avaliados são listados abaixo, organizados por categoria:

Nome do Processo

POA - Planejamento, Organização e Alinhamento


POA01 - Planejamento Estratégico da Segurança da Informação
POA02 - Política de Segurança da Informação
POA03 - Organização Interna
POA04 - Organização com as Partes Externas
POA05 - Gestão de Risco

ORG - Segurança Organizacional


ORG01 - Responsabilidade pelos Ativos
ORG02 - Classificação da Informação
ORG03 - Segurança em Recursos Humanos
ORG04 - Procedimentos e Responsabilidades Operacionais
ORG05 - Troca de Informações
ORG06 - Requisitos de Negócio para Controle de Acesso
ORG07 - Responsabilidade dos Usuários
ORG08 - Requisitos de Segurança de Sistemas de Informação

FIS - Segurança Física


FIS01 - Áreas Seguras
http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=
27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

FIS02 - Segurança em Equipamentos

TEC - Segurança Técnica


TEC01 - Gerenciamento de Serviços de Terceiros
TEC02 - Planejamento e Aceitação dos Sistemas
TEC03 - Proteção contra Códigos Maliciosos e Códigos Móveis
TEC04 - Cópias de Segurança
TEC05 - Gerenciamento da Segurança em Redes
TEC06 - Manuseio de Mídias
TEC07 - Serviços de Comércio Eletrônico
TEC08 - Gerenciamento de Acesso do Usuário
TEC09 - Controle de Acesso a Rede
TEC10 - Controle de Acesso ao Sistema Operacional
TEC11 - Controle de Acesso a aplicação e a Informação
TEC12 - Computação Movel e Trabalho Remoto
TEC13 - Processamento Correto nas Aplicações
TEC14 - Controles Criptográficos
TEC15 - Segurança dos Arquivos do Sistema
TEC16 - Segurança em Processos de Desenvolvimento e de Suporte
TEC17 - Gestão de Vulnerabilidades Técnicas

GES - Gestão da Segurança


GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação
GES02 - Gestão de Incidentes de Segurança da Informação e Melhorias
GES03 - Monitoramento de Atividades
GES04 - Aspectos da Gestão de Continuidade de Negócios em Segurança da Informação
GES05 - Conformidade com Requisitos Legais
GES06 - Conformidade com normas, políticas de Segurança da Informação e Conformidade Técnica
GES07 - Considerações quanto a Auditoria de Sistemas de Informação

Os resultados da avaliação de maturidade obtido em 2012 estão representados na figura abaixo.

Fonte: JOHNSON, 2012.

A pesquisa foi novamente realizada em 2016, utilizando as mesmas organizações, procedimentos e


ferramentas. Os resultados desta nova avaliação de maturidade obtido estão representados na figura
abaixo.

Fonte: JOHNSON, 2016.

Comparando os resultados entre as pesquisas é possível identificar que as organizações tiveram melhorias
em seus processos de segurança da informação.

A figura abaixo representa a comparação entre as pesquisas.

Fonte: JOHNSON, 2016.

http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=
27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

Pelos resultados é possível entender que houve uma melhora significativa em alguns processos específicos,
como o ORG05 - Troca de Informações, FIS01 - Áreas Seguras, FIS02 - Segurança em Equipamentos,
TEC08 - Gerenciamento de Acesso do Usuário e TEC15 - Segurança dos Arquivos do Sistema. Esses
processos tiveram evolução igual ou maior que um ponto na média de maturidade. Por outro lado, os
processos que menos evoluíram foram o TEC12 - Computação Movel e Trabalho Remoto, GES01 -
Notificação de Fragilidades e Eventos de Segurança da Informação e GES03 - Monitoramento de
Atividades.

Em relação ao nível de maturidade, os três processos com maior nível de maturidade foram o FIS01 - Áreas
Seguras (3,8), TEC08 - Gerenciamento de Acesso do Usuário (3,8) e o TEC05 - Gerenciamento da
Segurança em Redes (3,5). Por outro lado, os três processos com menor nível de maturidade foram o
GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação (1,4), POA01 - Planejamento
Estratégico da Segurança da Informação (1,6) e o ORG01 - Responsabilidade pelos Ativos (1,6).

De maneira geral os processos de segurança da informação estão evoluindo dentro das organizações, seja
mediante a melhora da visão estratégica das empresas em relação ao tema, seja pelas dificuldades
enfrentadas pelas mesmas quando existe um incidente de segurança.

O processo que chamou a atenção negativamente foi o GES01 - Notificação de Fragilidades e Eventos de
Segurança da Informação, pois além de ter evoluído muito pouco comparado com os demais processos,
somente 0,3, ele é o processo com menor nível de maturidade. Isso pode ser explicado parcialmente pelo
nível de sigilo que as organizações mantêm em relação as suas fragilidades e incidentes de segurança.
Muitas vezes notificar uma fragilidade pode significar uma perda de valor na imagem corporativa ou mesmo
representar um certo grau de ineficiência das equipes de segurança. Por outro lado, é justamente através da
divulgação e compartilhamento dessas informações que as demais organizações podem se preparar mais e
melhor, evitando o mesmo tipo de fragilidade e/ou incidente.

O processo que chamou a atenção positivamente foi o TEC08 - Gerenciamento de Acesso do Usuário, pois
além de ser um dos três processos que mais evoluiu, ele também é um dos processos com maior
maturidade. Em termos tecnológicos este processo representa o conceito de Gestão de Identidades (IDM –
Identity Management), que nos últimos anos representou a grande maioria dos projetos de segurança da
informação nas organizações. O IDM sempre foi colocado como fragilidade e as organizações investiram
muito em sistemas de automação na concessão e revogação de acesso, trazendo maior controle e
eficiência as equipes de segurança da informação e auditoria de TI.

3.1 CONSIDERAÇÕES FINAIS

A evolução dos processos de segurança da informação está diretamente relacionada a gestão por
processos. Cada vez mais as organizações estão investindo em tecnologia, pessoas e processos. Já é
possível encontrar organizações possuem programas específicos de gestão por processos, formando
pessoas e buscando maior eficiência e eficácia operacional.

As áreas de tecnologia da informação também têm adotado fortemente frameworks baseados em


processos, como o ITIL (ITSMF, 2016) e COBIT (ITGI, 2016). Em ambos frameworks existem processos
específicos ao tratamento da segurança da informação e estão diretamente relacionados às normas
internacionais de segurança, como a ABNT NBR ISO/IEC 27002:2013.

Os principais produtos e soluções de segurança da informação exigem para um desempenho adequado que
as organizações possuam processos de segurança e gestão maduros. Com isso é possível prever que os
níveis de maturidades dos processos estão em pleno crescimento, uns mais que os outros.
http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=
27/04/2018 A Segurança da Informação sob a Ótica da Gestão por Processos

Por fim, pode-se concluir que a visão de processos está sendo adotada em toda a organização, desde as
áreas mais importantes de negócio, até as áreas que atuam como suporte ao negócio, conhecidas como
CSC (Centro de Serviços Compartilhados).

REFERÊNCIAS

ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ABNT NBR ISO/IEC 9001:2015 -
Sistemas de gestão da qualidade - Requisitos. Rio de Janeiro. ABNT, 2015.

ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ABNT NBR ISO/IEC 27002:2013 -
Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da
informação. Rio de Janeiro, 2013.

BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. Information Security Foundation based
on ISO/IEC 27002 Courseware. Van Haren, the Netherlands, 2016.

DOMO – Domo Consulting. Disponível em <http://www.domo.com>. Acesso em: 12/10/2016.

ITGI - Information Technology Governance Institute. COBIT 5, Rolling Meadows, 2016.

ITSMF – Information Technology Service Management Forum International – ITIL. Disponível em


<http://www.itsmfi.org>. Acesso em: 11/08/2016.

ISACA - Disponível em <http://www.isaca.org>. Acesso em: 12/10/2016.

JOHNSON, L.; Proposta de uma Estrutura de Análise de Maturidade dos Processos de Segurança da
Informação com base na norma ABNT NBR ISO/IEC 27002:2005. Dissertação (Mestrado). Universidade
Federal do Paraná, 2012.

OCDE - Organização para a Cooperação e o Desenvolvimento Econômico. Members and partners.


Disponível em <http://www.oecd.org>. Acesso em: 30/09/2016.

PMI - Project Management Institute. PMBOK 5. Disponível em <http://www.pmi.org>. Acesso em:


19/09/2016.

SANTOS, A. R. dos. Metodologia Científica a construção do conhecimento. 2. ed. - Rio de Janeiro: DP&A
editora, 1999.

TCU – Tribunal de Contas da União. Relatório de levantamento. Avaliação da Governança de Tecnologia da


Informação na Administração Pública Federal. Constatação de Precariedades e Oportunidades de Melhoria.
Determinações, Recomendações e Comunicações. Brasília, TCU, 2014.

http://iso27000.com.br/index.php/site-map/articles/98-a-seguranca-da-informacao-sob-a-otica-da-gestao-por-processos?tmpl=component&print=1&page=