![1. Introdução
A informação é um recurso primordial para todas as organizações, uma vez que seus
dirigentes necessitam de informações confiáveis para tomar decisões corporativas de
forma segura e eficaz. Porém, com o aumento de constantes ameaças às quais essas
informações estão expostas, as organizações vivem sob constante risco de sofrer com
vazamento ou perda de informações, bem como a indisponibilidade de seus serviços,
comprometendo a continuidade dos negócios e a sua reputação.
A preocupação com segurança da informação vem aumentando nos últimos
anos. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança), que é responsável por tratar incidentes de segurança em computadores que
envolvam redes conectadas à internet brasileira, divulgou as estatísticas de incidentes
reportados entre 1999 a 2015, conforme pode ser visto na figura abaixo:
Figura 1 Total de Incidentes de Segurança no período de 1999 a 2015. Fonte:
[CERT.br 2015]
Como pode ser visto, o total de notificações recebidas em 2014 foi 197% maior
que o total de 2013, havendo uma redução em 2015 de 31% com relação à 2014. A
título de ilustração, dentre os incidentes reportados, houve um aumento de 128% nas
notificações de ataques a servidores Web em relação a 2014, totalizando 65.647
notificações. Além disso, 54,02% dos ataques reportados tem origem do Brasil
[CERT.br 2015].
Diante desse quadro, as organizações estão cada vez mais preocupadas com a
segurança de suas informações. Mas para assegurar isso, é necessário que a alta
administração da organização planeje e implemente uma adequada governança e gestão
da segurança da informação e, para isso, pode contar com a orientação do framework de
governança de TI COBIT®
5.
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos
habilitadores do framework de governança de tecnologia da informação COBIT®
5 na
segurança da informação com o objetivo de descrever sucintamente essa aplicação, em
combinação com as normas de segurança da informação e boas práticas encontradas na](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação
Similar to Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação (20)
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação
- 1. Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação Luzia Moreira de Abreu Dourado, André Luiz Alves Pontifícia Universidade Católica de Goiás (PUC Goiás) Goiânia – GO, Brasil. lmdourado@gmail.com, andre.luiz@pucgoias.edu.br Resumo. A informação é um recurso primordial para todas as organizações, uma vez que seus dirigentes necessitam de informações confiáveis para tomar decisões corporativas de forma segura e eficaz. Como essas informações estão expostas a vários tipos de ameaças que podem modificá-las ou destruí-las, elas devem ser adequadamente protegidas, garantindo a continuidade do negócio e a reputação da organização. Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação. Palavras-chave: COBIT® 5, governança, segurança da informação, ISO/IEC 27002:2013, ABNT NBR ISO/IEC 27014:2013. Abstract. Information is a key resource for all organizations, since their leaders need reliable information to make business decisions safely and effectively. As this information is exposed to various types of threats that can modify them or destroy them, they must be adequately protected, ensuring business continuity and reputation of the organization. This article aims to present an analysis of the applicability of the enablers of information technology governance framework COBIT® 5 in information security in order to succinctly describe this application in combination with information security standards and good practices founded in literature, in order to assist in the implementation of effective governance and information security management. Keywords: COBIT® 5, governance, information security, ISO/IEC 27002:2013, ABNT NBR ISO/IEC 27014:2013.
- 2. 1. Introdução A informação é um recurso primordial para todas as organizações, uma vez que seus dirigentes necessitam de informações confiáveis para tomar decisões corporativas de forma segura e eficaz. Porém, com o aumento de constantes ameaças às quais essas informações estão expostas, as organizações vivem sob constante risco de sofrer com vazamento ou perda de informações, bem como a indisponibilidade de seus serviços, comprometendo a continuidade dos negócios e a sua reputação. A preocupação com segurança da informação vem aumentando nos últimos anos. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança), que é responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à internet brasileira, divulgou as estatísticas de incidentes reportados entre 1999 a 2015, conforme pode ser visto na figura abaixo: Figura 1 Total de Incidentes de Segurança no período de 1999 a 2015. Fonte: [CERT.br 2015] Como pode ser visto, o total de notificações recebidas em 2014 foi 197% maior que o total de 2013, havendo uma redução em 2015 de 31% com relação à 2014. A título de ilustração, dentre os incidentes reportados, houve um aumento de 128% nas notificações de ataques a servidores Web em relação a 2014, totalizando 65.647 notificações. Além disso, 54,02% dos ataques reportados tem origem do Brasil [CERT.br 2015]. Diante desse quadro, as organizações estão cada vez mais preocupadas com a segurança de suas informações. Mas para assegurar isso, é necessário que a alta administração da organização planeje e implemente uma adequada governança e gestão da segurança da informação e, para isso, pode contar com a orientação do framework de governança de TI COBIT® 5. Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na
- 3. literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação. Foram utilizados como insumos principais para esta análise o framework de governança de TI COBIT® 5, o guia COBIT® 5 para a Segurança da Informação, assim como as normas de segurança da informação ISO/IEC27002:2013 e a ABNT NBR ISO/IEC 27014:2013. O presente trabalho está organizado em cinco seções: a seção 2 apresenta os conceitos de segurança da informação; a seção 3 apresenta as normas de segurança da informação; a seção 4 apresenta o COBIT® 5 e o COBIT® 5 para a Segurança da Informação; a seção 5 apresenta a análise dos habilitadores do COBIT® 5 com foco na segurança da informação, demonstrando o inter-relacionamento entre os habilitadores e a seção 6 apresenta a conclusão desse trabalho. 2. Segurança da Informação A segurança da informação refere-se à proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. O principal objetivo da segurança informação é a entrega de informações confiáveis para que a alta administração da organização possa realizar a tomada de decisões de forma eficaz e segura e assim evitar impactos financeiros, operacionais e de imagem. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos [ISO 2013b]. 3. Normas de segurança da informação: ISO/IEC 27001:2013, ISO/IEC 27002:2013 e ABNT NBR ISO/IEC 27014:2013 A norma ISO ABNT 27014:2013 fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. Apresenta seis princípios que direcionam as diretrizes e ações de segurança da informação, a saber [ABNT 2013]: 1. Estabelecer a segurança da informação em toda a organização. 2. Adotar uma abordagem baseada em riscos. 3. Estabelecer a direção de decisões de investimento. 4. Assegurar conformidade com os requisitos internos e externos. 5. Promover um ambiente positivo de segurança.
- 4. 6. Analisar criticamente o desempenho em relação aos resultados de negócios. Além disso, apresenta um modelo de implantação da governança de segurança da informação por meio de processos, que são: Avaliação, para avaliar o alcance dos objetivos de segurança estabelecidos na estratégia e determinar ajustes necessários para otimizar o alcance dos objetivos estratégicos no futuro, considerando as necessidades atuais e futuras do negócio; Direção, no qual a alta administração fornece o direcionamento para a estratégia de segurança da informação; Monitoramento, para acompanhar o desempenho das atividades de segurança da informação por meio de indicadores mensuráveis, e assegurar conformidade com requisitos internos e externos; • Comunicação, para que as partes interessadas sejam notificadas sobre o nível de segurança da informação praticada pela organização; Garantia, que é executado por uma auditoria independente de segurança da informação. Por sua vez, a norma ISO/IEC 27001:2013 é referência internacional para a gestão da segurança da informação, fornecendo requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). A fim de auxiliar no processo de implementação de um SGSI, a norma ISO/IEC 27002:2013 fornece diretrizes para práticas de gestão de segurança da informação, por meio de 114 controles de segurança. 4. COBIT® 5 O COBIT® 5, desenvolvido e difundido pela ISACA (Information System Audit and Control) e publicado em 2012, é um framework de governança e gestão corporativa de TI que tem como objetivo permitir que a TI seja governada e gerenciada de forma holística por toda a organização e ajudar as organizações a criar valor para TI, mantendo o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e o uso de recursos [ISACA 2012a]. Este framework é fundamentado em 5 princípios de governança corporativa de TI que permitem que a organização construa um framework efetivo de governança e gestão de TI. Esses princípios são: 1. Atender as necessidades das partes interessadas 2. Cobrir a organização de ponta a ponta 3. Aplicar um framework (modelo) único e integrado 4. Permitir uma abordagem holística 5. Distinguir a governança da gestão Este framework é baseado em um conjunto holístico de 7 categorias de enablers (ou habilitadores) que otimizam investimentos em tecnologia e informação utilizados para o benefício das partes interessadas. Essas categorias de habilitadores são:
- 5. Princípios, políticas e modelos: são os veículos que traduzem o comportamento desejado em um guia prático para a gestão diária; Processos: descrevem um conjunto organizado de práticas e atividades para atingir determinados objetivos e produzem um conjunto de saídas que auxiliam no cumprimento dos objetivos de TI. Estruturas organizacionais: são as entidades-chave responsáveis pela tomada e decisão em uma organização; Cultura, ética e comportamento dos indivíduos e da organização: muito frequentemente subestimada como um fator de sucesso nas atividades de governança e gestão; Informação: que representa todas as informações produzidas e utilizadas pela organização e é imprescindível para manter a organização em funcionamento e bem governada; Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e aplicações que fornecem à organização os serviços de TI; Pessoas, habilidades e competências: estão associadas às pessoas e são necessárias para que as atividades sejam executadas com sucesso e para que decisões e ações corretivas sejam realizadas de forma correta. Além disso, O COBIT® 5 possui um modelo de referência de processos que subdivide os 37 processos de TI em domínios de governança e gestão. Sob a ótica da segurança da informação, a ISACA apresenta o COBIT® 5 para a Segurança da Informação que provê um guia específico detalhando cada um desses habilitadores de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação [ISACA 2012b]. Além desse guia, outros modelos podem ser utilizados para auxiliar nessa implementação, tais como as normas ISO/IEC 27002:2013 e ABNT 27014:2013. 5. Habilitadores do COBIT® 5 sob a perspectiva da segurança da informação Habilitadores são fatores que, individualmente e/ou em conjunto, influenciam no funcionamento de algo, nesse caso, na governança e gestão de segurança da informação. Os habilitadores são orientados pelos objetivos de segurança da informação, ou seja, esses objetivos definem o que os diferentes habilitadores deverão alcançar [ISACA 2012a]. Conforme descrito na seção 3, o framework COBIT® 5 define sete categorias de habilitadores. No tocante à segurança da informação, cada habilitador é descrito no guia COBIT® 5 para a segurança da informação e neste artigo é analisado sucintamente considerando as orientações desse guia, além do que preconiza as normas de segurança da informação e as referências bibliográficas pesquisadas. Esses habilitadores são descritos da seguinte forma:
- 6. 5.1.1.Princípios, Políticas e Modelos Os princípios, as políticas e os modelos são o veículo pelo qual as decisões relativas à governança e gestão de segurança da informação são institucionalizadas e, por essa razão, agem como elementos integradores entre o estabelecimento da direção e as atividades de gestão [ISACA 2012a]. Para que as ações de segurança da informação possam contribuir com os objetivos estratégicos da organização, inicialmente é necessária a definição de princípios para a segurança da informação, a elaboração de políticas e o desenvolvimento de modelo de governança e gestão de segurança da informação. Os princípios, que norteiam todas as diretrizes e ações de segurança da informação, são a declaração de alto nível de como a segurança da informação será utilizada no negócio da organização [Manoel 2014]. Como exemplos de princípios, [ABNT 2013] define os seis princípios para a segurança da informação que foram descritos na seção 3. Ao definir os princípios de segurança da informação, é necessário que a organização elabore um conjunto de políticas e normas para a segurança da informação para que o processo de proteção da informação possa ser elaborado, implantado e mantido. As políticas fornecem orientações sobre como colocar esses princípios em prática e influenciam como a tomada de decisão se alinha aos princípios. Para cada política definida é necessária a elaboração de um conjunto de normas de segurança, de maneira a garantir que os procedimentos estejam coerentes com a política. O COBIT® 5 para Segurança da Informação recomenda que a organização elabore um modelo de políticas, composto de uma política geral e de um conjunto de políticas mais específicas. Segundo [Fontes 2012], a organização pode estabelecer uma arquitetura de regulamentos para segurança das informações, conforme apresentado na figura abaixo: Figura 2 Arquitetura de Regulamentos de Segurança da Informação. Fonte: [Fontes 2012]
- 7. No primeiro nível, a organização define uma política de segurança da informação, que contém as diretrizes gerais a serem seguidas e que deverá ser aprovada pelo Presidente da organização. No segundo nível, há o conjunto de políticas mais específicas que detalham a política de segurança da informação a fim de orientar a implementação dos controles de segurança. É fundamental que esse conjunto de políticas contemple os controles definidos pelas normas internacionais de segurança da informação. Portanto, esse conjunto pode abordar os tópicos de segurança da informação definidas na norma ISO/IEC 27002:2013, a saber: controle de acesso físico e lógico à informação; gestão de ativos; classificação e tratamento da informação; segurança física e do ambiente; cópias de segurança; controles criptográficos; manutenção, desenvolvimento e aquisição de sistemas; relacionamento com fornecedores; gerenciamento das operações e comunicações; gerenciamento de incidentes. gerenciamento da continuidade de negócio. conscientização e treinamento de usuários. gestão de riscos. A partir do terceiro nível são definidas as normas que contém as regras básicas de como deve ser implementado o controle (ou conjunto de controles) que foi definido pelas políticas, e os procedimentos que contém atividades que detalham como deve ser implantado o controle ou conjunto de controles. Cada política deve definir seus objetivos, escopo, obrigações e responsabilidades, assim como deve ser periodicamente revisada para adequá-la às mudanças que ocorrem na organização ou no ambiente em que opera [ISACA 2012a]. Como forma de auxiliar na elaboração da política de segurança da informação, [Fontes 2012] definiu um padrão mínimo de política de segurança da informação que pode ser um patamar inicial de controles de segurança e facilitar para a organização que está começando seu processo de segurança da informação. Para que esse conjunto de políticas alcance os objetivos de segurança da informação da organização, é necessário que sejam comunicadas a todas as partes interessadas (internas e externas) da organização, por meio de um programa de conscientização, educação e treinamento, e sejam disponibilizadas em local de fácil acesso [ISO 2013b].
- 8. Por fim, a organização pode estabelecer um modelo de governança e gestão para prover estrutura, orientação e ferramentas que possibilitem a governança e o gerenciamento apropriados [ISACA 2012a]. Como exemplos de modelos, tem-se a lista abaixo. Essa lista não é exaustiva nem exclusiva, podendo ser adotado outros modelos: Governança de segurança da informação: ABNT 27014:2013; Gestão de segurança da informação: ISO/IEC 27001:2013, complementado pelas práticas de controle da ISO/IEC 27002:2013. Para a implementação desses modelos, pode-se seguir as orientações do COBIT® 5 e COBIT® 5 para Segurança da Informação. Os Princípios, Políticas e Modelos possuem uma forte ligação com o habilitador Cultura, Ética e Comportamento, pois refletem os valores culturais e éticos da organização, e devem estimular o comportamento desejado. Além disso, as Estruturas Organizacionais podem definir e implementar as políticas dentro da sua própria abrangência de controle e as suas atividades também são definidas por essas políticas. O habilitador Processos com suas práticas e atividades também podem auxiliar na implementação dessas políticas [ISACA 2012a]. 5.1.2.Processos Processos descrevem um conjunto organizado de práticas e atividades para alcançar determinados objetivos e produzir um conjunto de saídas para apoiar o alcance de metas relacionadas à tecnologia da informação de uma organização [ISACA 2012a]. O COBIT® 5 possui um modelo de referência de processos que subdivide os 37 processos de TI em domínios de governança e gestão, sendo cinco processos relacionados à governança e 32 ligados à gestão de TI. Como não é possível determinar um conjunto de processos que possa ser aplicado a todas as organizações, convém selecionar e implementar processos com base no diagnóstico de segurança da informação e nos cenários de risco e que sejam capazes de melhorar a segurança da informação da organização, maximizando assim a entrega de valor para as partes interessadas. [Manoel 2014] elaborou uma matriz de alinhamento entre os processos do modelo de governança de segurança da informação ABNT 27014:2013 com os processos do COBIT® 5 que são suficientes para implantar os processos-chave desse modelo de governança, conforme tabela abaixo: Tabela 1 Modelos de Governança de Segurança da Informação. Fonte: [Manoel 2014] Implantação dos Modelos de Governança de Segurança da Informação ABNT 27014:2013 COBIT® 5 Avaliação MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno
- 9. MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Direção APO01 – Gerenciar o Framework de Gestão de Segurança da Informação APO02 – Gerenciar a Estratégia APO04 – Gerenciar a Inovação APO05 – Gerenciar o Portfólio APO06 – Gerenciar o Orçamento e os Custos APO08 – Gerenciar Relacionamentos APO11 – Gerenciar a Qualidade APO12 – Gerenciar os Riscos APO13 – Gerenciar a Segurança Monitoração MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Comunicação APO08 – Gerenciar as Relações Garantia MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Para a implementação dos processos na perspectiva da segurança da informação, o COBIT® 5 para Segurança da Informação apresenta informações complementares para cada um dos processos, incluindo detalhes de objetivos, métricas e atividades específicas de segurança da informação. Como forma de auxiliar na seleção das práticas de segurança da informação contidas na ISO/IEC 27002:2013 a serem implementadas, [Pimentel, Tavares & Ferreira 2015] realizou um mapeamento das práticas de segurança da informação contidas nessa norma com os processos do COBIT® 5, a fim de ser mais um recurso para orientação na implementação dos processos. O habilitador Processos se relaciona com o habilitador Informações, pois processos necessitam de informações (como um dos tipos de entrada) e podem produzir informações (como um produto do trabalho). Processos necessitam de Estruturas Organizacionais e papéis para funcionar, conforme demonstrado nas tabelas RACI, como por exemplo, comitê de segurança da informação, diretor de segurança da informação, gerente de segurança da informação, diretor executivo, etc. Além disso, Processos podem depender de outros processos; podem produzir, e também requerer, capacidades de serviço definidas no habilitador Serviços, Infraestrutura e Aplicativos e necessitar de políticas e procedimentos definidos no habilitador Princípios, Políticas e Modelos para garantir a consistência da implementação e execução. Por fim, a qualidade da execução dos processos é determinada pelo habilitador Cultura, Ética e Comportamento, por meio dos aspectos culturais e comportamentais da organização [ISACA 2012a].
- 10. 5.1.3.Estruturas organizacionais As estruturas organizacionais são as principais entidades de tomada de decisão de uma organização que devem direcionar, organizar e estruturar as atividades de governança e gestão de segurança da informação. Para o funcionamento adequado dessas estruturas, é necessário que sejam definidas as disposições práticas sobre como a estrutura operará, a composição, competências, responsabilidades de cada papel dentro da estrutura, duração do mandato, nível de autoridade e procedimentos de escalação com as ações necessárias no caso de problemas com a tomada de decisão [ISACA, 2012a]. Os principais papéis e estruturas organizacionais relacionadas à segurança da informação comumente encontradas nas organizações são [ITGI 2008][Manoel 2014][ISACA 2012b]: 5.1.3.1. Comitê de Segurança da Informação O Comitê de Segurança da Informação tem a finalidade de formular e conduzir diretrizes para a segurança da informação em conformidade com os objetivos estratégicos da organização, deliberar sobre os aspectos que demandam o envolvimento da alta administração e garantir, por meio de monitoramento, que as boas práticas de segurança da informação sejam aplicadas de forma eficaz e consistente na organização [ISACA, 2012a]. As responsabilidades desse Comitê incluem, mas não estão limitadas a [Manoel 2014]: decisão sobre os investimentos de Segurança da Informação; aprovação do Plano Estratégico de Segurança da Informação; cobrança dos resultados positivos da área de gestão que são esperados do modelo de governança de segurança da Informação. 5.1.3.2. Diretor de Segurança da Informação O Diretor de Segurança da Informação, também conhecido como Chief Information Security Officer (CISO), é o responsável geral pelo programa de segurança da informação da organização. Segundo [Manoel 2014], ele deve estar subordinado diretamente ao presidente da organização e não à área de TI, pois essa área é a mais afetada com as ações de segurança da informação e, como a área de segurança da informação é responsável por fiscalizar e auditar o cumprimento de suas determinações, pode ocorrer conflito de interesse ao expor as infrações da área de TI. O Diretor de Segurança da Informação deve fazer o alinhamento das decisões estratégicas de Segurança da Informação (que serão disponibilizadas em forma de diretrizes pelo Comitê de Segurança da Informação) com a gestão de segurança da Informação. As responsabilidades do Diretor de Segurança da Informação incluem, mas não estão limitadas a [ITGI 2008] [ISACA 2012b][Manoel 2014]:
- 11. Elaborar e enviar o Plano Estratégico de Segurança da Informação para aprovação do Comitê de Segurança da Informação; Coordenar o comitê de Segurança da Informação; Promover a divulgação de segurança da informação no âmbito da organização; Acompanhar as investigações de incidentes de Segurança da Informação e as avaliações dos danos decorrentes de quebra de segurança. Estabelecer, manter e monitorar o sistema de gestão de segurança da informação (SGSI). 5.1.3.3. Gerente de Segurança da Informação O Gerente de Segurança da Informação é o responsável que administra, projeta, supervisiona e/ou avalia a segurança da informação de uma organização. As responsabilidades do Gerente de Segurança da Informação incluem, mas não estão limitadas a [ISACA 2012b]: Realizar avaliações de risco de informação e definir o perfil de risco da informação; Desenvolver plano de segurança de informação que identifica o ambiente de segurança da informação e os controles a serem implementados pela equipe para proteger os ativos organizacionais. Monitorar os controles internos implementados, coletar e analisar desempenho e conformidade dos dados relativos à segurança da informação e gerenciamento de risco; Fornecer maneiras de melhorar a eficiência e eficácia da função de segurança da informação (por exemplo, através da capacitação de pessoal de segurança da informação; documentação de processos, tecnologia e aplicações; e automação padronização do processo). 5.1.3.4. Equipe de Segurança da Informação A Equipe de Segurança da Informação deve implementar as ações de segurança conforme orientações do Diretor de Segurança da Informação. As responsabilidades da Equipe de Segurança da Informação incluem, mas não estão limitadas a [Manoel 2014]: Definir, implementar, controlar e revisar controles de segurança da informação; Avaliar os procedimentos de segurança da informação, reportando seus resultados e discutindo com os envolvidos as melhorias necessárias; Tratar os incidentes de segurança da informação. Prover e administrar salvaguardas físicas contra acessos não autorizados, protegendo contra eventuais prejuízos no negócio da organização;
- 12. O habilitador Estruturas organizacionais possuem relacionamento com o habilitador Políticas, Princípios e Modelos, pois as atividades que as estruturas organizacionais desempenham e os seus níveis de autoridade são estabelecidos pelas políticas da organização, como por exemplo, a política de segurança da informação. Além disso, relaciona-se com o habilitador Processos à medida que os papéis e estruturas organizacionais são associadas às atividades de processos por meio de matrizes RACI que descrevem o nível de envolvimento de cada papel em cada prática de processo: Responsável, Aprovador, Consultado ou Informado. Ainda possui relação com o habilitador Cultura, Ética e Comportamento porque este determina a eficiência e eficácia das estruturas organizacionais e de suas decisões; o habilitador Pessoas, Habilidades e Competências definem o conjunto adequado de habilidades adequadas dos membros que compõem as estruturas organizacionais[ISACA 2012a]. 5.1.4.Cultura, Ética e Comportamento O habilitador Cultura, Ética e Comportamento referem-se ao conjunto de comportamentos individuais e coletivos de cada organização. O comportamento de todos os membros da organização determina a sua cultura, logo o comportamento humano é o fator chave para o sucesso da segurança da informação em uma organização [ISACA 2012a]. As pessoas são o ativo organizacional mais vulnerável, uma vez que sempre estará sujeito a ameaças como ataques de engenharia social, que são um tipo de ameaça de segurança contra pessoas inocentes que podem resultar em perda de dados ou vazamento de informações. Segundo a Pesquisa Global de Segurança da Informação 2016 realizada pela PricewaterhouseCoopers (PwC), 34% dos incidentes de segurança são atribuídos aos empregados das organizações e no Brasil esse percentual sobe para 41% [PWC 2016]. Portanto, para mitigar esses riscos e para que as ações de segurança da informação sejam eficazmente realizadas, a alta administração deve comunicar e incentivar toda a organização o comportamento em segurança da informação desejado. Isso é obtido por meio da divulgação das políticas de segurança da informação que orienta detalhadamente sobre esse comportamento desejado. Além disso, a organização deve estabelecer uma cultura de segurança da informação por meio do desenvolvimento de um programa de educação e conscientização de segurança da informação, que trata de educar todas as pessoas em uma organização para que elas possam ajudar a proteger os ativos de informação da organização. Esse programa de educação e conscientização de segurança da informação deve fazer com que as pessoas compreendam e respeitem as políticas e princípios de segurança da informação, sejam conscientizadas da sua responsabilidade pela proteção das informações e encorajadas a praticar a segurança em suas operações diárias. Além disso, devem ser capacitadas para identificar um incidente de segurança da informação e como reportar e reagir caso isso ocorra.
- 13. [ISACA 2012b] recomenda que se faça uma avaliação da cultura organizacional de segurança da informação, por meio da aferição de comportamentos, que podem incluir, dentre outros: Uso de crachá; Discussão pública de informação confidencial; Força das senhas; Proteção de senha do usuário na prática; Percentual de adequada rotulação de informações classificadas (eletrônicas e impressas) Além disso, recomenda a conscientização do comportamento que a organização deseja seja reforçada por exemplos de comportamentos exercidos pela alta administração e outras lideranças, tais como gestores de risco, profissionais de segurança e executivos. O habilitador Cultura, Ética e Comportamento se relaciona com o habilitador Princípios, políticas e modelos, pois aquele é um mecanismo de comunicação muito importante dos valores corporativos e do comportamento desejado; com o habilitador Processos, pois os resultados do processo serão alcançados somente se as partes interessadas do processo se comprometam a realizar as atividades do processo conforme planejado e se relaciona com o habilitador Estruturas Organizacionais porque as pessoas responsáveis por essas estruturas precisam estar comprometidas com a implementação as decisões que elas tomam [ISACA 2012a]. 5.1.5.Informação A Informação é um habilitador chave para a segurança da informação, pois a alta administração da organização utiliza informações para a tomada de decisões, como por exemplo, o Comitê de Segurança da Informação pode utilizar o diagnóstico da situação atual de segurança da organização para desenvolver a estratégia de segurança da informação. Esse habilitador intrage com todos os demais habilitadores [ISACA 2012b]. Para cada tipo de informação existente na organização é necessário identificar as partes interessadas na informação, bem como o relacionamento entre essas partes e o tipo de informação. Esses relacionamentos definem quem é o produtor da informação, quem aprova a informação, quem é informado sobre ela e quem pode utilizá-la. Além disso, a norma ISO/IEC 2702:2013 recomenda a classificação das informações em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada, a fim de fornecer às pessoas que lidam com informações uma indicação concisa de como tratar e proteger a informação. Essa classificação auxilia na definição de procedimentos de segurança para o tratamento, processamento, armazenamento, compartilhamento, transmissão, uso e descarte da informação [ABNT 2013]. Para que a segurança das informações seja garantida, o guia COBIT® 5 para segurança da informação relaciona os tipos de informações que são relevantes na governança e gestão de segurança da informação, a saber [ISACA 2012b]:
- 14. Estratégia de segurança da informação; Plano de investimentos em segurança; Plano e políticas de segurança da informação; Requisitos de Segurança da Informação, que podem incluir requisitos de configuração de segurança da informação e acordos de níveis de serviço; Materiais de conscientização; Relatórios de revisão, incluindo relatório sobre a maturidade da segurança na organização, de ameaças e vulnerabilidades; Catálogo de serviços de segurança da informação; Relatórios sobre o gerenciamento de riscos da informação; Dashboard de segurança da informação, que inclui o acompanhamento dos indicadores de resultados, os problemas e incidentes de segurança da informação. Para cada tipo de informação supracitada, esse guia especifica as partes interessadas e seus relacionamentos com o tipo de informação. 5.1.6.Serviços, Infraestrutura e Aplicações O habilitador Serviços, Infraestrutura e Aplicações identifica as capacidades de serviços que são necessários para prover a segurança da informação [ISACA 2012b]. Para isso, os serviços necessitam de infraestrutura e de aplicações adequadas além de serem bem gerenciados, com a mensuração de seus resultados que contribuam para o negócio da organização. Segundo [ISACA 2012a], as capacidades de serviço possuem um ciclo de vida e são descritas em uma arquitetura. Essa arquitetura norteia a implementação dessas capacidades, descrevendo as conexões e as relações entre os serviços, aplicativos e infraestrutura planejados. No tocante à segurança da informação, os serviços relacionados à segurança são planejados para prover a implementação dos controles de segurança selecionados para a mitigação dos riscos levantados na análise/avaliação de riscos, assim como para implementar as diretrizes das políticas de segurança. A lista a seguir contém exemplos de serviços relacionados com a segurança [ISACA 2012b] [ISO 2013b]: Fornecer uma arquitetura de segurança; Fornecer conscientização de segurança; Fornecer avaliações de segurança; Fornecer resposta a incidentes; Assegurar a proteção adequada contra software malicioso, ataques externos e tentativas de intrusão; Fornecer serviços de monitoramento e alerta para eventos relacionados à segurança;
- 15. Proporcionar o desenvolvimento seguro em conformidade com as normas de segurança; Fornecer sistemas adequadamente protegidos e configurados, de acordo com requisitos e arquitetura de segurança; Proporcionar acesso de usuários e direitos de acesso em conformidade com requisitos de negócio; Fornecer testes de segurança; Os serviços, infraestrutura e aplicações se relacionam com o habilitador Informações, pois se utilizam de informações de negócio da organização para serem planejados; e para que sejam bem aplicados, se relaciona com o habilitador Cultura, Ética e Comportamento, para que seja criada uma cultura orientada a serviços relacionados à segurança, além de se ter Estruturas Organizacionais que tenham responsabilidades no gerenciamento desses serviços. Além disso, essas capacidades de serviço podem ser requeridas como entradas para os processos de governança e gestão ou geradas como resultados da execução desses processos [ISACA 2012a]. 5.1.7.Pessoas, Habilidades e Competências Para que a execução da governança e gestão de segurança da informação seja bem sucedida, é necessário que as pessoas envolvidas possuam habilidades técnicas e comportamentais e qualificação para exercer os papéis relacionados à segurança da informação. A organização precisa periodicamente avaliar a sua base de habilidades e competências para identificar aquelas que necessitam de melhorias e poder planejar a sua evolução, seja por meio do desenvolvimento das habilidades (com treinamentos) ou pela aquisição destas (por meio de contratação de pessoas com tais habilidades). Nesse processo de avaliação e planejamento, a organização precisa garantir um quantitativo de empregados suficiente para a execução de funções relativas à segurança da informação e que possuam as seguintes habilidades e competências dentro de sua área de atuação [ISACA 2012b]: Governança de segurança da informação: para estabelecer e manter o modelo de governaça de segurança da informação que garanta que a estratégia de segurança da informação esteja alinhada com os objetivos estratégicos da organização e que os recursos sejam adequadamente gerenciados; Formulação estratégica de segurança da informação: para definir e implementar a visão, missão e objetivos da segurança da informação alinhadas à estratégia da organização; Gerenciamento de riscos da informação: para garantir que o risco da informação seja gerenciado; Desenvolvimento de arquitetura de segurança: para supervisionar a concepção e implementação da arquitetura de segurança da informação;
- 16. Operações de segurança de informação: para gerenciar um programa de segurança da informação; Teste, avaliação e conformidade em segurança da informação: para garantir conformidade do processamento da informação com leis, regulamentos, diretivas e normas; Boas práticas de segurança da informação para usuários finais. O guia COBIT® 5 para segurança da informação detalha cada habilidade e competência supracitada, descrevendo a experiência e qualificações requeridas para cada habilidade/competência; os conhecimentos, habilidades técnicas e comportamentais, além dos papéis/estruturas organizacionais relacionadas à habilidade/competência. Como exemplo, para a habilidade Gerenciamento de riscos da informação, são necessárias as seguintes experiências, qualificações, conhecimentos, habilidades técnicas e comportamentais [ISACA 2012b]: Tabela 2 Atributos da habilidade Gerenciamento de riscos da informação. Fonte: [ISACA 2012b] Experiência Avaliação de riscos relacionados com as práticas de segurança da informação Mitigação de riscos com base nas necessidades da organização Gestão de risco, perfil de risco e avaliações de ameaças. Qualificação CRISC (Certified in Risk and Information Systems Control) Conhecimentos Métodos para estabelecer um modelo de classificação de ativos de informação consistente com os objetivos de negócios Avaliação de riscos Processos de negócios Padrões de segurança da informação (ex. NIST, PCI, etc) Leis e regulamentos relacionados com a segurança da informação Frameworks e modelos de risco Habilidades técnicas Compreensão das práticas e atividades de segurança da informação e os riscos associados a elas Análise de risco e controles para mitigação destes Habilidades comportamentais Pensador abstrato Expertise em resolução de problemas As habilidades e competências são necessárias para realizar as atividades dos processos de governança e gestão de segurança da informação e tomar decisões em estruturas organizacionais. Reciprocamente, alguns processos visam apoiar o ciclo de vida das habilidades e competências. Há ainda uma relação com a cultura, ética e comportamento através das habilidades comportamentais, que orientam o comportamento do indivíduo e são influenciadas pela ética da pessoa e pela ética da organização [ISACA 2012a]. 6. Conclusão Para que seja possível a implementação de governança e gestão de segurança da informação em uma organização, é necessário não somente focar na implementação de processos ou de mecanismos de segurança, mas também focar nos demais fatores que
- 17. influenciam nessa implementação. Esses fatores são conhecidos no framework de governança de gestão de TI COBIT® 5 como habilitadores e foram objeto de estudo nesse artigo. As organizações podem se valer desse estudo para o planejamento das iniciativas de segurança da informação em seu ambiente, mas vale ressaltar que cada organização precisa definir seus próprios habilitadores de segurança da informação com base nos seus objetivos de negócio e nos riscos avaliados. 7. Referências [ABNT 2013] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ISO/IEC 27014:2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da Informação. Brasil, 2013b. [CERT.br 2015] “Estatísticas dos Incidentes Reportados ao CERT.br”. Disponível em: http://www.cert.br/stats/incidentes/. Acesso em 06/10/2016. [Fontes 2012] Fontes, Edison. Políticas e Norma para a Segurança da Informação. Ed. Brasport, 2012. [ISO 2013a] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION ISO/IEC 27001:2013 – Information Technology – Security techniques – Information security management systems — Requirements. Switzerland, 2013a. [ISO 2013b] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION ISO/IEC 27002:2013 – Information Technology – Security techniques – code of practice for information security controls. Switzerland, 2013b. [ISACA 2012a] ISACA, COBIT® 5: A Business Framework for the Governance and Management of Enterprise IT, USA, 2012a. [ISACA 2012b] ISACA, COBIT® 5 for Information Security, USA, 2012b. [ITGI 2008] IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Information Security Managers. USA, 2008. [Manoel 2014] Manoel, Sérgio da Silva. Governança de Segurança da Informação Como criar oportunidades para o seu negócio. Ed. Brasport. 2014. [Pimentel, Tavares & Ferreira 2015] Pimentel, Denise da Silva; Tavares, Leandro do Anjos; Ferreira, Thamiris Silvestre. “Aderência do framework COBIT® 5 em relação a norma de segurança da informação ABNT NBR ISO/IEC 27002:2013”. Edição Temática em Tecnologia Aplicada, vol. 5 no 4. Centro Universitário Senac-SP, 2015 Disponivel em: http://www1.sp.senac.br/hotsites/blogs/revistainiciacao/wp- content/uploads/2016/01/114_IC_artigo_revisado.pdf. Acesso em: 15/09/2016.
- 18. [PWC 2016] “Pesquisa Global de Segurança da Informação 2016”. Disponível em: http://www.pwc.com.br/pt/10minutes/assets/2016/pwc-10min-pesq-global-seg-inf- 16.pdf. Acesso em 06/10/2016.