Governança ou gestão da segurança da informação é alicerçada em estrutura de decisão em que tecnologia, processos e pessoas são os pilares para que a informação tenha a proteção adequada ao negócio.
A tendência de globalização dos serviços converge para diversas tecnologias que possibilitam, além da nanotecnologia, biotecnologia, entre outras tecnologias emergentes, o processamento em tempo real da informação. Diante desse cenário, a governança da segurança da informação apresenta uma proposta em que a segurança da informação não seja direcionada apenas ao âmbito tecnológico, mas como parte integrante de toda a organização, em todos os segmentos (Bernardes e Moreira, 2005, p. 3-4).
Questões da pesquisa:
Questão 1 – buscou identificar quais funções existem sob a orientação dos líderes
estratégicos, segundo sua percepção, mas dentro de uma relação de itens oferecidos, estimulados, havendo também a possibilidade de que outros itens pudessem ter sido citados.
Entre os itens não selecionados por algumas unidades vinculadas ao segmento Unidade de Produto e Serviço (UPS), a atenção é para o tema “Proteção de propriedade intelectual”, considerando que se trata de assunto que dispõe de legislação própria (Lei no. 9.610/98 e Lei no. 9.609/98, que tratam sobre direito autoral). O Serpro, por ser uma empresa que constrói produtos, tem uma Política de Propriedade Intelectual. Este resultado específico suscita a percepção de que o assunto deve ser revitalizado em todos os segmentos.
O resumo das respostas à questão está apresentado na Quadro 5, demonstrando que as funções de governança, citadas no questionário, que também estão no âmbito da gestão da segurança, estão inseridas nos segmentos da Empresa. Entretanto, foi observado
que, em alguns casos, a escolha do assunto não reflete o objetivo da área ou do próprio segmento, conforme explicitado após apresentação da Tabela.
Quadro 5: Resultado das funções de governança da segurança da informação, por
segmento
Funções URC UPS UGE UAE Apoio
Planejamento e estratégia de segurança para serviços de Cliente • • • • • Gestão da segurança em ambiente de TI • • • • • Implementação de segurança em serviços de clientes • • • • • Gestão da segurança para proteção de dados e informação • • • • • Gestão de segurança física e do ambiente • • • • •
Controle de acesso • • • • •
Gestão da continuidade do negócio • • • • • Gestão de Recursos Humanos • • • • •
Gestão de incidentes • • • • -
Proteção de propriedade intelectual • - • • •
Segurança de rede • • • • -
Desenvolvimento e manutenção de sistemas de informação • • • • - Gestão de contratos de serviços • • • • •
Gestão financeira • • • • •
Fonte: Dados da pesquisa acadêmica da autora
As funções que não refletem o objetivo do segmento são as seguintes:
• Gestão da segurança em ambientes de TI e Gestão da segurança para proteção de dados e informação. São atividades das áreas vinculadas à Unidade de Produto e Serviço (UPS) que, entre outras atividades, cuida dos ambientes de rede (Internet e intranet), centro de dados, enfim, todos os ambientes de TI. Os demais segmentos são usuários.
• Gestão da segurança física e do ambiente. É uma das atividades inerentes à Unidade de Gestão Empresarial (UGE). Os demais segmentos são usuários.
• Desenvolvimento e manutenção de sistemas de informação. São atividades da Unidade de Relacionamento com Cliente (URC). Os demais segmentos são usuários de produtos e serviços.
Questão 2 – verificou como os gerentes estratégicos percebem o apoio da alta
fiscal, nos negócios de segurança.
É importante destacar que o apoio da alta direção é o ponto mais relevante da governança da segurança da informação. Segundo o IT Governance Institute (ITGI, 2006, p. 21) – “a governança da segurança da informação é responsabilidade da alta direção e dos gerentes seniores”, acrescentando que o apoio deve ser integral e transparente. Ressalta-se ainda que a ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISO/IEC 17799/2005 (p.8) recomenda o apoio da alta direção como um dos requisitos para garantir a gestão da segurança da informação.
O resultado da pesquisa mostrou que 55% dos gerentes consideraram parcialmente suficiente o apoio da alta direção, 41% consideraram suficiente o apoio e 4% consideraram insuficiente. A leitura desse resultado indica que não existe apoio sistemático da alta direção à segurança da informação, sugerindo que o apoio é manifestado em situações isoladas.
Observa-se que este ponto “particularmente fundamental para que haja efetiva governança da segurança da informação”, conforme orientam as regras internacionais, não está sendo atendido na Empresa.
De acordo com Allen (2005, p.20), uma das barreiras à implementação da governança da segurança da informação é não obter o “apoio da alta direção e dos gerentes
seniores”. Nesse caso, cabe ao chefe da segurança mostrar a esse público sua responsabilidade com o direcionamento da política de segurança da informação para os
negócios da Empresa, considerando ainda que a alta direção é legalmente responsável pela segurança do negócio.
A fim de apoiar a ação do chefe da segurança no empenho de buscar o apoio da alta direção, seria importante identificar em que situações ocorre esse apoio citado por 41% dos segmentosque disseram ser suficiente esse apoio, visando utilizar esses pontos como elementos para embasar o trabalho pela busca de apoio integral e transparente.
Questões 3, 4 e 5 – tratam de temas que se inter-relacionam e cada um observa um
adoção de controles, mediante resultado de análise de riscos. Cada questão tem o seguinte objetivo:
• A questão 3 - verificou se a segurança atual, adotada na organização, atende às expectativas dos segmentos, considerando o nível de importância de cada unidade em relação à segurança da informação para o sucesso do negócio;
• A questão 4 – verificou o nível de importância do segmento em relação à seguran- ça do negócio da organização;
• A questão 5 – verificou se a segurança adotada nos processos, por segmento, está compatível com a missão do negócio.
O relacionamento entre as questões 3, 4 e 5 é percebido na ordem, conforme estruturado na figura 15.
O resultado da questão 3 indicou que a segurança atual atende a 52% dos segmentos, entretanto, num nível muito elevado, 48% disseram que atende parcialmente; para a questão 4, 52% dos segmentos têm alta importância para a segurança, 44% teriam média importância e 4% teriam baixa importância; e o resultado da questão 5 apresentou que 63% dos processos dos segmentos contribuem parcialmente para o nível adequado da segurança ao negócio e 37% afirmaram contribuir plenamente.
(Q.4) nível de importância do segmento Alto Médio Baixo (Q.3) SI compatível com nível (Q.5) SI adequada Negócio adequação melhoria controle
Figura 15 – Relacionamento entre as questões 3, 4 e 5 da pesquisa Fonte: autora
Diante desse resultado, seria importante conhecer as necessidades de segurança de cada unidade específica, de acordo com o resultado da pesquisa, principalmente as URC e UPS, concentrando-se em serviços e sistemas de missão crítica. Essa ação deve ser conduzida por processo de análise de risco, visando construir de forma sistematizada as ações de melhoria.
De acordo com a ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISO/IEC 17799/2005 (p.6), deve-se considerar que em segurança é muito importante conhecer os riscos, não subestimar nem superestimar, pois há riscos que necessitam ser mitigados, outros riscos, controlados e há riscos aceitáveis. Nesse contexto, conhecer o nível de importância do segmento para o negócio da organização é fundamental para obter o tratamento adequado.
Questão 6 – buscou identificar se os contratos existentes que consolidam a
prestação do serviço ou produto traduzem claramente a responsabilidade das partes para
garantir a segurança do negócio nas questões de confidencialidade, integridade e disponibilidade.
Para 67% dos gerentes, os contratos de seus segmentos atuais garantem parcialmente as responsabilidades das partes (empresa, clientes e fornecedores) enquanto
33% indicaram que seus contratos garantem plenamente.
Por ser o contrato uma das ferramentas mais importantes para definir responsabilidades, direitos e deveres das partes, o resultado da pesquisa evidencia a
importância de, num contexto geral, revisar as regras sobre os contratos que regem as relações entre as partes, adequando-os, de acordo com o caso, segmento e necessidades de segurança. É importante ressaltar que os modelos de contratos utilizados por 33% dos demais segmentos devem ser elementos de análise para embasar o processo de melhoria.
Questão 7 – buscou identificar como os diversos segmentos percebem a gestão de
aceitáveis. Os resultados apresentados foram os seguintes:
• 66% disseram que o processo de gestão de risco do negócio, atualmente, favorece parcialmente as ações proativas para manter o risco em níveis aceitáveis;
• 30% entendem que o processo atual de gestão de risco favorece plenamente as ações de mitigação de riscos.
A ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISO/IEC 17799/2005 (p. 6) diz que o conhecimento dos riscos é o elemento norteador da política de segurança a ser adotada para o negócio. Com o mesmo direcionamento, o Instituto Brasi- leiro de Governança Corporativa (IBGC) em seu Guia de Orientação para Gerenciamento de Riscos, (2007, p. 6) sugere que o modelo de gestão de riscos deve ser compatível com a realidade de cada organização.
Essas recomendações embasam a importância da gestão de riscos como norteadora das políticas de segurança para manter o risco em níveis aceitáveis. Diante do cenário apresentado, é fundamental que o modelo atual seja revisto, implementando as melhorias de acordo com o segmento especifico, observando que é responsabilidade da alta direção e dos gerentes seniores identificarem previamente os riscos e adotar planos para sua prevenção ou minimização.
Questão 8 – buscou verificar se a revisão periódica dos processos de segurança, por
meio da gestão de riscos, é fundamental à sustentação da continuidade do negócio, da adequabilidade e efetividade da segurança.
Eis os resultados: no geral, 70% dos gerentes pesquisados concordaram com a afirmativa; 22% disseram concordar parcialmente e, finalmente, 4% disseram não considerar suficiente a gestão de riscos para garantir a continuidade do negócio. Outros 4% disseram não saber informar. Nesse item, a idéia era relacionar as duas questões e verificar se havia a prática da premissa, mas as respostas sugeridas no questionário não foram com- patíveis ao objeto da verificação. Os itens para a questão deveriam ter sido os seguintes: “pratico, pratico parcialmente, não pratico, e não sei”. Diante disto, o resultado deste item não será analisado.
Questão 9 – buscou identificar se os controles de segurança utilizados são adequa-
dos e incluem os documentos de política, a atribuição de responsabilidade, o processamen- to correto nas aplicações, a gestão de vulnerabilidade técnica, a gestão da continuidade do negócio e a gestão de incidentes de segurança da informação e melhorias.
O resultado total foi que 50% dos gerentes disseram que os controles de segurança adotados atualmente são parcialmente adequados e 28% concordaram que os controles são suficientes.
A análise do resultado aponta para a necessidade de revisão dos controles, conside- rando que se insere nesta pesquisa a visão da auditoria que busca verificar nos controles o reflexo da conformidade das práticas com as normas e legislação. Adicionalmente, há que se considerar os 15% que disseram serem insuficientes os controles e os 7% que responde- ram não sei informar.
Questão 10 – buscou identificar se a segurança da informação faz parte da cultura
da organização, tendo como termômetro o respeito às regras em todos os níveis organizacionais.
Constatou-se que 74% dos gerentes concordaram parcialmente que a segurança faz
parte da cultura da organização e 19% acreditam que a segurança da informação efetivamente faz parte da cultura da organização.
É importante observar que a segurança da informação faz parte da cultura da empresa quando é percebida pela maioria absoluta de seus empregados, clientes, fornecedores e demais interessados. O resultado suscita a idéia de que a segurança da informação existe, mas precisa ser mais internalizada. Talvez isso reflita o pouco apoio da diretoria, apontado na pesquisa da questão 2, conforme Quadro 8.
Quadro 8: Apoio da alta direção
Itens URC UPS
Suficiente 43% 33% Parcialmente suficiente 43% 67%
Insuficiente 14% 0%
Fonte: Questão 2 da pesquisa
Diante da importância de criar e manter uma cultura de segurança, cita-se a orientação da ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD, 2005, p. 6) de que “a cultura de segurança é fundamental para
que haja a efetiva proteção a sistemas críticos e a infra-estrutura”. Para Allen (2005, p.7), a governança da segurança da informação “direciona e controla a organização no estabelecimento e sustentação da cultura de segurança necessária à condução dos seus negócios”.
Questão 11 – buscou identificar se a gestão da continuidade do negócio é uma
função institucionalizada e faz parte da cultura da organização.
O resultado da pesquisa indicou que 56% dos gerentes concordaram parcialmente que o processo de continuidade do negócio esteja institucionalizado. Já 22% dos gerentes
não concordaram e 19% afirmaram que sim: o processo de continuidade é institucionalizado. Há que se considerar, neste contexto, outras variáveis:
• A gestão de riscos, verificada na questão 7, apresentou que 66%, disseram que o processo de gestão de risco do negócio, atualmente, favorece parcialmente as ações proativas para manter o risco em níveis aceitáveis;
• Os controles de segurança utilizados são adequados ao negócio, verificado na ques- tão 9, que apresentou que 50% dos segmentos afirmaram que os controles adotados atualmente são parcialmente adequados.
A gestão da continuidade do negócio é um processo que visa manter as atividades do negócio sem interrupção, protegendo os processos críticos. É requisito essencial à continuidade do negócio o alinhamento com o processo de gestão de riscos, que fornece o
entendimento dos riscos a que a organização está exposta, no diz respeito a sua probabilidade de ocorrer o impacto e o controle dos planos (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISO/IEC 17799:2005, p.103).
Diante desse contexto, convém que a Empresa tenha uma percepção mais clara dos
riscos, identificando os processos críticos e integrados à gestão da segurança da informação, com as exigências inerentes à gestão da continuidade do negócio, inclusive
adotando os controles necessários à identificação e redução dos riscos. É importante considerar que o apoio da alta direção é fundamental, tendo em vista que recursos financeiros, organizacionais, técnicos e de pessoas devem ser suficientes para viabilizar a gestão da continuidade do negócio.
Questão 12 – buscou identificar o quanto os processos críticos estão protegidos
contra ameaças que interferem na confidencialidade, integridade e disponibilidade.
Os índices apresentados foram: 56% disseram concordar parcialmente e 40% disseram concordar que os processos críticos estejam protegidos. O resultado apresentado, no geral, indicou que a maioria dos gerentes entende que os processos críticos estão protegidos, mas há necessidade de aperfeiçoamento.
É importante verificar que o resultado está compatível com o resultado da questão
11, em que se identificou que o processo de continuidade do negócio não está institucionalizado.
Questão 13 – buscou identificar como o processo de recuperação de desastre, para
atendimento em níveis de serviços contratados pelo cliente, está institucionalizado ou garantido.
O resultado apresentado foi de que 56% concordaram parcialmente com a afirmativa e 33% concordaram, enquanto 11% dos respondentes discordaram.
A percepção dessa variável remete a uma análise conjunta das variáveis – processo de continuidade do negócio - que depende fortemente do processo gestão de risco e recuperação de incidentes, dentro de prazos contratuais.
A recomendação da ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISO/IEC 17799/2005, p.104, é que a continuidade do negócio deve ser sustentada por um processo de gestão de riscos, identificando os eventos que poderão causar interrupções. Com esse direcionamento, o plano de recuperação de incidente deve ser moldado para
atender aos níveis de serviço acordados com os clientes.
Diante disto, os dados da pesquisa apresentados podem ser interpretados como um alerta à necessidade de intensificar investimentos nesses processos para garantir a sustentabilidade dos negócios. Ressalta-se, ainda, que esses processos devem ser institucionalizados e creditados pela alta direção, patrocinadores, clientes e demais interessados.
Questão 14 – verificou se a certeza de que a segurança aplicada ao negócio tem
sido suficiente para detectar e prevenir incidentes de segurança. Respalda-se no fato de que não houve registro de infecção de vírus nos últimos doze meses, que pudesse comprometer o negócio.
O resultado global da variável pesquisada indicou que: 52% concordam; 32% concordam parcialmente, e 16% não concordam. Não ficou claro e por isso as respostas carecem de mais elementos para formar uma análise melhor. Entretanto, a leitura sugerida é de que não houve nos últimos doze meses incidentes de segurança que comprometessem o negócio. Mas esse fato não garante que não existam eventos frágeis ou ameaças carecendo de revisão dos procedimentos ou análise de riscos em determinados ambientes.
Neste caso, é importante que empregados, patrocinadores, clientes, fornecedores e outros interessados sejam alertados sobre a importância de notificar eventos de segurança da informação, por meio de canais formais, devendo ser consolidado o processo de realimentação.