Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão de Segurança da Informação

1,744 views
1,589 views

Published on

Trabalho de Conclusão do Curso de MBA Executivo em Gestão de TI, na BSP - Business School São Paulo - realizado em 2012.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,744
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão de Segurança da Informação

  1. 1. IFábio Alexandre da Silva MarquesMBA Executivo em Gestão de TIGeração de Valor nas Empresas apartir da Implantação de um Sistema deGestão de Segurança da InformaçãoProjeto Final apresentado à Diretoria Acadêmica da Business SchoolSão Paulo em cumprimento parcial às exigências para obtenção docertificado de conclusão do MBA Executivo em Gestão de TI.Orientador: Prof. Edison Audi KalafSão Paulo2012
  2. 2. IIEste projeto final de MBA Executivo em Gestão de TI está aprovado.____________________________________Prof. Armando Dal CollettoDiretor Acadêmico____________________________________Prof. Edison Audi KalafOrientador
  3. 3. IIIDedicatóriaÀ minha esposa Vanessa e meus filhos Lucas e Laura, a quem eu dedico minha vida.Que o tempo ausente ontem e hoje se transforme em, no mínimo, um bom exemplo amanhã.
  4. 4. IVAgradecimentosEm primeiro lugar a Vanessa Marques, com sua experiência incontestávelna condução de auditorias e em sistemas de qualidade, pela contribuição nadefinição do tema, na estruturação geral da abordagem do trabalho e por levarnossos filhos para passear longe de casa durante os finais de semanas queantecederam a entrega deste trabalho.Agradeço também a Sidnei David, pela contribuição no processo deaprendizagem sobre o sistema da qualidade, que está refletido neste trabalho, pelomaterial e pelas palavras para sempre seguir em frente.A Francisco Palma, pela experiência transmitida na condução de sistemasde gestão e pelo empréstimo do material chave para o desenvolvimento destetrabalho.Ao Professor Edison Kalaf, que aceitou o desafio em ser meu orientador,respondendo sempre prontamente com comentários pertinentes, apoio e incentivo.Aos colegas de turma, pelos momentos agradáveis passados durantesesses dois anos de ótima convivência, boas risadas e excelentes trocas deexperiências.Aos meus pais, que puderam me dar os valores éticos e morais, balizadorespara os momentos mais difíceis.E por fim, aos professores da BSP, que fazem a diferença dessa instituição.
  5. 5. VEpígrafe"[...] não somos estudantes deassuntos, mas estudantes deproblemas. E os problemasconstituem os recortes dequalquer assunto [...]"POPPER (1972, p.92)
  6. 6. VIResumoA informação, por se tratar de um dos principais elementos para a tomada dedecisão dentro nas organizações, se tornou um bem muito valioso, e, porconsequência, sua proteção também se transformou em ponto elementar para obem estar das empresas e o bom desempenho dos negócios.Em plena era da economia baseada no conhecimento e com a importânciainegável da informação nesse contexto, a obtenção de uma certificação reconhecidano mercado, atestando que o ambiente empresarial garante a segurança dainformação, ou seja, a “preservação da confidencialidade, integridade edisponibilidade da informação”, faz com que a empresa evidencie efetivamente aomercado seu tratamento diferencial com relação ao seu bem maior, a informação,agregando maior valor ao produto ou serviço da empresa, gerando valor para aorganização como um todo.A certificação ABNT NBR ISO/IEC 27001:2006, é um selo que faz com que aempresa implante um Sistema de Gestão de Segurança de Informação (SGSI1)eficiente e eficaz, com todos os controles de segurança personalizadosespecificados para as necessidades individuais da empresa. Uma vez tendo osistema certificado, a organização demonstrará sua capacidade de definir,implementar, operar, manter e sempre fazer as melhorias da segurança dainformação.A outra forma de se avaliar a geração de valor dentro de uma organização eque será demonstrada por este estudo é o Retorno sobre o Investimento emSegurança da Informação, a partir da gestão de risco implantada pelo SGSI.Mais uma grande vantagem do sistema de gestão de segurança dainformação e fonte de geração de valor a ser explorada por este estudo vemnovamente da implantação da gestão de riscos. A gestão de riscos, além de outrosobjetivos do próprio SGSI, são importantes recursos para empresas que buscamconformidade com outros padrões, como o PCI-DSS (Payment Card Industry DataSecurity Standard), além de ser uma forma de atender requisitos impostos pelas leis,normas, e regulamentações relacionadas com a segurança da informação, como naLei Sarbanes-Oxley, o Acordo da Basiléia II e a Resolução nº 3380 do Banco Centraldo Brasil.Palavras chave: Segurança da Informação, ABNT NBR ISO/IEC 27001,Geração de Valor, Gestão de Riscos.1SGSI – Sistema de Gestão de Segurança da Informação. Alguns autores utilizam a sigla em inglês: ISMS – InformationSecurity Management System.
  7. 7. VIIAbstractThe information, because it is a key element in decision making withinorganizations, has become a very valuable asset, and therefore its protection alsobecame elementary point for the well being of companies and the good performanceof business.In the era of knowledge-based economy and the undeniable importance of theinformation in this context, obtaining a certification recognized in the market, statingthat the business environment ensures information security, i.e., the "preservation ofconfidentiality, integrity and availability information", that makes the companyeffectively shows up to market its differential treatment related to its highest good, theinformation, adding great value to its product or service, providing value to the wholeorganization.Certification ISO / IEC 27001:2006, is a seal that makes the company animplant Information Security Management System (ISMS) efficiently and effectively,with all specified security controls customized to the individual needs of the company.Once you have the system certificate, the organization will demonstrate its ability todefine, implement, operate, maintain, and always make improvements of informationsecurity.The other way to assess value creation within an organization and that will bedemonstrated by this study is the Return on Investment in Information Security fromthe risk management implemented by ISMS.Another great advantage of the management system of information securityand source of value creation to be explored by this study is once more theimplementation of risk management. Risk management, and other objectives of theISMS itself, are important resources for companies seeking compliance with otherstandards such as PCI-DSS (Payment Card Industry Data Security Standard),besides being a way to meet requirements imposed by laws , rules, and regulationsrelated to information security, such as the Sarbanes-Oxley, Basel II and the3380/BACEN resolution.Keywords: Information Security, ISO / IEC 27001, Value Creation, RiskManagement.
  8. 8. VIIISumárioDedicatória............................................................................................................................................. IIIAgradecimentos ..................................................................................................................................... IVEpígrafe ................................................................................................................................................... VResumo................................................................................................................................................... VIAbstract................................................................................................................................................. VIILista de Figuras........................................................................................................................................ 1Lista de Quadros...................................................................................................................................... 2Capítulo 1 – Introdução........................................................................................................................... 3Capítulo 2 – Sistema de Gestão da Segurança da Informação ............................................................... 6Histórico .............................................................................................................................................. 7Princípios básicos da segurança da informação................................................................................ 11Definição de escopo e ativos............................................................................................................. 13Política do SGSI.................................................................................................................................. 15Metodologia para abordagem e gestão de riscos............................................................................. 17Implementar e Operar o SGSI ........................................................................................................... 22Objetivos de controles e controles da norma ABNT NBR ISO/IEC 27001 ......................................... 24Capitulo 3 – Retorno sobre o Investimento em Segurança da Informação.......................................... 263.1 Um modelo prático ..................................................................................................................... 283.2 Outros modelos........................................................................................................................... 37Capitulo 4 – O SGSI em conformidade com outros Padrões, Leis e Regulamentações ......................... 394.1 Lei Sarbanes-Oxley ...................................................................................................................... 394.2 Basiléia II e a Resolução nº 3380/BACEN .................................................................................... 424.3 PCI-DSS ........................................................................................................................................ 48Capitulo 5 – Geração de Valor com Segurança da Informação ............................................................ 53Capitulo 6 – Considerações Finais......................................................................................................... 56Referências Bibliográficas ..................................................................................................................... 57APÊNDICE A – Texto da Resolução nº 3380 do Banco Central do Brasil............................................... 61
  9. 9. 1Lista de FigurasFigura 1 – Número de empresas com a certificação ISO/IEC 27001 no mundo por país ....................... 9Figura 2 – Empresas com a certificação ISO/IEC 27001 no Brasil ......................................................... 10Figura 3 – Princípios básicos (ou tripé) da Segurança da Informação .................................................. 11Figura 4 – Definição de escopos progressivos....................................................................................... 13Figura 5 – Relacionamentos entre os princípios da gestão de riscos, estrutura e processos............... 18Figura 6 – Visão geral do tratamento de riscos em projetos................................................................ 19Figura 7 – Proposta de Metodologia para implantação do SGSI .......................................................... 22Figura 8 – Modelo PDCA aplicado aos processos do SGSI .................................................................... 23Figura 9 – Capital Mínimo Requerido.................................................................................................... 43Figura 10 – Definição de risco operacional ........................................................................................... 45Figura 11 – Possíveis riscos operacionais.............................................................................................. 46Figura 12 – Estrutura de gerenciamento do risco operacional............................................................. 46Figura 13 – Subconjuntos dos Dados da Conta..................................................................................... 49
  10. 10. 2Lista de QuadrosQuadro 1 - Grupos dos objetivos de controle na norma ...................................................................... 24Quadro 2 - Objetivos de controles da norma........................................................................................ 24Quadro 3 - Possíveis causas diárias de perda de produtividade........................................................... 34Quadro 4 - Perda de Produtividade devida as Soluções de Segurança ................................................ 36Quadro 5 - Composição da Lei Sarbanes-Oxley .................................................................................... 40Quadro 6 - Seções da Lei Sarbanes-Oxley relacionadas com a Segurança da Informação................... 42Quadro 7 - Objetivos de controles e controles possivelmente implementáveis pelo artigo 3º, inciso V............................................................................................................................................................... 47Quadro 8 - Objetivos de controles e controles possivelmente implementáveis pelo artigo 3º, inciso VI............................................................................................................................................................... 47Quadro 9 - Os 12 requerimentos para implantação do PCI-DSS........................................................... 50Quadro 10 - Sugestão de alinhamento entre os grupos do PCI-DSS e os Objetivos de controle da ABNTNBR ISO/IEC 27001................................................................................................................................ 51
  11. 11. 3Capítulo 1 – IntroduçãoO aumento significativo do volume de e-business dos últimos anos e adescoberta do potencial comercial existente na exploração das redes sociais(CHACRA, 2012), somada com a explosão do uso de smartphones e tablets nasempresas2, fez com que, além de um ambiente de negócios cada vez maisinterconectado, a preocupação com a segurança e a integridade das redescomputacionais corporativas fosse redobrada.Esse consequente aumento de exposição da rede corporativa trouxe umaameaça ainda maior a corporação, pois expôs os sistemas de informações a elaconectados a uma grande variedade de ameaças e vulnerabilidades, sistemas estesque até então estavam protegidos internamente. É importante destacar que, portratar de um ativo que circula em todos os ambitos da empresa, a informação, sejaela eletrônica, em papel, falada, etc., tornou-se um dos artefatos mais importantes,estratégicos e essenciais para os negócios de uma organização nos últimos tempos.(ABNT NBR ISO/IEC 17799:2005)Segundo Cendón (2002) a informação é um dos principais insumos para atomada de decisão nas organizações. Dias (2003) foi além, comentando que ainformação é o principal patrimônio da empresa e está em constante risco.Portanto, realizar a segurança da informação, tornou-se também ponto chavepara o bem estar das empresas e um bom desempenho nos negócios.Segurança da Informação, segundo a norma ABNT NBR ISO/IEC17799:2005, “é a proteção da informação de vários tipos de ameaças para garantir acontinuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre osinvestimentos e as oportunidades de negócio”.Para ajudar num processo de proteção efetiva da informação, já não é maissuficiente proteger a rede corporativa apenas com a escolha de ferramentas deproteção típicas de mercado, como firewalls e antivírus, ou a criação de programasinternos na empresa para “uso consciente recursos de internet”; deve-se haver aadoção de um modelo de gestão inteligente e eficaz para monitorar o ambientecorporativo, tomar ações eficientes e criar a possibilidade para se agirpreventivamente.Para isso, deve-se ter um modelo de gestão para servir de base para asegurança da informação. Assim sendo, a norma ABNT NBR ISO/IEC 27001:2006sugere a adoção de um Sistema de Gestão de Segurança da Informação (SGSI),que definirá um conjunto de diretrizes a serem seguidas para garantir a segurançade um ambiente computacional conectado em rede. O processo de implantação doSGSI irá resultar na padronização e documentação de procedimentos, ferramentas etécnicas. Além disso, ajudará na criação dos indicadores e registros e na definiçãode um processo de treinamento para conscientização da organização.2Tanto equipamentos fornecidos pela própria empresa como de uso pessoal do colaborador. Segundo pesquisa conduzidapela Avanade - Global Survey: Dispelling Six Myths of Consumerization of IT – os equipamentos de uso pessoal estãoinvadindo as empresas, que de certa forma não está rejeitando a prática.
  12. 12. 4Após a consolidação do processo de implantação do SGSI pode-se iniciar oprocesso de certificação desse sistema. A certificação é dada a partir da coleta deevidências (documentos e práticas) do conjunto de controles implantados e quedevem ser continuamente executados, monitorados e devidamente registrados. Paraesse processo, o SGSI deve passar pela validação de um OAC - Organismo deAvaliação da Conformidade, mostrando que o trabalho agora executado é realizadode forma eficiente e consistente com a norma ABNT NBR ISO/IEC 27001:2006. Porfim, alcançado os resultados, a emissão do certificado é feita.A necessidade da proteção da informação está definida. Porém pensandonum processo de ampliação dos resultados do SGSI, como conseguir gerar maisvalor para as organizações a partir da implantação desse sistema de gestão desegurança da informação?Por que não mostrar e se fazer valer da utilidade das ferramentas que oprocesso do SGSI se utiliza para benefício mais amplo da organização e de seusdepartamentos?Esse estudo, caracterizado como sendo uma pesquisa exploratória (GIL,2002), servirá como resposta para essas perguntas, mostrando que os benefícios daadoção de um sistema de gestão de segurança da informação não se limitamapenas ao resultado final - o ativo protegido - mas sim a todo o processo,propagando os resultados destes benefícios para outros setores e necessidades daorganização.Pensando neste sentido, os próprios meios e fins vão justificar a implantaçãodo SGSI.No segundo capítulo desse estudo, será mostrado o histórico, como funciona,qual a estrutura geral e os requisitos do SGSI e sua implantação, e tudo o que formais relevante sobre a norma ABNT NBR ISO/IEC 27001:2006 e as demais normasda família 27000.Uma das partes mais difíceis do trabalho de um departamento de tecnologiada informação ou de um profissional de segurança da informação especificamente éa demonstração de que um investimento em segurança da informação faz sentido.Fazer sentido para a gestão da organização significa que o resultado doinvestimento deverá ser maior que o custo total investido – em geral como resultadode projetos dessa natureza têm-se a economia de custos.Portanto, no terceiro capítulo desse estudo, será mostrada uma técnica,baseada num modelo, para cálculo financeiro do retorno de investimentoespecificamente em projetos de segurança da informação, técnica esta tambémconhecida genericamente como ROSI3.Na sequência do estudo - capítulo quatro – serão feitos os paralelos da normaABNT NBR ISO/IEC 27001:2006 com as exigências de outras leis, normas,3ROSI, do inglês Return on Security Investment.
  13. 13. 5regulamentações e padrões, no que diz respeito a Segurança da Informação. Nesteponto serão estudados os subsídios que a norma oferece para que os seusrequisitos também possam vir a servir estas leis e regulamentações. São elas: Lei Sarbanes-Oxley; Acordo da Basiléia II; Resolução 3380/BACEN; PCI-DSS4.O presente estudo se propõe a fazer uma consolidação dos resultados eapresentar, dependendo da natureza da organização, os benefícios extras quepodem ser obtidos com a implantação de um Sistema de Gestão de Segurança daInformação, fazendo com que este tenha efetivamente um papel para geração devalor na organização.4Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). PCI-DSS, do inglês Payment Card IndustryData Security Standard.
  14. 14. 6Capítulo 2 – Sistema de Gestão da Segurança da InformaçãoPara entender um Sistema de Gestão de Segurança da Informação (SGSI), éimportante entender um pouco do histórico do que levaram organizações a sesentirem na necessidade de implantar métodos para controlar a gestão dasegurança da informação e como surgiram e se estabeleceram os primeiros padrõese normas sobre segurança da informação, além da estrutura de normas existentesatualmente.Algumas informações básicas e definições para o estabelecimento de umSGSI também serão explorados neste capítulo. São eles: princípios básicos dasegurança da informação, definição de escopo e ativos, política de segurança eanálise de riscos.Após as definições, será mostrado como implementar e operar o SGSI. Etambém como esses e demais conceitos se ajustam ao modelo conhecido como“Planeje-Faça-Avalie-Aja” (PDCA5), que é aplicado para estruturar os processos doSGSI.Por fim, serão mostrados os objetivos de controles e controles sugeridos pelanorma ABNT NBR ISO/IEC 27001:2006, derivados diretamente e que estãoalinhados com os objetivos listados na ABNT NBR ISO/IEC 27002:2005, e o porquêeles devem ser selecionados e implementados.Como o propósito da pesquisa realizada para este capítulo não é aimplantação de um Sistema de Gestão de Segurança da Informação, somente osconceitos considerados essenciais à abordagem do assunto e a exploração do temado estudo serão detalhados. Alguns conceitos sobre o SGSI consideradosimportantes por muitos autores foram omitidos, ou não tiveram o devidodetalhamento dado, porém de forma alguma foram objetos de negligência, nemtampouco é sugerida que sejam negligenciados por parte desse estudo.5PDCA, do inglês Plan-Do-Check-Act, sigla normalmente utilizada para designar o modelo em questão.
  15. 15. 7HistóricoPreocupar-se com a segurança de sistemas computacionais não é umapreocupação que vem de agora. O processo de definição das regras e os padrõesde segurança iniciaram-se na década de 60, com o impulso da Guerra Fria(MARTINS e SANTOS, 2005) bem como a própria aceitação e criação da “Ciênciada Informação” como uma disciplina de estudo (SARACEVIC, 1991).A preocupação com estabelecimento de uma norma no campo da segurançada informação com finalidades comerciais surgiu na Inglaterra, em meados dadécada de 80. Em 1987 o “Departamento de Indústria e Comércio” (DTI6) criou o“Centro de Segurança da Computação Comercial” (CCSC7), com a missão deestabelecer critérios que pudessem de alguma forma validar a segurança dainformação nas organizações que comercializavam produtos para a área desegurança de Tecnologia da Informação (TI), critérios estes que pudessem sercertificáveis. Outro objetivo do grupo era elaborar um código de boas práticas paraorientação geral na implantação de ações que pudessem vir a contribuir com asegurança da informação, o que resultou na geração de uma norma técnica já em1989 (CAMPOS, 2007; MARTINS e SANTOS, 2005).A contribuição dada pela área industrial inglesa para a evolução dodesenvolvimento destes trabalhos, o código de práticas se tornou o padrão britânicode gestão de segurança da informação, o PD0003 - Código para Gerenciamento daSegurança da Informação. A partir deste trabalho, vários documentos preliminaresforam publicados por este centro até que em 1995, foi disponibilizada para consultapública pela British Standard Institution (BSI) a BS 7799. Dividida em duas partes, aBS 7799, continha em sua primeira parte publicada em 1995 (BS 7799-1) o “Códigode práticas para a gestão da segurança da informação8”; a segunda parte lançadaem 1998 (BS 7799-2), que é uma espécie de lista de verificação, é a “Especificaçãopara sistemas de gestão da segurança da informação9” (CAMPOS, 2007; MARTINSe SANTOS, 2005).A BS 7799-1 é a primeira parte da norma, contendo uma introdução, adefinição da extensão e as principais condições de uso para a norma. A norma seapresenta em 10 cláusulas que se agrupam em objetivos de controles e controles,com a intenção dar direção para a gestão e suporte para segurança da informação.A BS 7799-2 foi revisada em 2002, estabelece as bases para a implantaçãode um SGSI, já adotando o conceito de melhoria contínua pela utilização do cicloPDCA (este último será detalhado neste mesmo capítulo), sendo que, neste mesmoano ela passou a ser utilizada como norma para certificação em segurança dainformação. Mais que uma simples lista de verificação, a BS 7799-2 passou a serutilizada como um instrumento de orientação para implantação de um SGSI.Com a aplicação de contínuas melhorias e a adoção por inúmerasorganizações mesmo fora da Inglaterra, fez com que a BS 7799-1, no ano de 2000,6DTI, do inglês Department of Trade and Industry’s.7CCSC, do inglês Comercial Computer Security Centre.8A norma BS 7799-1, original em inglês - Code of Practice for Information Security Management.9A norma BS 7799-2, original em inglês - Specification for Information Security Management Systems.
  16. 16. 8fosse homologada pela ISO10(Organização Internacional para Padronização),transformando-a numa norma de aplicação internacional, a ISO 17799.O mesmo efeito de evolução e melhoria contínua que a BS 7799 sofrera, anorma ISO 17799 recebeu após sua publicação em 2000, e no ano de 2005, forapublicada sua revisão, versão válida até o momento deste estudo (revisada em2007). As melhorias aconteceram principalmente por conta da clarificação naidentificação dos controles de segurança.Foi em 2005 também que a ISO lançou sua versão certificável da norma, ouseja, foi neste ano em que ela homologou a BS 7799-2. Porém a nova normapassou a se chamar ISO 27001, com o intuito de criar uma nova família de normas,só que agora para o campo de gestão de segurança da informação, da mesmamaneira como acontece nas famílias 9000 e 14000, que atuam nos campos dagestão da qualidade e gestão do ambiente respectivamente.Em 2007, a ISO 17799 então passou a se chamar ISO 27002, com o seuconteúdo idêntico e na integra.Para o estudo aqui proposto, a ISO 27001, que contempla os requisitos doSGSI, e a ISO 27002, que é o código de prática para a gestão de segurança dainformação, são as duas mais importantes normas a serem analisadas, porém valedestacar as principais normas dentro da família 27000, além destas, que podemservir de base para outros estudos: ISO 27003: guia de implementação do sistema de gestão de segurançada informação; ISO 27004: medidas e métricas utilizadas em segurança dainformação; ISO 27005: gestão de risco em sistemas de gestão de segurança dainformação; ISO 27006: requisitos para auditoria e certificação de um sistema degestão de segurança da informação; ISO 27007: Diretrizes para auditorias em sistemas de gestão desegurança da informação.Existe uma lista vasta de normas da família 27000 (mais de vinte e cinco)abrangendo diversas outras áreas relacionadas com a tecnologia da informação,para diversos tipos de organizações, que também podem servir de objeto paraoutros estudos.No Brasil, estas normas foram traduzidas pela ABNT (Associação Brasileirade Normas Técnicas). Por se tratar de uma norma “certificável”, através de umprocesso de auditoria conduzido por um órgão certificador, pode conceder umcertificado reconhecendo o cumprimento dos requisitos de segurança da informaçãonesse sistema de gestão.10Embora muitos achem que ISO é um acrônimo de International Standards Organization, na realidade, segundo explicaçãoda própria organização, é que International Organization for Standardization teria diferentes siglas em diferentes idiomas (IOSem Inglês, OIN em francês - Organisation internationale de normalisation), então os fundadores decidiram dar-lhe também umnome curto, genérico e que fosse padronizado. Então foi escolhido ISO, uma derivação do grego ἴσος, que significaigualdade. Portanto, independente do país, da língua utilizada, a forma abreviada do nome da organização será sempre ISO.
  17. 17. 9O número de empresas cerificadas na norma ISO/IEC 27001 do mundo vemcrescendo. Atualmente o país com maior número de empresas cerificadas é oJapão, quantidade quase oito vezes maior que o segundo colocado, o Reino Unido,país onde se iniciou todo o processo:Figura 1 – Número de empresas com a certificação ISO/IEC 27001 no mundo por paísFonte: http://www.iso27001certificates.com/, acessado em 19 de maio de 2012.No Brasil o número de empresas cerificadas ainda é pequeno, no total de 24,como mostra a tabela da Figura 1, porém, logo abaixo, na Figura 2, são listadasquais empresas brasileiras são certificadas. Analisando o perfil das empresas, éobservado que há empresas dos mais variados campos de atuação – demineradoras a empresas de telecomunicação, passando por órgãos públicosFederais, prestadoras de serviços, consultorias, etc.
  18. 18. 10Figura 2 – Empresas com a certificação ISO/IEC 27001 no BrasilFonte: http://www.iso27001certificates.com/, acessado em 19 de maio de 2012.
  19. 19. 11Princípios básicos da segurança da informaçãoUm sistema de segurança da informação é fundamentado em três princípiosbásicos: 1) confidencialidade 2) integridade 3) disponibilidade. (RAMOS, 2007)Figura 3 – Princípios básicos (ou tripé) da Segurança da InformaçãoFonte: CAMPOS (2007, p. 17)A confidencialidade está relacionada na garantia de que somente aspessoas explicitamente autorizadas tenham o devido acesso à informação.Conforme Campos (2007), quando uma informação é acessada por qualquer pessoasem autorização, independente de ser intencional ou não, de qualquer forma comotenha sido o acesso (via descoberta de senha, por exemplo), isto caracteriza umincidente de segurança da informação por quebra de confidencialidade.Incidente de segurança da informação, segundo a ISO/IEC TR 18044:2004, é“um simples ou uma série de eventos de segurança da informação indesejados ouinesperados, que tenham uma grande probabilidade de comprometer as operaçõesdo negócio e ameaçar a segurança da informação”.Campos (2007) aborda ainda outros aspectos da quebra de confidencialidadeda informação: desde pessoas que invadem sistemas de computadorintencionalmente, sejam de empresas ou de pessoas físicas, para obtenção dedados; ou ainda de fatores menos notados, de pessoas que conversam sobreassuntos confidenciais de trabalho em locais públicos disponibilizando a informaçãoàs pessoas ao seu redor. Esse vazamento de informação pode causar sérios danosà organização em questão.A engenharia social, que é a habilidade de uma pessoa em conseguir obterinformação de outra pessoa só com o uso da conversa e do envolvimento pessoaltambém pode ser utilizada para quebra de confidencialidade.
  20. 20. 12O princípio da integridade é garantido quando a informação está acessível ecompleta, sem alterações, e, portanto, confiável.Uma vez que a informação é indevidamente alterada ou falsificada, com ousem intenção, de qualquer origem - banco de dados, arquivo de papel, etc. –caracteriza um incidente de segurança da informação por quebra de integridade. Ouseja, desde documentos num cofre sem chave em salas com acesso sem restriçõesaté um banco de dados instalado num computador com uma senha de acessopública podem gerar um incidente de segurança da informação por quebra deintegridade.O princípio da disponibilidade é garantido sempre que informação estáacessível, para pessoas autorizadas, sempre que necessário.Uma vez que a informação deixa de ser acessada, mesmo que por umapessoa experiente e com os devidos acessos, dependendo do caso pode se tornarum incidente de segurança da informação. Outros fatores devem ser consideradosnesse aspecto: sistemas de computador indisponíveis, servidores web inoperantesem resultado de ataques e invasões, quedas não intencionais de sistemas; todos oscasos descritos são considerados incidentes de segurança da informação porquebra de disponibilidade.Com a simples adoção destes três princípios pode-se dizer que a segurançada informação está no direcionamento correto.
  21. 21. 13Definição de escopo e ativosUma importante etapa para estabelecimento do SGSI numa organização é adefinição do escopo. O escopo vai limitar a atuação do SGSI dentro da empresa,pois determinará as áreas ou domínios onde o SGSI efetivamente vai ter seu papelde controle desempenhado.A definição do escopo aumenta obrigatoriamente a abrangência do sistema,ou seja, quanto maior o escopo, maior será a abrangência do sistema econsequentemente maior a complexidade de seus controles. Segundo Campos(2007), o escopo do SGSI pode ser implantado inicialmente em parte da empresa,aumentar gradativamente com o passar do tempo, conforme demonstrado na figuraa seguir:Figura 4 – Definição de escopos progressivosFonte: Adaptado de CAMPOS (2007, p. 43)A melhor abordagem para definição do escopo adequado de um SGSI é aanálise da cadeia de valor11da empresa. Nessa abordagem o SGSI terá atuaçãorealmente nas informações onde provavelmente elas possuirão o maior valor.11O modelo de cadeia de valor, introduzido por Porter (1986), destaca as atividades mais específicas de cada empresa nasquais as estratégias competitivas podem ser mais bem aplicadas.
  22. 22. 14Juntamente com a definição do escopo, que é um documento obrigatóriodentro do SGSI, incluirá o levantamento dos ativos que serão envolvidos, tais como:equipamentos, sistemas, nome da organização, estrutura de comunicação - Internet,correio eletrônico, telefonia – pessoas, serviços, infraestrutura de rede interna eexterna e classificação da informação.Da mesma maneira que a abrangência do escopo aumentará o campo deatuação do SGSI, o número de ativos também aumentará, na mesmaproporcionalidade e relevância.Sendo assim, quanto maior o escopo, maior o número de ativos, maioresserão as quantidades de informações trafegadas pelo SGSI e maiores serão asvulnerabilidades a que estes ativos estarão expostos.Segundo a ABNT NBR ISO/IEC 27002, vulnerabilidade é a fragilidade de umativo ou grupo dele que pode ser explorada por uma ou mais ameaças, permitindo ageração de incidentes. A vulnerabilidade resulta exatamente na quebra de um oumais princípios básicos da segurança da informação (confidencialidade, integridadee disponibilidade).Portanto, escopo e ativos são importantes não só para definirem aabrangência e os limites de atuação do SGSI, mas também servem para oestabelecimento dos requisitos de segurança da informação, pois serão as ameaçase as vulnerabilidades identificadas neles, por intermédio da análise/avaliação deriscos, é que serão realizadas as estimativas de ocorrências de ameaças e impactopotencial ao negócio.
  23. 23. 15Política do SGSIA política para estabelecimento do SGSI é considerado um documento maiorque a própria política de segurança da informação da organização, conformesugestão da própria norma ABNT NBR ISO/IEC 27001.A política do SGSI deve incluir uma estrutura para definir um direcionamentogeral para toda a organização estabelecendo os parâmetros para as açõesrelacionadas com a segurança da informação.A definição da política ainda deve levar em consideração qualquer obrigaçãomaior que a organização é submetida, como leis ou regulamentações específicas,como instituições bancárias, seguradoras, indústrias farmacêuticas, e muitas outras.Requesitos de negócios específicos também devem ser considerados.Outros fatores importantes estão relacionados com a gestão de risco, deforma que a política deverá estar alinhada no seu contexto estratégico e na formacomo estabelecerá os critérios de avaliação dos próprios riscos.As recomendações sobre a criação de uma boa política são basicamente queela seja concisa, verificada, validada, mas, principalmente aprovada pela direção.Este último foi o item mais recomendado pela literatura. O intuito principal dessaabordagem é o alinhamento da segurança da informação com o negócio.Para comprovar, Diniz e Diniz (2009) e a seção “4.2.1 b) 5)” da própria normaABNT NBR ISO/IEC 27001, mostram que a política do SGSI deve estar aprovadapela alta direção.Muito se confunde sobre a criação de uma política de SGSI e a própriacriação da política de segurança da informação. Como não são objetos de discussãotão distantes, e em alguns aspectos são muitas semelhantes, a questão da criaçãoda política de criação da segurança da informação será abordada neste mesmotópico. Algumas informações podem valer para ambas as políticas.Para a criação de políticas de segurança da organização, o comitêresponsável pode tomar como base os padrões e normas existentes, sendo queentre eles os mais recomendados para a finalidade, a própria ABNT NBR ISO/IEC27002 e as RFC de número 2196, de 1997, e a RFC 2828 de 2000.De acordo a RFC 2196 e a 2828, a Política de Segurança descreverá“recomendações, regras, responsabilidades e práticas de segurança”. Porém, sabe-se que não haverá um modelo de política de segurança que se possa implementarem qualquer organização, pois ela deverá ser ajustada a cada caso. Sendo assim,criar uma política de segurança é uma tarefa muito difícil e que necessita constanteacompanhamento, revisão e atualização.Além disso, os resultados por ela alcançados só serão vistos ou em médio ouem longo prazo. É importante que haja uma política de segurança que realmenteseja utilizada como referência para os colaboradores da organização, criando aviabilidade para garantir que os três princípios básicos da segurança da informação(integridade, disponibilidade e confiabilidade) sejam mantidos.
  24. 24. 16A política de segurança da informação estabelece os princípios de como aorganização vai proteger, controlar e monitorar recursos a que ela pertence e,consequentemente, as informações que por eles circulam. É muito importante estardescrito na política quais e de quem são as responsabilidades e que seja orientada ariscos e a impactos que envolvam o processo (FERREIRA e ARAUJO, 2006).Considerando uma conclusão sucinta para o assunto: “A adoção das políticasde Segurança da Informação proporciona a transparência e fornece credibilidade àempresa perante a sociedade.” (LAUREANO e MORAES, 2005).
  25. 25. 17Metodologia para abordagem e gestão de riscosMayer e Fagundes (2008) sugerem a seguinte definição para Gestão deRiscos:“Gestão de Riscos (GR) são atividades coordenadas para direcionar econtrolar uma organização no que se refere a riscos, isso inclui a análise, aavaliação, o tratamento, a aceitação e a comunicação de riscos. Asorganizações precisam implementar GR de forma consistente e sistemática,para buscar conformidades com as leis, normas e regulamentações, bemcomo atender a requisitos obrigatórios da área de segurança dainformação.”A norma ABNT NBR ISO/IEC 27001 considera a gestão de risco como parteessencial do processo de estabelecimento do SGSI numa organização, além dapolítica do SGSI.Da mesma maneira que sugerida para a política do SGSI, a norma ABNTNBR ISO/IEC 27001 sugere para a metodologia de análise/avaliação de riscos develevar em consideração qualquer obrigação maior que a organização é submetida,como leis ou regulamentações específicas, além dos requesitos de negóciosespecíficos que também devem ser considerados.Um dos pontos fundamentais da gestão de risco, com a qual a organizaçãodeve estabelecer seus parâmetros e conhecer seus limites, e que leva emconsideração não só aspectos tangíveis da empresa, mas também intangíveis, comoa cultura organizacional, é o grau de tolerância ao risco ou nível de aceitação derisco. Segundo o Guia do Conhecimento do em Gerenciamento de Projetos(PMBoK12): “Tolerância a risco: O grau, a quantidade ou o volume de risco ao qualum indivíduo está disposto a tolerar”.A tolerância ao risco da organização é que vai expor mais ou menos aorganização as vulnerabilidades e ameaças existentes.A definição e uma possível categorização com relação ao grau de importânciado escopo e dos ativos, mesmo que não sugerida pela norma ABNT NBR ISO/IEC27002 (seção 7.1.1, Inventário de Ativos), seria importante para uma análise maiscriteriosa para se determinar tolerâncias ou níveis de aceitação de riscos diferentesdependendo da categoria do ativo que está sendo avaliado. Ou seja, um ativo podeser mais importante que outro; um departamento pode ter um contexto diferente dooutro. Como é sugerida por Campos (2007) para a determinação do escopo deatuação do SGSI, a cadeia de valor também pode ser utilizada para determinar ograu de importância destes ativos, uma vez que estes estão inseridos nos escopos.Neste caso é importante salientar que a informação circulante nestescontextos pode ser a mesma, podendo ser diferente se for levado em consideraçãocenários técnicos específicos (segmentação lógica ou física de redes12PMBoK, do inglês, Project Manager Book of Knowledge. Publicação do Instituto de Gerenciamento de Projetos (ProjectManagement Institute - PMI), com sede nos EUA.
  26. 26. 18computacionais, segregação física das pessoas ou departamentos, políticas deacesso a sistemas e uso de rede, etc.).Os passos seguintes para a abordagem dos riscos podem seguir diversasmetodologias, em geral todas elas seguem o mesmo padrão. A própria norma ABNTNBR ISO/IEC 27001 sugere que na ISO/IEC TR 13335-3 (Tecnologia da Informação– Diretrizes para a gestão da segurança de TI – Parte 3: Técnicas para a gestão desegurança de TI) existem exemplos de metodologias de analise/avaliação de riscospara serem discutidos.Dentro da família ISO 27000, mais especificamente a ISO/IEC 27005, abordajustamente a gestão de risco em sistemas de gestão de segurança da informação.No sentido de “padronizar a si mesma” a Organização Internacional paraPadronização (ISO) criou a norma ISO 31000, uma espécie de norma genérica,onde todas as demais normas ligadas ao gerenciamento de risco deverão ter assuas regras fundamentadas.Pela ISO 31000 tem-se relacionado os seguintes princípios da gestão deriscos, estrutura e processo:Figura 5 – Relacionamentos entre os princípios da gestão de riscos, estrutura e processosFonte: ABNT (NBR ISO 31000 p. vii, 2009)Se forem analisadas a maioria das metodologias de analise/avaliação de riscodisponíveis no mercado, haveria um consenso de que todas giram em torno domesmo fundamento: Identificar, Analisar, Avaliar, Tratar e Monitorar.A título de comparação, o PMBoK trata os riscos em projetos com osseguintes processos:
  27. 27. 19Figura 6 – Visão geral do tratamento de riscos em projetosFonte: PMI (PMBoK, p.274, 2008)Como trata de exclusivamente projetos, o PMBoK insere a etapa deplanejamento a gestão de riscos. Avaliando um pouco mais as demais metodologias,estas não se diferem muito, porém esta etapa de planejamento não é explicitadaficando a cargo do ser interpretada.Portanto, obedecendo ao critério de Identificar, Analisar, Avaliar, Tratar eMonitorar, como descrito na norma ABNT NBR ISO/IEC 27001, mas levando emconsideração os comentários de Mayer e Fagundes (2008), temos a seguinteexplicação para cada critério:
  28. 28. 20 Identificação do Risco: devem-se identificar os ativos do escopo deabrangência do SGSI, seus proprietários e verificar as ameaças aesses ativos. Deve-se verificar a existência de vulnerabilidades queestas ameaças podem explorar. Identificar os impactos que podemcausar perdas dos princípios básicos (confidencialidade, integridade edisponibilidade); Análise do Risco: utilização de informações para identificar as fontespara estimar os riscos; portanto é o processo que vai definir aprobabilidade de ocorrência de um risco e o valor do impacto que elepoderá exercer. Como resultado completo do processo até este ponto,tem-se a identificação dos eventos, os impactos desses eventos emcada um dos princípios da segurança da informação, probabilidade deocorrência, e os valores estimados para cada risco analisado.Considerando essa situação, chega-se a um valor Qualitativo, outroQuantitativo, ou seja, respectivamente, um atributo qualificador (alto,médio, baixo ou ainda um percentual) e um valor numérico (valoresmonetários); Avaliação do Risco: a avaliação de cada risco deve levar emconsideração o grau de tolerância ao risco aceito pela organização edeve ser categorizado como tal. Uma lista deve ser gerada com apriorização dos riscos; Tratamento dos riscos: Para o tratamento dos riscos será necessárioà aplicação de determinadas estratégias, melhores adequadas para ocaso. Segundo Zhi (1994) quatro estratégias podem ajudar a responderaos riscos do projeto (OLIVEIRA et al, 2008):o Evitar: não se adota tecnologia ou processos que se possamoferecer riscos ao negócio da organização. A maneira de setratar riscos dessa natureza pode gerar novos riscos aindamaiores que os benefícios que poderia trazer, assim sendoevitado;o Transferir: será transferida a tratativa dos riscos dessa naturezaa terceiros ou a outro setor sendo uma opção ainda viávelquando a sua tratativa acarretará custos de implantação noprojeto;o Reduzir: será adotado controles que tenham capacidade demitigar e/ou minimizar o risco encontrado;o Aceitar: será aceito o risco sendo uma hipótese quando estanão se faça uma ameaça, porém se faz necessário ficar cienteque o risco ainda existirá desta maneira, é preciso seumonitoramento continuo para que venha a acontecer suaprobabilidade de aumento.
  29. 29. 21A gestão de risco é o centro do SGSI, tendo como “motor” principal o seumonitoramento contínuo. É o monitoramento contínuo dos ativos no escopo deabrangência do SGSI, dos resultados gerados pelos controles implementados, é queo SGSI será retroalimentado.Neste ponto, após a definição de como será a tratativa do risco, deve serdefinido o escopo de abrangência do tratamento de riscos, ou seja, devem serselecionados os objetivos de controle e controles em que a análise de risco vaiatuar. Devem ser selecionados os controles sugeridos no Anexo A da norma ABNTNBR ISO/IEC 27001 que são mais aderentes ao negócio. Esta lista está preenchidacom controles comumente considerados relevantes nas organizações.A tarefa de seleção dos controles pode ser considerada também uma maneirade identificação de novos riscos para a organização. A lista proposta pelo Anexo Amostra uma série de controles que muitas vezes não foram implementados pelasorganizações, apesar de serem relevantes. Por conta disso, pode-se colocar maisum ponto de retroalimentação do sistema de monitoramento e identificação de novosriscos, a partir da avaliação desta seleção. A falta de um controle vai indicarautomaticamente: Um novo risco para ser monitorado; Um plano de ação a ser desenvolvido.O plano de ação constitui na implementação do determinado controle (seaplicável). O plano de ação pode ainda implementar registros, indicadores dedesempenho, novos sistemas, etc.Por fim, uma vez selecionados os controles, será possível fazer a Declaraçãode Aplicabilidade de cada um dos controles, mostrando cada um dos controlesselecionados e a razão pela qual foram selecionados e a razão pela qual os demaisforam excluídos.
  30. 30. 22Implementar e Operar o SGSIA implementação e operação do SGSI basicamente preveem aoperacionalização dos controles selecionados (para atender os objetivos decontrole), a monitoria dos riscos identificados, colocar em praticas os tratamentosaos riscos identificados e avaliar o andamento dos planos de ações já colocados emprática. Ou seja, fazer com que o ciclo funcione.A realização da análise crítica do SGSI é ponto fundamental para o sucesso.Segundo a norma ABNT NBR ISO/IEC 27001, a análise crítica deve levar emconsideração, além do atendimento à política e dos objetivos do próprio SGSI, osresultados de auditorias de segurança da informação resultados de medições deeficácia, sugestões e realimentação das partes interessadas.Como sugere Martins e Santos (2005), operacionalizando o SGSI no cicloPDCA, teremos todas as etapas do processo como mostrado na figura a seguir:Figura 7 – Proposta de Metodologia para implantação do SGSIFonte: Journal of Information Systems and Technology Management (adaptado MARTINS e FONTES, p.127, 2005)
  31. 31. 23Como mostrado, as fases Planejar-Fazer (Plan-Do) do PDCA são as etapascorrespondentes à construção do SGSI que compreendem a elaboração da políticade segurança, definição do escopo, elaboração da análise de riscos, definição daestratégia de gerenciamento de riscos, documentação e seleção dos controles paraaceitação dos riscos.Dessa maneira, conforme a figura a seguir, a implementação do SGSIacontece nas duas primeiras etapas do ciclo PDCA. Ainda no modelo PDCA, asfases Avalie-Aja (Check-Act) relacionam-se à validação de que os controlesselecionados estão sendo aplicados; e se esses mesmos controles selecionadosestão sendo aplicados na melhoria contínua de todo SGSI e nas auditoriasperiódicas.A figura a seguir mostra a visão da norma ABNT NBR ISO/IEC 27001 sobreos processos do SGSI em consonância ao ciclo do PDCA.Figura 8 – Modelo PDCA aplicado aos processos do SGSIFonte: ABNT (adaptado de NBR ISO/IEC 27001 p. vi, 2006)
  32. 32. 24Objetivos de controles e controles da norma ABNT NBR ISO/IEC27001A norma ABNT NBR ISO/IEC 27001:2006, trata especificamente daimplantação do sistema de gestão de segurança da informação com base em todosos objetivos de controles e controles do código de prática ABNT NBR ISO/IEC27002:2005.São 39 objetivos de controles, divididos em 11 grupos, e um total de 135controles para serem selecionados.A seleção destes controles deve ser feita de forma clara e coerente, uma vezque deverá ser justificada a eleição de cada controle; o contrário também éverdadeiro – a sua não escolha também deverá ser justificada. As justificativasdeverão ser reportadas na Declaração de Aplicabilidade. Objetivos de controle econtroles adicionais poderão ser selecionados, conforme necessidade da empresa.Os 11 grupos de objetivos de controle tratam dos seguintes temas:Quadro 1 - Grupos dos objetivos de controle na normaCód. GrupoA.5 Política de SegurançaA.6 Organizando a Segurança da InformaçãoA.8 Segurança em recursos humanosA.9 Segurança Física e do AmbienteA.10 Gerenciamento das operações e comunicaçõesA.11 Controle de AcessoA.12 Aquisição, desenvolvimento e manutenção de sistemaA.13 Gestão de Incidentes de Segurança da InformaçãoA.14 Gestão da continuidade do negócioA.15 ConformidadeFonte: ABNT (adaptado de NBR ISO/IEC 27001 p. 14-30, 2006)O próximo quadro mostram os 39 grupos distribuídos nos 11 gruposindicados:Quadro 2 - Objetivos de controles da normaCód. Grupo e Objetivo de ControleA.5 Política de SegurançaA.5.1 Política de Segurança da InformaçãoA.6 Organizando a Segurança da InformaçãoA.6.1 Organização internaA.6.2 Partes ExternasA.7 Gestão de AtivosA.7.1 Responsabilidade pelos ativosA.7.2 Classificação da InformaçãoA.8 Segurança em recursos humanos
  33. 33. 25A.8.1 Antes da contrataçãoA.8.2 Durante a contrataçãoA.8.3 Encerramento ou mudança da contrataçãoA.9 Segurança Física e do AmbienteA.9.1 Áreas SegurasA.9.2 Segurança de EquipamentoA.10 Gerenciamento das operações e comunicaçõesA.10.1 Procedimentos e responsabilidades operacionaisA.10.2 Gerenciamento de serviços terceirizadosA.10.3 Planejamento e aceitação de sistemasA.10.4 Proteção contra códigos maliciosos e códigos móveisA.10.5 Cópias de SegurançaA.10.6 Gerenciamento da segurança em redesA.10.7 Manuseio de MídiasA.10.8 Troca de InformaçõesA.10.9 Serviços de Comércio EletrônicoA.10.10 MonitoramentoA.11 Controle de AcessoA.11.1 Requisitos de Negócio para controle de acessoA.11.2 Gerenciamento de acesso ao usuárioA.11.3 Responsabilidades dos usuáriosA.11.4 Controle de acesso à redeA.11.5 Controle de acesso ao sistema operacionalA.11.6 Controle de acesso à aplicação e à informaçãoA.11.7 Computação Móvel e trabalho remotoA.12 Aquisição, desenvolvimento e manutenção de sistemaA.12.1 Requisitos de segurança de sistemas de informaçãoA.12.2 Processamento correto de aplicaçõesA.12.3 Controles criptográficosA.12.4 Segurança dos arquivos dos sistemasA.12.5 Segurança em processos de desenvolvimento e suporteA.12.6 Gestão de vulnerabilidades técnicasA.13 Gestão de Incidentes de Segurança da InformaçãoA.13.1 Notificação de fragilidades e eventos de segurança da informaçãoA.13.2 Gestão de Incidentes de segurança da informação e melhoriasA.14 Gestão da continuidade do negócioA.14.1Aspectos da gestão da continuidade do negócio relativos àsegurança da informaçãoA.15 ConformidadeA.15.1 Conformidade com requisitos legaisA.15.2Conformidade com normas e políticas de segurança da informaçãoe conformidade técnicaA.15.3 Considerações quanto à auditoria de sistemas da informaçãoFonte: ABNT (adaptado de NBR ISO/IEC 27001 p. 14-30, 2006)
  34. 34. 26Capitulo 3 – Retorno sobre o Investimento em Segurança da InformaçãoConsiderando um cenário de uma organização comum, sem um sistema degestão de segurança da informação, Campos (2007) observa que, muitas vezes,além dos recursos serem limitados para a área de segurança da informação, oresponsável de segurança não sabe como gastar da maneira melhor possível, emgeral ele é orientado a resolver problemas e não a preveni-los.Ainda Campos (2007), diz que na maioria das vezes esse responsável évoltado a tecnologia e produto, portanto é muito provável que ele realize oinvestimento em melhorias de seu parque tecnológico sem saber realmente daeficácia do investimento realizado. Em muitos casos, mesmo após a implementaçãode um controle, os incidentes voltam a ocorrer. Diante do dilema de onde se investir,muitos responsáveis por segurança da informação ficam imobilizados, não sabendopor onde começar.Como já foi mostrado até agora por este estudo, após a implantação de umSGSI, que acaba por ser a evolução natural de uma organização em crescimento, oadministrador é orientado mais assertivamente onde estão os riscos maiores emenores e, portanto, para onde deve ser direcionado o investimento corretamente.Diante deste cenário, existem estudos demonstrando sobre como obter omáximo de retorno sobre os investimentos em segurança da informação, indicandoque devem ser diferentes dos tradicionais focados somente em ganhos financeiros.Em geral, investimentos em segurança – da informação, predial, pessoal, etc. - nãosão focados na obtenção de lucro, mas sim na proteção de um bem ou ativo, ouseja, são realizados para se evitar prejuízos.Nesse sentido, um dos modelos tradicionais mais utilizados para cálculo deretorno de investimento, como o ROI13, por exemplo, não se mostram capazes decalcular os benefícios dos gastos em segurança.Para essas conclusões da deficiência do ROI, foi-se analisado um estudo doGartner, intitulado “O uso de uma abordagem de preço / desempenho para justificaras despesas de segurança14”, publicado em 2012. Esse estudo mostra que osprofissionais de segurança estão em constante pressão para justificar as despesascom a segurança sempre no contexto do valor do negócio, aumentando assima probabilidade por usar métodos tradicionais de ganhos financeiros, como o retornosobre o investimento (ROI) nos cálculos de viabilidade e projeções. As atividades desegurança da informação e despesas relacionadas são geralmente focadas emredução de risco e, sendo assim, evitam as perdas financeiras em potencial. Isso fazcom que as despesas de segurança funcionem mais como uma espécie de prêmiode seguro do que propriamente um investimento com retornos financeirosreais. Salvo algumas exceções, é muito difícil, senão impossível, calcular osretornos financeiros esperados relativos às despesas com a segurança dainformação, sob o ponto de vista de ganho financeiro.13ROI, do inglês Return on Investment.14Tradução livre do inglês de “Use a Price/Performance Approach to Justify Security Expenditure”.
  35. 35. 27E conforme apontado por Hunter e Westerman (2011), não seria nenhumanovidade a geração de atritos e desavenças entre áreas de negócio e a equipe TI(especificamente a área responsável pela segurança da informação). A área denegócio geraria suas projeções baseadas em projetos insustentáveis queapresentam ROI financeiros que acabam por resultar expectativas irreais, caso a TImantenha seus cálculos baseados nesse modelo.Fazendo um paralelo com os conceitos “Executar / Crescer / Transformar15” oROI é mais adequado para projetos que objetivam o resultado de "crescimento donegócio" ou "transformação do negócio". Projetos de segurança estãoprincipalmente relacionadas com iniciativas para "executar o negócio". O “ModeloExecutar / Crescer / Transformar”, foi introduzidos pelo META Group16no inicio dadécada de 2000, e foi adotado por empresas e consultorias em todo o mundo comomeio de gerenciamento de seus portfólios de TI. Segundo Haag e Cummings (2010),o “Modelo Executar / Crescer / Transformar” propõem basicamente três pontos: Executar: significa executar atividades que são essenciais, mas nãodiferencia a organização em termos de sua missão ou proposição devalor. Um exemplo de “executar o negócio” é uma auditoria. Comcerteza nenhuma empresa foi parabenizada por seus clientes peloótimo desempenho em sua última auditoria. No entanto, se a empresanão tem auditorias em intervalos regulares, todos os tipos deproblemas poderão surgir; Crescer: significa melhorar o desempenho da organização nosmercados existentes, servindo os segmentos de clientes existentescom o estabelecimento de propostas de valor. Um exemplo aqui é amelhoria de um produto ou serviço, criação de um novo canal devendas para uma linha de produtos existente, ou melhorias nodesempenho da sua cadeia de suprimentos; Transformar: significa entrar em novos mercados com novos produtose serviços para servir novos segmentos de clientes com novasproposições de valor. Um exemplo foi a iniciativa da Apple com oiTunes17, que colocou a empresa em um novo espaço competitivo.Para considerar como “Retorno sobre Investimento em Segurança”, forampropostos por vários autores diversos modelos diferentes, inclusive quase todos seutilizando do mesmo nome e da mesma sigla em inglês: “Return on SecurityInvestment” e “ROSI” respectivamente. Basicamente todos os modelos levam emconsideração o risco associado ao investimento e os valores que deverão ser gastospara tratamento deste risco.15Modelo Executar/Crescer/Transformar, do inglês The Run/Grow/Transform Model ou RGT Framework (HAAG e CUMMINGS2010).16META Group é um instituto de pesquisa internacional, com sede na Itália, adquirido pelo Gartner Inc. em 2005.17Apple, fabricante de computadores e dispositivos móveis, uma das maiores empresas do mundo; ITunes, software da Appleresponsável por atualizar os computadores e dispositivos móveis do usuário, além da função de reprodução, venda e aluguelde músicas, filmes e outros produtos multimídia via internet.
  36. 36. 28Foram estabelecidos critérios para escolha de um modelo para ser detalhadoe analisado neste estudo. O modelo deveria ter sua implantação viável no dia-a-dia,com a utilização de modelos ou equações matemáticas simples e, principalmente,que as variáveis necessárias para os cálculos já estivessem disponíveis nosdocumentos do SGSI.Não é o objetivo deste estudo fazer a validação profunda dos modelos, oujulgá-los quanto sua precisão, assertividade ou critérios de avaliação. Este tópico doestudo poderá ser utilizado como o inicio de um estudo maior dos modelosexistentes de “Retorno sobre Investimento em Segurança”, como está sendo suaaceitação no mercado e quais são os novos estudos nesse campo.O modelo escolhido para ser detalhado por este estudo foi o modelo propostopor Sonnenreich, Albanese e Stout (2006), publicado pela Revista de Pesquisa ePrática em Tecnologia da Informação18, intitulado de “Retorno sobre Investimentoem Segurança (ROSI) – Um Modelo Prático Quantitativo”.O modelo de Sonnenreich, Albanese e Stout (2006) foi escolhido, pois asvariáveis para a realização do cálculo do retorno do investimento em segurança nelecontido estão todas caracterizadas em Metodologia para abordagem e gestão deriscos proposta neste estudo19. Além disso, outro ponto importante, este modelo écaracterizado pela viabilidade da sua implementação, no que se diz respeito a suaparte de cálculos, uma vez que a gestão de risco é parte central do SGSI.3.1 Um modelo práticoEm geral, os executivos que tomam as decisões financeiras não se importamrealmente se é um software firewall ou um cofre blindado protegem os servidores daorganização. Muitas vezes eles também não estão preocupados no impacto que asegurança está tendo nos níveis abaixo dele na organização. Para determinarquanto eles deveriam gastar em segurança, eles precisam saber: Quanto a falta de segurança está custando para o negócio? Que impacto a falta de segurança está afetando na produtividade? Que impacto teria uma violação catastrófica na segurança? Quais são as soluções com melhor custo benefício? Que impacto essas soluções terão na produtividade?Antes de gastar dinheiro em um produto ou serviço, esses executivos queremsaber que o investimento é financeiramente justificável, e com a segurança dainformação não é diferente – ela tem que fazer sentido ao negócio da organização.O que os executivos precisam são medidas de segurança que lhes mostrem comodespesas de segurança impactam nos níveis abaixo dele na organização. Nãoexiste implementação de uma solução se o custo real dela é maior que a suaexposição ao risco. Este modelo apresenta uma forma para calcular o valor18Revista de Pesquisa e Prática em Tecnologia da Informação, publicação original da Australian Computer Society Inc. Títuloem inglês Journal of Research and Practice in Information Technology.19Ver Capítulo 2, item Analise do Risco, definição das variáveis a serem calculadas.
  37. 37. 29financeiro das despesas de segurança, e mostra as técnicas para obter os dadosnecessários para completar o modelo.Fórmula Central - ROSI“Quais destas opções me dá o maior retorno para o meu dinheiro?” Esta é aquestão fundamental que o Retorno de Investimento (ROI) deve responder. ROI éfrequentemente usado para comparar estratégias de investimentos alternativos.ROI =(Retornos esperados – Custo do Investimento)Custo do Investimento(1)Para calcular o ROI, o custo de uma compra é comparado contra os retornosesperados durante a vida do item comprado (1). Um exemplo simples: se uma novalinha de produção custará R$1.000 é esperado trazer R$5.000 durante o curso detrês anos, o ROI para o período de três anos é 400% (quatro vezes o investimentoinicial dos ganhos brutos).Uma equação simples para calcular o ROI para um investimento emsegurança (ROSI) é o seguinte:ROSI =alor da Exposição ao Risco Anual Mitigação – Custo da CorreçãoCusto da CorreçãoEsta equação trabalha visando o perfil do ROI para um antivírus decomputador. Uma empresa estima que o custo médio em danos e perda deprodutividade causada por uma infecção por vírus de computador é R$ 25.000.Atualmente, essa empresa passa por quatro desses eventos por ano. A empresaespera limpar pelo menos três dos quatro eventos por anos implantando umasolução de antivírus de R$ 25.000. Exposição ao Risco: R$ 25.000, 4x por ano = R$ 100.000 anual; Risco Mitigado: 75%; Custo da Solução: R$ 25.000.ROSI =100,00 75 – R 25.000R 25.000200 ( )
  38. 38. 30O antivírus de computador parece merecer o investimento, mas somenteporque nós estamos assumindo que o custo do desastre é R$ 25.000, que oprograma vai capturar 75% dos vírus e que o custo deste programa éverdadeiramente R$ 25.000. Na realidade, nenhuma das variáveis está perto deserem precisas. E se três de quatro eventos de infecção por vírus custa R$ 5.000em danos, mas uma custa R$ 85.000? O custo médio é ainda R$ 25.000. Qualdestas quatro será anterior à passagem do antivírus? Se for a de R$ 5.000, o ROSIaumenta cerca de 300% - mas se é a mais cara, o ROSI se torna negativo e,portanto, inviável.Sugerir valores significativos para as variáveis na equação de ROSI não éuma tarefa simples. No momento da criação deste modelo, não existia um modelo“padrão” para determinar o risco financeiro associado aos incidentes de segurança.Também, não há métodos padronizados para determinar efetivamente o riscomitigado da solução de segurança.Existem técnicas para medir quantitativamente a exposição ao risco, mas osresultados tendem a variar na precisão. Para a maioria dos tipos de risco, aexposição pode ser encontrada consultando tabelas atuariais20construídas comdécadas de dados de estatísticas demográficas. Infelizmente, dados similares emrisco de segurança da informação não existem ainda. E mais, a variabilidade emcusto de exposição pode levar a resultados enganosos quando se prevê baseando-se em dado atuarial. No exemplo utilizado, a exposição ao risco é enganosa – ocusto médio de R$ 25.000 não reflete o fato de que a maioria dos incidentes custapouco enquanto alguns vão custar muito mais caro.Há algum benefício em calcular o ROSI se o dado básico é impreciso?Aparentemente sim, já que algumas indústrias têm usado com sucesso medidasimprecisas de ROI por décadas. A indústria de propaganda é um exemplo disso.Anúncios são cotados baseados no número de potenciais expectadores, o qual éfrequentemente extrapolado pelos dados demográficos e de circulação. Oscompradores de anúncios assumem que o número verdadeiro de expectadores édiretamente correlacionado com o número de potenciais expectadores; se a base deexpectadores dobra, muito provavelmente duas vezes mais pessoas verão oanúncio. Sendo assim, mesmo que eles nunca consigam saber o número verdadeirode expectadores, os anunciantes informados conseguem, entretanto, tomar decisãobaseados em outra medida mais confiável.Conclusão: Medidas repetitivas e consistentes podem ser extremamentevaliosas – mesmo se imprecisas.Observação: Para objeto do estudo, o item acima descrito já cobre o que foiproposto. Os demais pontos são apenas informativos, complementando a ideia doautor sobre o artigo proposto e uma forma de calcular as demais variáveis dafórmula de uma maneira mais precisa, constituindo uma visão interessante sobreuso e coleta de dados estatísticos para utilização no dia-a-dia da empresa.Quantificando a Exposição ao Risco20Tabelas com dados estatísticos criados a partir da experiência e pelo próprio profissional Atuário. O Atuário é o profissionalpreparado para mensurar e administrar riscos, sendo exigido dele conhecimentos em teorias e aplicações matemáticas,estatística, economia, probabilidade e finanças, transformando-o numa espécie de arquiteto financeiro e matemático socialcapaz de analisar de uma só vez as mudanças financeiras e sociais no mundo.
  39. 39. 31Um método analítico simples para calcular a exposição ao risco é multiplicaro custo projetado do incidente de segurança (Perda Única de Exposição - SLE21)pela Taxa Anual de Ocorrência (ARO22) estimada. O resultado final é chamado dePerda Anual de Exposição (ALE23).Enquanto não existem métodos padrões para estimar SLE ou ARO, existemtabelas atuariais que dão valores estatísticos médios baseados em relatórios dedados do mundo real. Essas tabelas são criadas a partir de dados de seguros,pesquisas acadêmicas, ou enquetes independentes.Exposição ao Risco = ALE = SLE * ARO (4)É muito difícil obter dados sobre o custo real de um incidente de segurança(ou SLE). Isto porque poucas empresas rastreiam com sucesso os incidentes desegurança. Violações de segurança que não tem impacto imediato ao dia-a-dia donegócio frequentemente são imperceptíveis. Quando uma violação é percebida, aorganização está, geralmente, tão ocupada em consertar o problema que não sepreocupa em quanto custa ou vai custar o incidente. Depois do desastre,constrangimento interno e/ou preocupação sobre a imagem pública, frequentementeresultam na tentativa de se fazer esquecer o incidente. Como um resultado deste“desejo do esquecimento” pelo incidente de segurança, o volume de dados por trásdas tabelas atuariais existentes é lamentavelmente inadequado.Atualmente, o “melhor” dado atuarial vem de esforços como da enqueteanual de negócios conduzida pelo Computer Security Institute (CSI) e o U.S. FederalBureau of Investigation (FBI). As organizações estão solicitando para que se estimeo custo dos incidentes de segurança para as várias categorias durante o curso deum ano. Infelizmente, os métodos usados para calcular estes custos variam denegócio para negócio. Por exemplo, uma empresa pode avaliar um furto de umcomputador pessoal baseado no seu custo de reposição. Outra pode medir o fatorsobre a perda de produtividade e tempo de suporte de TI, e outra ainda pode mediro fator sobre o custo da perda intelectual. Concluindo, algumas empresas avaliam oroubo do laptop em R$ 3.000; outras em mais de R$ 100.000! O número final é maisinfluenciado pelos fatores de negócio (quando o seguro vai ressarcir, quais são asimplicações das tarifas, que impacto terá uma grande perda no preço da ação) doque pela realidade financeira.Para o propósito deste calculo de ROSI, a precisão do custo do incidentenão é tão importante quanto uma metodologia consistente para calcular e relatar ocusto, como já discutido, seria melhor ter empresas que concordassem com umatécnica padrão para tabular o custo interno de um incidente de segurança. Sendoassim, o foco deve ser nos fatores de custo que são mensuráveisindependentemente e correlacionados diretamente com a severidade do incidentede segurança.Um custo potencialmente significativo é a perda de informação confidencial.Em organizações valorizadas por sua propriedade intelectual, uma violação desegurança resultante do roubo de informações pode criar uma perda significativa21SLE, Perda Única de Exposição, do inglês Single Loss Exposure.22ARO, Taxa Anual de Ocorrência, do inglês Annual Rate of Occurrence.23ALE Perda Anual de Exposição, do inglês Annual Loss Exposure.
  40. 40. 32para os negócios mais que o impacto na produtividade (violação do princípio dadisponibilidade). O custo de um incidente de segurança nestes casos é o valorestimado da propriedade intelectual.Outro custo significativo é a perda de produtividade associada com oincidente de segurança. Para muitas organizações, o custo na perda deprodutividade é muito maior que de recuperação de dados ou reparação desistemas. Segurança pode estar diretamente conectada na saúde financeira daempresa por incluir a perda de produtividade no custo de um desastre. Estaabordagem força automaticamente projetos de segurança para melhorar a eficiênciado negócio e elimina aqueles projetos justificados somente pelo medo dodesconhecido.Numa indústria, por exemplo, produtividade perdida pode ter um impactosevero no negócio. Somente dez minutos de inatividade por dia por colaboradorpoderá somar rapidamente um montante significativo, como mostrado abaixo: 1000 colaboradores; 44 horas/ano inatividade relacionada à segurança; R$ 20 por hora em média de salário.= R$ 880.000 por ano em Perda de ProdutividadeA decisão da organização em usar a produtividade perdida, valor dapropriedade intelectual ou uma combinação de ambos como medida de exposiçãoao risco, dependerá se ela está mais preocupada com o roubo de dados,disponibilidade de dados, ou com ambos. Empresas de serviços profissionais, comoempresas de advocacia ou de contabilidade tendem a ser mais suscetíveis comrelação à disponibilidade de dados; se eles não conseguem acessar arquivoscríticos, eles não podem receber seus honorários efetivamente. Isso impactadiretamente na base do negócio. Organizações de Pesquisa e Desenvolvimentointensivos, como laboratórios de biotecnologia, serão mais preocupados sobre oroubo de dados; a informação pode ser decisiva para vencer a barreira delançamento imediato de um produto ao mercado, a frente do concorrente.Analistas e contadores podem fornecer avaliações consistentes dapropriedade intelectual, porém como a produtividade perdida pode ser calculada?Internamente, produtividade é frequentemente medida usando uma combinação decálculo de desempenho e medidas de ganho/perda. O problema nesta abordagem,isolando o impacto da segurança na produtividade de outros fatores (como baixodesempenho) é impossível. Medições técnicas sobre parada de sistema tambémnão são adequadas devido a estas paradas serem somente quando se impedealguém de fazer o trabalho. É muito mais importante medir a percepção do usuáriofinal sobre a parada, já que isso impacta diretamente na sua produtividade.A medição da percepção do colaborador sobre a parada pode ser realizadapor uma enquete. Se a enquete está corretamente construída, haverá uma fortecorrelação entre o resultado da enquete e o desempenho financeiro. Especialmente,se um departamento mostra uma “desaceleração” na percepção do tempo deinatividade, deve também mostrar um aumento de produtividade no seu balançointerno.
  41. 41. 33Uma boa enquete proporcionará aos colaboradores questões com respostasde caráter quantitativas, ou respostas que implicam em valores quantitativos. Porexemplo, uma questão pode ser, “Quantos spams você recebe por dia?”. Ocolaborador pode escolher entre quatros respostas: menos de 10, 10-30, 30-50 oumais de 50. A média de minutos de inatividade pode ser associada com cadaresposta. Por exemplo, lidar com 30-50 mensagens de spam por dia pode causaraté dez minutos de inatividade, especialmente se é difícil dizer a diferença entrespams e mensagens desejadas.A chave para obter resultados consistentes de uma enquete que mede apercepção dos colaboradores é assegurar que as questões são quantitativas, clarase de fácil resposta sem requeres muita reflexão. Por exemplo, uma péssima questãoseria “Estime a quantidade de paradas que você teve neste mês,” já que poucaspessoas poderiam responder como os eventos, sem registros, ocorreram. Umamelhor pergunta seria: ”Com que frequência o servidor fica indisponível por mais de10 minutos (diariamente, semanalmente, mensalmente ou raramente)”. Uma pessoalque sofre problemas semanais com o servidor é melhor que responda “diariamente”ao invés de muito frequentemente.Uma vez que as respostas sejam tabuladas, o resultado será uma indicaçãode tempo de inatividade mensal. Esta informação pode ser convertida em umaquantia de dinheiro relacionada com produtividade perdida usando dados de saláriosexpressos por taxas horárias. Por exemplo, se a média salarial para umdepartamento é R$75 por hora e sua média de parada de produção é 30 horas pormês, então a empresa está perdendo R$ 2250 em tempo não produtivo porcolaborador devido o problemas relacionados segurança da informação. Numaempresa de serviço profissional, estes colaboradores podem também gerar receita.A taxa horária de salário multiplicada pela taxa de realização de receita e tempo deinatividade mensal dá uma quantificação adicional de oportunidade de receitaperdida. Refinando a enquete de produtividade, onde a perda calculada mostra fortecorrelação com as medidas financeiras internas de ganhos e perdas, pode-seaumentar a precisão.Observação: Com uma boa enquete e tabulando um sistema paraprodutividade, combinada com medidas externas de valor de propriedade intelectual,torna-se possível quantificar a exposição ao risco de maneira repetitiva econsistente.Uma avaliação na parada de produção pode fornecer uma análise post-mortem da produtividade perdida durante um incidente de segurança. A perda damedida pode ser usada quando se calcula o ROI da solução de segurançaprojetadas para prevenir problemas similares no futuro. Infelizmente, ainda que setenha um estudo combinando tais análises nas tabelas atuariais, associa-se a perdade produtividade com incidentes particulares de segurança. Isso significa que se umincidente particular de segurança já tenha acontecido para a organização, ele nãopode figurar nas avaliações estatísticas comumente usadas para estimar perdas.É possível usar a avaliação da parada de produção para estimar perda deprodutividade associada com um incidente que ainda não tenha acontecido. Se umaorganização quer estimar o impacto de um vírus, ela pode conduzir uma avaliaçãode parada de produção para obter uma linha de base na medida da produtividade.
  42. 42. 34Ela deve então tomar os resultados da avaliação e variando respostas das questõesdirecionadas para dados perdidos, problemas de banda larga, etc. O resultado deveser um potencial intervalo de perda de produtividade, o qual pode ser usado paracalcular um ROI máximo e mínimo para soluções preventivas por infestação devírus.Outra aplicação usada para uma avaliação de parada de produção é quandose examina o impacto geral da segurança na produtividade organizacional. Todos osdias, violações de segurança e falhas de tecnologia podem causar perdasignificativa de produtividade quando se agrega tempo extra. O “Quadro ” mostraapenas uma lista de fatores que podem acrescentar alguns minutos extras. Nestaexperiência, uma empresa média tem pelo menos cinco destes problemas,resultando em mais de uma hora de inatividade por dia.Quadro 3 - Possíveis causas diárias de perda de produtividadeFonte: Journal of Research and Practice in IT (adaptado de SONNENREICH, ALBANESE e STOUT, p. 61, 2006)A equação de Retorno de Investimento em Segurança toma outro significadose a perda de produtividade diária é usada como figura de exposição ao risco. Aimplicação é que a organização segura terá menos violações e falhas de tecnologia,e então menos produtividade perdida. O risco devido a uma violação maior éignorado. Ela deixa de lado completamente o problema de se calcular ROSI para umevento que pode não acontecer para focar em problemas que ocorremconstantemente. Se uma solução de segurança pode melhorar a segurança emgeral, enquanto eliminam alguns destes problemas, ela terá atualmente um ROSIpositivo, mesmo se ela nunca se deparar com um incidente sério.Conclusão: Existem vários caminhos nos quais a produtividade perdida podefornecer uma estimativa significativa de exposição ao risco, sendo que qualquer umadelas pode ser usada para calcular ROSI.
  43. 43. 35Quantificando o Risco MitigadoDeterminar os benefícios do risco mitigado de um equipamento desegurança é tão difícil quanto medir sua exposição ao risco. A maioria dosproblemas se dá pelo fato que a segurança não cria algo tangível – somente previneas perdas. Uma perda que é prevenida é uma perda que você provavelmente nãosaberá. Por exemplo, uma empresa de sistema de detecção de invasão podemostrar que houve dez invasões de sucesso no ano passado, porém apenas cinconeste ano. Esta diferença foi devida ao novo aparelho de segurança comprado pelaempresa, ou foi porque menos cinco invasores atacaram a rede corporativa?O quanto de dano a organização pode ocorrer se a solução de segurançafalhar? Enquanto poucas violações podem ser o resultado de ataques diretos poraqueles com intenções destrutivas ou criminais, a maioria são não intencionalmentemaliciosas – elas são o resultado de programas automatizados e invasores curiosos.Dano significativo, enquanto é raramente intencionado por estes invasores, porém éuma possibilidade. Este dano não é apenas confinado a sistemas e dados –incidentes sérios podem levar a perda de confiança em consumidores/investidores.Os argumentos que se seguem são usados para justificar uma porcentagemsimples e fixa para mitigação de risco: Uma solução de segurança é projetada para mitigar riscos específicos; Se a solução está funcionando bem, ele mitigará cerca de 100% destes riscos(85% para ser conservador); Então, o montante de mitigação de risco é 85%.Infelizmente, existem muitos problemas sérios com lógica acimaapresentada: Riscos não são isolados – uma porta bem fechada mitiga 0% de risco se ajanela mais próxima estiver aberta; Soluções de segurança não funcionarão como isolamento – a existência eefetividade de outras soluções terá um impacto maior; Soluções de segurança são raramente implementadas para serem maisefetivas possíveis devido ao inaceitável impacto na produtividade; Soluções de segurança tornam menos efetivas os tempos extras, comoinvasores encontram meios para trabalhar cerca delas e criar novos riscos.A melhor abordagem é conduzir uma avaliação de segurança e “pontuar” aavaliação baseada em algum algoritmo consistente. Este resultado pode representaro montante de risco sendo atualmente mitigado. Pela avaliação de mitigação derisco dentro do contexto da segurança geral da rede, os dois problemas deisolamento mencionados acima são evitados. Uma boa avaliação capturará tambémo impacto das escolhas de implementação feitas por uma questão de usabilidade eprodutividade. Igualmente, um bom algoritmo de pontuação considerará o impactodo tempo sobre a eficiência da solução.Analisando uma solução de segurança, a avaliação pode ser conduzidacomo se a solução já estivesse implementada. A diferença entre esta pontuação e a
  44. 44. 36pontuação atual é o montante de risco sendo mitigado devido à solução. CalculandoROSI, a pontuação preditiva (não a diferença) deveria ser usada como a mitigaçãodo risco geral.A precisão da pontuação como medida de risco mitigado é dependente daqualidade da avaliação e do algoritmo de pontuação. Seguir guias de avaliaçãopublicados por grupos de configuração padrão como o Fórum de SegurançaInternacional (ISF24), Instituto Nacional de Padrões de Tecnologia (NIST25), e oOrganização Internacional para Padronização (ISO) nos levará a criação de umaboa avaliação.Conclusão: Mesmo com um algoritmo de pontuação impreciso, usando umaavaliação tabulada como método de mitigação de determinado risco é eficienteporque as pontuações são repetitivas e consistentes, e então podem ser usadospara comparar o ROI de diferentes soluções de segurança.Quantificando o Custo da SoluçãoVisto por este ponto, seria aparente que o custo de uma solução não éapenas que está o que o fornecedor apresenta na cotação ou na fatura. No mínimo,o custo interno associado com a implantação sa solução também precisa ser levadoem consideração. Porém isso também não é suficiente. Mais uma vez, produtividadeserá julgada e demandará prestação de contas.Produtividade é importante porque a segurança quase sempre vem do custoda conveniência. A maioria das soluções de segurança acaba criando obstáculosque os colaboradores precisam transpor, a fim de fazer o seu trabalho. Dependendodo tamanho e da frequência desses “obstáculos”, o custo da produtividade perdidapode somar seriamente. O “Quadro 4” mostra quanto tempo pode ser facilmenteperdido devido aos problemas criados atualmente por muitas soluções projetadaspara consertar outros problemas de segurança:Quadro 4 - Perda de Produtividade devida as Soluções de SegurançaFonte: Journal of Research and Practice in IT (adaptado de SONNENREICH, ALBANESE e STOUT, p. 62, 2006)É possível também que a implantação de uma solução de segurançaaumente a produtividade. Isso ocorre quando um efeito colateral da solução agepara eliminar outros problemas significativos que foram dificultando a produtividadeao longo do tempo. Por exemplo, implantar um firewall pode requerer umareestruturação da rede.24ISF, Fórum de Segurança Internacional, do inglês International Security Forum.25NIST, Instituto Nacional de Padrões de Tecnologia, do inglês National Institute of Standards on Technology.
  45. 45. 37Esse impacto de produtividade pode ser medido reconduzindo as enquetesde produtividade usadas para estimar a exposição ao risco. As respostas dadas sãoajustadas para assumir que a solução está implementada. A diferença entre aprodutividade atual e a projetada é o fator de impacto que necessita ser incluídoneste calculo.Colocando este fator de produtividade em nosso primeiro exemplo, doantivírus, pode-se ver que: se o custo da solução excede R$ 60.000, o ROI é 0%,então não é viável a compra. Assumindo que o custo total do sistema se mantém emR$ 30.000, há uma margem de R$ 30.000. Para 100 colaboradores recebendo emmédia R$ 20 por hora, esta margem se iguala a 3,5 minutos de inatividade por dia.Se implantado o antvírus, se criará mais 3,5 minutos de inatividade por dia, portantoo custo-benefício é maior não comprando o software. Por outro lado, se o softwarepode eliminar o tempo de inatividade por minimizar o impacto dos vírus, isso podefazer o software de limpeza ser ligeiramente atrativo em termos de ROI.Conclusão: O custo de uma solução deve incluir o impacto da solução naprodutividade, desde que esse número seja geralmente grande o bastante paraconfirmar ou quebrar a viabilidade da solução dada.3.2 Outros modelosOutros modelos intitulados como “Retorno sobre Investimento em Segurança”também foram estudados, porém não tiveram sua viabilidade caracterizada parautilização no dia-a-dia segundo os critérios estabelecidos deste estudo. Segueabaixo a descrição de alguns deles, por autor:Mizzi (2005) caracteriza seu modelo colocando um limite máximo sobre omontante que deveria ser gasto num programa de segurança da informação eestimar o valor que um “invasor” está disposto a gastar para invadir um sistema,dependendo do ativo de informação em jogo da organização em questão. Nessemodelo são utilizadas uma série de equações e mais de quinze variáveis diferentespara serem recuperadas do sistema em questão, entre elas “custo de manutenção”,“custo para corrigir vulnerabilidades”, “homem/hora de TI”, “custo anual demanutenção”, etc. O modelo de Mizzi (2005) não foi explorado por este estudo, poisnão passou nos critérios acima estabelecidos, mas teve o registro por apresentarcaracterísticas que poderão ser exploradas em outros trabalhos e estudos, como oproposto em outro artigo do próprio autor, que baseou seu modelo no estudo deviabilidade de uma solução anti-spam num ambiente de redes computacionais semfio26.Cavusoglu, Mishra e Raghunathan (2004) propõem um modelo dedecisões estratégicas de investimento em TI usando a Teoria dos Jogos. A teoriados jogos é utilizada para analisar problemas em que as recompensas para osjogadores dependem da interação entre as estratégias dos jogadores, ou seja,quando a análise das decisões envolve mais de um ativo e/ou cenário, riscos e26Publicado em 2010 pelo International Journal of Network Security o artigo com o título original em inglês Return onInformation Security Investment - The Viability of an Anti Spam Solution in a Wireless Environment. Anti-Spam é o termo usadopara referir-se às ferramentas que protegem os usuários de correios eletrônicos de mensagens não solicitadas.
  46. 46. 38incertezas, por conta de informações imperfeitas (ANDERSON, 2010). Para oscálculos deste modelo foi utilizado o Teorema de Bayes27. O modelo pode servirpara casos específicos, como o exemplificado no artigo (compra de umainfraestrutura completa de TI) e que pode ser o ponto de partida para oaprofundamento por outros trabalhos também.27Teorema de Bayes, formulado pelo reverendo inglês Thomas Bayes (1702-1761), teorema este que só ficou conhecido doisanos após sua morte, quando um amigo resolveu publicar o artigo “Ensaio buscando resolver um problema na doutrina dasprobabilidades” (título original em inglês An essay towards solving a problem in the doctrine of chance) encontrado entre ospapéis do próprio reverendo (OLIVEIRA, 2011).
  47. 47. 39Capitulo 4 – O SGSI em conformidade com outros Padrões, Leis eRegulamentaçõesO Sistema de Gestão de Segurança da Informação pode ser o ponto departida para a implantação de outros padrões, colocando departamentos e/ousistemas em conformidade com leis e regulamentações, além da criação da culturade segurança da informação dentro da organização, indispensável parafortalecimento de uma cultura organizacional voltada para a segurança (OLIVEIRA,2011).Serão mostradas agora alguns padrões, leis e regulamentações que o SGSIpode de alguma forma contribuir seu cumprimento dentro da organização.4.1 Lei Sarbanes-OxleyCom os escândalos empresariais ocorridos nos Estados Unidos do inicio dadécada de 2000, encabeçados pela Enron, WorldCom, Tyco e Arthur Andersen,houve a necessidade de aprimoramento nas boas práticas de GovernançaCorporativa, a fim de coibir procedimentos não éticos por parte das empresas norte-americanas. Assim sendo, a Lei Sarbanes-Oxley foi sancionada nos EUA, no dia 30de julho de 2002, pelo então presidente dos Estados Unidos George W. Bush, sendointitulada oficialmente como Sarbanes-Oxley Act 2002, também conhecida por SOxou ainda Sarbox (PENHA, 2005).A Lei Sarbanes-Oxley é originária dos projetos de lei elaborados pelo senadoramericano Paul Sarbanes (Democrata de Maryland) e pelo deputado federalMichael Oxley (Republicano de Ohio) e o seu famoso nome conhecido é umareferência ao sobrenome de ambos.O objetivo principal da Lei Sarbanes-Oxley é restaurar o nível de confiançados investidores, pelo estabelecimento de regras que devem transpassar olevantamento e a divulgação das informações contábeis, bem como estabelecertambém como as sanções penais para o seu descumprimento e consolidar a teoriados mercados eficientes, que norteia o funcionamento do mercado de títulos evalores mobiliários. (BORGERTH, 2007).Segundo Penha (2005), a Lei não afetou somente empresas norte-americanas, ela transpôs fronteiras e levou suas regras para as subsidiáriasestrangeiras destas empresas. As empresas estrangeiras com Certificados deDepósitos de Títulos e Valores Mobiliários (ou recibos de ações - ADRs28)negociados em bolsas norte-americanas também tiveram que seguir as regras daLei.A Lei Sarbanes-Oxley é composta de onze capítulos:28ADR, do inglês American Depositary Receipt.
  48. 48. 40Quadro 5 - Composição da Lei Sarbanes-OxleyCapítulos TemasI Criação do Órgão de Supervisão do Trabalho dos AuditoresIndependentesII Independência do auditorIII Responsabilidade corporativaIV Aumento do nível de divulgação de informações financeirasV Conflitos de interesses de analistasVI Comissão de recursos e autoridadeVII Estudos e relatóriosVIII Prestação de contas das empresas e fraudes criminaisIX Aumento das penalidades para crimes de colarinho brancoX Restituição de impostos corporativosXI Fraudes corporativas e prestação de contasFonte: BORGHERTH (2007, p. 19)Com a implantação da Lei Sarbanes-Oxley transforma Diretores Executivose Diretores Financeiros explicitamente em responsáveis por estabelecer, avaliar emonitorar a eficácia dos controles internos sobre relatórios financeiros e suasrespectivas divulgações (DELOITTE, 2003).Dentro destes capítulos, a Lei é subdividida em vários capítulos. Segundo oguia da Deloitte (2003), existem duas seções que são as mais críticas: a seção 302,que trata da responsabilidade dos Diretores da empresa e a seção 404, que tratados controles internos, que será o objeto de análise deste estudo.Ainda se baseando no guia Deloitte (2003), a seção 302 determina que osDiretores Executivos e Diretores Financeiros da organização devem declararpessoalmente que são responsáveis por todos os controles e respectivosprocedimentos de divulgação da organização, sendo que cada arquivo trimestraldeverá conter provas da avaliação e execução desses controles.A seção 404 exige a avaliação anual dos controles e procedimentos internosde emissão dos relatórios financeiros, compreendendo inclusive que um o auditorindependente deverá emitir um relatório atestando a veracidade da administraçãosobre a eficácia destes controles internos e de todos os procedimentos que sãoexecutados para a emissão dos relatórios financeiros exigidos pelos órgãosreguladores.Já numa primeira análise, já conseguimos fazer uma analogia ao SGSI quefoi proposto por este estudo (Capítulo 2 - Seção 2.7 - Objetivos de Controles eControles da norma ABNT NBR ISO/IEC 27001) onde mostrado que “objetivos decontroles e controles adicionais poderão ser selecionados, conforme necessidade daempresa”.O capítulo “4.2.1” seção “g)” “Selecionar objetivos de controle e controlespara o tratamento de riscos” da norma ABNT NBR ISO/IEC 27001 trata justamenteda seleção dos controles que deverão ser implementados, dando a opção para a
  49. 49. 41empresa implementar seus próprios controles internos, fora daqueles propostos peloAnexo A da norma, porém, nada impede de identificar controles que possam sersemelhantes ou até iguais, exigidos tanto na norma quanto na SOx.Não fará parte do escopo deste trabalho determinar quais controlesespecíficos já estabelecidos na norma ABNT NBR ISO/IEC 27001 se adequariamaos controles exigidos pela SOx. O critério principal de julgamento para permitir aadequação da norma foi a exigências da Lei relacionada aos controles, solicitando“uma estrutura de controles internos apropriada” (DELOITTE, 200 ), nãodeterminando um modelo específico a ser seguido, o que torna a ABNT NBRISO/IEC 27001 totalmente viável nesse sentido.Com relação à implementação do “SGSI Integrado”, a partir da seleção doscontroles internos adicionais relacionados aos controles exigidos pela SOx e quefarão parte do SGSI, além da identificação dos controles que se sobrepõem as duasde acordo com o anexo A da norma, inicia-se a tratativa do gerenciamento eavaliação de riscos, o resultado do ciclo PDCA de monitoria e a análise críticaproposta pela norma. Basicamente a aplicação dos capítulos 4, 5, 6, 7 e 8 da normaABNT NBR ISO/IEC 27001, que são, respectivamente, Sistema de Gestão daSegurança da Informação, Responsabilidade da Direção, Auditorias Internas doSGSI, Análise Crítica do SGSI pela Direção e Melhorias do SGSI.Mais uma vantagem identificada é o processo de auditoria e certificação aque o SGSI pode ser submetido. Portanto monta-se o cenário De um lado temos o processo de auditoria de certificação, ouauditoria de terceira parte (CAMPOS, 2007), é realizadoperiodicamente na empresa para comprovar a eficácia de seuscontroles e comprovar que estão de acordo com a norma. De outro, segundo o guia Deloitte (2003), é exigido da administraçãodeverá certificar a eficácia dos controles e procedimentos internospara a emissão dos relatórios financeiros em uma base trimestral(exigência da SEC29), além da exigência de um auditor independenteda própria organização preencha um relatório individual que ateste aavaliação da administração sobre a eficácia dos controles eprocedimentos internos para a emissão de relatórios financeiros.O certificado de cumprimento à norma, de validade internacional, dada porum órgão independente de reconhecimento internacional dará mais tranquilidade etransparência a todo o processo de certificação da eficácia dos controles, uma vezque eles já foram implementados, auditados e validados por um órgão totalmenteisento.Campos (2007) inclui em sua avaliação a importância da seção 409, queexige da organização um relatório sobre as mudanças nas condições financeiras ouoperações em no máximo 48 horas, para garantir a automatização e asistematização do monitoramento financeiro. Porém é levantada a questão: até que29SEC, do inglês Securities and Exchange Commission, correspondente norte-americana à brasileira CVM, Câmara deValores Mobiliários.

×