itil

Sistema de Gestão em Segurança da Informação

Em sua bibliografia Fontes [Fontes 2008] define um Sistema de Gestão de Segurança da Informação ou Information Security Management System (ISMS) como um conjunto de processos, diretrizes, procedimentos e políticas que são metodicamente implantadas com o objetivo de prover segurança aos ativos organizacionais e tecnológicos. Este sistema deve ser proposto ou receber o aval da direção da corporação, suas normas deverão ser seguidas por todos aqueles que tenham relacionamento direto ou indireto com o setor de tecnologia da informação.

A análise de riscos no setor de infraestrutura de TI deve ser priorizada a fim de identificar as falhas e pontos vulneráveis dos sistemas em uso, estes deverão ser corrigidos para que posteriormente sejam auditados. Programas de conscientização e treinamento dos usuários devem ocorrer em paralelo com a implantação do ISMS por serem um elo fraco no processo de segurança.

Outra necessidade do ISMS é a definição de uma política de segurança da informação, que consistem em documentos que descrevem os procedimentos adequados para a utilização dos recursos tecnológicos da corporação, definindo regras e punições caso as regras sejam violadas. Estes documentos devem ser livremente divulgados e sua leitura deve ser incentivada pelos gestores da organização.

Ao buscar conformidade com as normas relativas à série ISO/IEC 27000 em uma organização, acabasse por instituir um sistema de gestão em segurança da informação, em uma visão simplista este sistema considera a proteção dos ativos, o gerenciamento dos riscos, os objetivos de controles e controles implementados, em sua bibliografia Ferreira [Ferreira 2008] afirma que o ISMS pode ser construído de acordo com as seguintes etapas exemplificadas na figura 1.

Em uma organização a implantação de um ISMS tem como fim a proteção dos recursos de informação, permitindo assim que o negócio da organização seja realizado de forma alinhada e contínua. Deve-se ter em mente que a série ISO/IEC 27000 (em especial a norma ISO/IEC 27002) fornece recomendações básicas para a gestão da segurança em um documento completo que marca o ponto de partida da organização rumo a gerenciamento seguro do seu negócio.


Governança de SI: Melhores Práticas

Para que a governança de segurança da informação alcance a esperada efetividade dentro de uma organização, algumas metodologias e melhores práticas tornam-se indispensáveis, dentre elas a NBR ISO/IEC 27002:2005, o Control Objectives for Information and Related Technology (Cobit) e o Information Technology Infrastructure Library (ITIL) são padrões mundialmente reconhecidos.

A busca por padrões de mercado decorre da necessidade de atualização constante que as áreas de tecnologia da informação possuem, entretanto a velocidade da evolução tecnológica cria a necessidade de continuas atualizações nos modelos, buscando o constante alinhamento das metodologias às necessidades do mercado [Módulo 2007]. Ao decorrer dessa seção algumas das metodológicas mais utilizadas em segurança da informação serão discutidas.

Ao proteger e controlar as informações de sua organização, o profissional de segurança deve estar apto a prover ações que estejam alinhadas as melhores práticas vigentes no mercado, essas práticas aconselham a existência de processos formais que procuram conscientizar os colaboradores de uma organização sobre os riscos que as atuais tecnologias oferecem.

Apesar das recomendações relativas à conscientização, em nenhum momento as metodologias de segurança apresentam um modelo de como implantar estas práticas, esse é um dever do gestor de segurança que deve alinhar as recomendações para cada negócio.

CobiT

O Control Objectives for Information and related Technology (CobiT) desenvolvido pelo ISACA (Information Systems Audit and Control Association) consiste em um modelo de boas práticas em estruturas de controles internos, essas estruturas são orientadas para o entendimento e gerenciamento de riscos associados ao uso da tecnologia da informação. O conjunto de práticas disponibilizado pelo CobiT tem como seu principal objetivo auxiliar na otimização dos investimentos em TI assim como assegurar a entrega de serviços e providenciar métricas de controle.

Padrões aceitos mundialmente compõem sua estrutura de controle no que diz respeito às melhores práticas para o estabelecimento de controles e padrões de segurança tendo como foco a área de tecnologia da informação.

Em sua divisão, o CobiT conta com 4 domínios, nos quais 34 processos primam por estabelecer os objetivos de controle necessários à manutenção de uma estrutura de controles internos. Esta estrutura possibilita que a organização atinja os objetivos de negócio de maneira concisa e confiável. Em suma, o CobiT prega que para prover as informações necessárias aos objetivos da organização, os recursos de TI precisam ser gerenciados por uma série de processos naturalmente agrupados.

ITIL

A Information Technology Infrastructure Library (ITIL) é um conjunto de melhores práticas amplamente aceita para a operação dos negócios de tecnologia da informação. A ITIL foi desenvolvida no final da década de 80 e era constituída por uma série de livros (cerca de 60 livros).

Sendo desenvolvida no Reino Unido pelo Office of Government Commerce/UK, com a participação de várias organizações governamentais e industriais a ITIL foi adotada por um grande número de países como um padrão de gerenciamento de serviços.

Em sua filosofia a ITIL prima por uma estratégia orientada a processos que deve atender a qualquer tipo de organização. Sendo um guia direcionado para a governança de TI, a ITIL conta em seu conjunto bibliográfico com um pequeno segmento referente a boas práticas em segurança da informação.

Norma NBR ISO/IEC Série 27000

A série ISO/IEC 27000 foi criada para que pudesse reunir de forma ordenada às diversas normas de segurança da informação, esta série é composta por normas de segurança da informação publicadas através da parceria entre a International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC).

Esta série fornece recomendações de melhores práticas em segurança da informação, gestão de riscos e controle dentro de um Information Security Management System (ISMS) ou Sistema de Gerenciamento de Segurança da Informação de maneira análoga aos projetos de sistemas de gestão para a garantia da qualidade (série ISO 9000) e de proteção ambiental (série ISO 14000).

Essa série não cobre apenas questões técnicas de segurança dentro do setor de tecnologia da informação, sendo propositalmente abrangente que possa ser aplicável em qualquer organização, não importando seu tamanho ou segmento.

A norma incentiva o hábito de avaliar riscos em segurança da informação e executar controles de acordo com a necessidade da empresa [ISO/IEC 2009].

Por ser um segmento de natureza dinâmica, a segurança da informação precisa incorporar ciclos de melhoria continua em seu Sistema de Gestão de Segurança da Informação (ISMS), procurando a adequação às ameaças e vulnerabilidades atuais e buscando constante atualização dos riscos. Para isso o ciclo PDCA (visto anteriormente nesse artigo) é incorporado ao cerne desta série de normas.

A série ISO/IEC 27000 conta atualmente com um conjunto de onze normas publicadas e disponibilizadas pela ISO, podendo ser adquiridas pelo próprio website da ISO ou por parceiros, como organismos nacionais de normatização. Um grande número de normas dessa série encontra-se ainda em desenvolvimento.

Apesar de sua extensa fase de desenvolvimento, a série ISO/IEC 27000 possui uma gama considerável de normas concluídas, dentre essas normas, a ISO/IEC 27002 detém a atenção dos profissionais encarregados de prover a segurança da informação, sendo publicada inicialmente como ISO/IEC 17799 esta deriva da norma britânica conhecida como BS 7799 – Parte 1 e tem como objetivo oferecer auxílio na gestão de segurança da informação.

Considerado como mais completo padrão para gerência da segurança da informação, a norma BS 7799 concebida pelo Britsh Standard Institute (BSi) torna possível o desenvolvimento e implantação de um sistema de gestão de segurança com base em normas e práticas internacionais.

A BS 7799 tornou-se uma norma oficial da ISO em dezembro do ano 2000 sob o código ISO/IEC 17799, posteriormente foi adotada pelo Brasil por meio da ABNT trazendo uma tradução literal sob o código NBR ISO/IEC 17799.

Posteriormente uma nova versão da Parte 1 da norma ISO/IEC 17799 foi publicada em meados de 2005, tornando-se a ISO/IEC 27002. Esta norma é de muita valia para organizações que almejam a implantação de um processo de segurança da informação efetivo, porém a de se ressaltar que a norma é apenas guia, apenas a vontade e dedicação da empresa poderão determinar o sucesso em se implementar tais mecanismos.

Governança de Segurança da Informação

A governança é um termo usado para expressar autoridade e controle, logo governança corporativa é o sistema pelo qual as corporações são comandadas por seus proprietários ou acionistas, fortemente associados à tomada de decisões.

Segundo Ferreira, [Ferreira 2008] o termo governança de TI que tem sido fortemente utilizado nas áreas de tecnologia da informação ao decorrer dos últimos anos, tem seu inicio na governança corporativa, originalmente concebida como forma de evitar ações administrativas fraudulentas ou irresponsáveis. Para que o conceito de governança corporativa fosse implantado fazia-se necessária a aplicação de seus novos conceitos em varias áreas da organização, dessa forma a governança de tecnologia da informação assim como a governança da segurança da informação são exemplos dessa adaptação.

Por ser um conceito relativamente novo, que começou a ser difundido a partir do ano 2000, se faz necessária uma equalização no entendimento desta nova forma de pensar e agir dentro de uma organização. Pode-se definir a governança como “a gestão da gestão”, apesar de simples essa frase sintetiza a profundidade do tema abordado, que busca formas de se garantir que a gestão exista com efetividade ao longo do tempo.

Conforme mencionado anteriormente, governança nada mais é que “a gestão da gestão” e dentro desse conceito a segurança da informação é uma disciplina que afeta toda a organização. Os requisitos de negócio e suas prioridades são dependentes da gestão da informação, da tecnologia da informação e da segurança.

Em sua definição, a governança de segurança da informação advém do conjunto de práticas que visa garantir que o tema “segurança da informação” seja adequadamente tratado e que esteja em consonância com os requisitos especificados pelas partes envolvidas no processo.

Antes de se cogitar a governança da segurança da informação é preciso definir uma gerência de segurança, então alguns requisitos para essa gerência devem ser evidenciados, como a nomeação de um responsável pelo processo de segurança e a disponibilidade de recursos financeiros e operacionais para este fim [Fontes 2008]. O colaborador responsável pelo processo deve conhecer a fundo e de maneira prática a gestão de segurança da informação, preferencialmente tendo experiência no assunto, torna-se inviável gerir a gestão de algo que não se conhece.

A autonomia na definição dos requisitos e das regras para a governança são indispensáveis, de modo que a governança da segurança da informação não sofra nenhum tipo de limitação ou sansão, esta deve ter o amparo da governança corporativa.

Um dos erros mais comuns ao se desenvolver um processo de segurança da informação é executá-lo em apenas duas etapas, planejamento e execução. Desta maneira uma vez que se estabeleça o processo de segurança não há espaço para avaliações e melhorias, com o tempo esse processo acabará se tornando desatualizado e consequentemente falho.

Para tal implementação é necessário um ciclo de desenvolvimento baseado em melhoria continua, como exemplo deste requisito o ciclo PDCA (Plan – Do – Check – Act) pode ser aplicado para atingir os resultados esperados. Este ciclo é de fundamental importância para a existência da governança, pois é capaz de possibilitar a continuidade das ações de gestão em segurança da informação.

Originalmente utilizado em sistemas de gestão da qualidade, o ciclo PDCA consiste em um modelo de melhoria contínua que pode ser utilizado em qualquer empresa de forma a garantir independente de sua área o sucesso do negócio.

Um dos temas abordados nesse documento, a ISO 27001, utiliza o ciclo PDCA para propor uma metodologia de criação e melhoria de seus novos processos.

Deve-se expor de maneira clara e objetiva que o processo de segurança da informação não existe para si mesmo, assim como a governança também não, todos os esforços devem ser feitos com o intuito de possibilitar que o negócio seja realizado dentro dos prazos definidos. A segurança deve ser encarada como um elemento estratégico do negócio que poderá futuramente alavancar ou limitar os projetos. Somente a necessidade organizacional deve motivar a existência da governança.

Toda via para que se obtenha uma avaliação continua das politicas e procedimentos em segurança da informação a organização deve garantir continuidade às boas práticas de gestão adotadas, buscando verdadeiramente entender a importância do conceito de governança, não se atendo a estéticas corporativas ou modismos.