4.3 Metodologia proposta
4.3.1 An´alise do Sistema de Informa¸c˜ao Organizacional
A primeira ac¸c˜ao a ser tomada para o desenvolvimento do projecto de gest˜ao de risco ser´a o estudo e an´alise do sistema onde este projecto vai ser implementado. Neste ˆambito, os aspectos que ter˜ao que ser levados em conta na an´alise s˜ao:
1. Descri¸c˜ao geral da rede da organiza¸c˜ao
Nesta subtarefa ter˜ao que ser recolhidos e analisados dados sobre a rede inform´atica da organiza¸c˜ao, tal como a sua descri¸c˜ao, topologia, localiza¸c˜ao geogr´afica, existˆencia ou n˜ao de sub-redes, esquema geral da rede, equipamento activo que a comp˜oem (switchs, routers, servidores, m´aquinas f´ısicas, m´aquinas virtuais), entre outros aspectos relevantes.
Esta an´alise possibilita, eventualmente, que os respons´aveis pela seguran¸ca possam detectar pontos sens´ıveis da rede, suscept´ıveis a incidentes graves, a n´ıvel de seguran¸ca. Desta forma, ´e mais f´acil determinar os pontos estrat´egicos onde ser´a monitorizado o n´ıvel de risco de toda a rede.
2. Identifica¸c˜ao do software utilizado
Depois da an´alise aos aspectos f´ısicos da rede (hardware), ´e tamb´em necess´ario analisar o tipo de software instalado, de modo a identificar, `a partida, alguns tipos de amea¸cas. Uma rede composta, a n´ıvel de software, por plataformas Windows, ´e mais suscept´ıvel a ataques e exige um maior rigor a n´ıvel de seguran¸ca, do que uma rede composta por plataformas baseadas em UNIX. 3. Identifica¸c˜ao dos servi¸cos disponibilizados
Para al´em da an´alise ao hardware e software da rede, ´e tamb´em importante detalhar os servi¸cos disponibilizados pelo sistema inform´atico. Esta tarefa auxilia a detec¸c˜ao de pontos cr´ıticos como os servi¸cos remotos que exigem bastante mais aten¸c˜ao a n´ıvel de seguran¸ca do que os servi¸cos locais, de uso interno da organiza¸c˜ao.
4. Identifica¸c˜ao de m´aquinas cr´ıticas
Cruzando toda a informa¸c˜ao dos pontos anteriores ´e poss´ıvel identificar as m´aquinas cr´ıticas da rede, ou seja, os activos mais vulner´aveis a ataques inform´aticos e que exigem uma monitoriza¸c˜ao mais rigorosa. Uma m´aquina cr´ıtica poder´a ser, por exemplo, uma m´aquina situada num ponto vulner´avel da topologia da rede, com plataforma Windows e que executa servi¸cos remotos. 5. Identifica¸c˜ao de Processos Cr´ıticos
Para terminar a an´alise ao SI, resta identificar os processos cr´ıticos da rede, ou seja, processos, servi¸cos, ac¸c˜oes de neg´ocio ou gest˜ao imposs´ıveis de realizar se a rede se encontrar indispon´ıvel. A quantidade de servi¸cos cr´ıticos, dar´a aos respons´aveis pela seguran¸ca da rede uma estimativa do n´ıvel de dependˆencia da organiza¸c˜ao em rela¸c˜ao `as suas infraestruturas inform´aticas. Uma organiza¸c˜ao totalmente dependente da sua rede inform´atica para promover a sua actividade de neg´ocio ter´a que implementar medidas de seguran¸ca muito mais rigorosas do que uma organiza¸c˜ao que apenas dependa da sua rede para realizar actividades rotineiras e de pouca importˆancia.
4.3.2
Elementos de Informa¸c˜ao
Ap´os a analise do SI da organiza¸c˜ao ´e tamb´em vital analisar aquilo para o qual os sistemas de seguran¸ca foram concebidos e tˆem responsabilidade de proteger, isto ´e, os elementos de informa¸c˜ao.
1. Identifica¸c˜ao dos elementos da informa¸c˜ao
Nesta primeira fase ter˜ao que ser identificados todos os elementos de informa¸c˜ao alocados e transaccionados atrav´es da rede da organiza¸c˜ao. Esta identifica¸c˜ao ter´a que ir desde a informa¸c˜ao mais b´asica at´e `a informa¸c˜ao mais cr´ıtica e confidencial. Quantos mais elementos de informa¸c˜ao forem identificados, mais rigorosa ser´a a an´alise do risco.
2. Agrega¸c˜ao dos elementos da informa¸c˜ao em grupos homog´eneos A tarefa de identifica¸c˜ao dos elementos de informa¸c˜ao da rede pode ser bastante demorada, devido ao frequente elevado n´umero de items a analisar. Para contornar esta adversidade ´e conveniente procurar agrupar toda a informa¸c˜ao em conjuntos homog´eneos, de modo a reduzir a complexidade do processo.
4.3.3
Estimativa do Valor da informa¸c˜ao
O n´ıvel de risco a que uma determinada rede inform´atica est´a sujeita, calcula-se a partir de equa¸c˜ao:
R= P ∗ L
, onde P ´e a probabilidade de ocorrˆencia das amea¸cas, e L as perdas por ocorrˆencia dessas amea¸cas, tendo em conta o valor da informa¸c˜ao.
No entanto, ainda n˜ao existem dados que nos indiquem o valor de cada conjunto de informa¸c˜ao identificado na etapa anterior. Logo, esta etapa tem o objectivo de estimar o valor de cada um desses conjuntos.
Mas como poder´a ser calculado esse valor?
A maior das dificuldades que esta etapa apresenta ´e a ausˆencia, na literatura, de qualquer referencial que permita estimar o valor de cada grupo de informa¸c˜ao. Se a informa¸c˜ao em causa estivesse ligada a uma ´area de natureza econ´omica, uma das solu¸c˜oes poss´ıveis seria usar o valor monet´ario que, naturalmente, lhes estava associado. N˜ao sendo poss´ıvel esta associa¸c˜ao no tipo de informa¸c˜ao com que se est´a a trabalhar, poder-se-´ıa pensar em usar as coimas definidas pela lei portuguesa para os casos de se verificar uma quebra de seguran¸ca, afim de estimar o valor da informa¸c˜ao. Todavia, na legisla¸c˜ao portuguesa as coimas e as penas previstas s˜ao gen´ericas, ou seja, n˜ao existe uma diferencia¸c˜ao segundo o tipo de documento ou informa¸c˜ao que foi alvo da quebra de seguran¸ca.
Nesta ausˆencia de referˆencias, prop˜oe-se que a estimativa do valor de cada grupo gen´erico de informa¸c˜ao seja efectuada com base no valor do impacto negativo da ocorrˆencia de uma quebra de seguran¸ca que afecte cada grupo.
Atendendo `a defini¸c˜ao assumida para a seguran¸ca da informa¸c˜ao e com vista a uma melhor clarifica¸c˜ao do efeito de uma eventual quebra de seguran¸ca, a estimativa do valor ser´a efectuada em fun¸c˜ao das dimens˜oes confidencialidade, integridade, disponibilidade e autoria/responsabilidade. ´E de referir que esta an´alise por dimens˜ao deriva do modelo ISO/IEC 13335.
Como poderemos estimar o valor do impacto negativo, segundo cada dimens˜ao?
Uma das solu¸c˜oes que se pode adaptar neste contexto, ´e a utiliza¸c˜ao de uma t´ecnica de consenso suportada por m´etodos estat´ısticos.
De acordo com a literatura, existem v´arios m´etodos de consenso, como o m´etodo de Delphi, o m´etodo do grupo nominal e o m´etodo da conferˆencia de consenso. Os m´etodos mais utilizados na ´area das TI s˜ao os dois primeiros, pelo que ser˜ao descritos de seguida, com o prop´osito de discutir qual deles se adapta melhor ao problema em quest˜ao.
M´etodo do grupo nominal
Segundo Santos (2007), o m´etodo do grupo nominal consiste na realiza¸c˜ao de duas reuni˜oes de forma a obter o consenso sobre um determinado assunto. Para isso, na primeira etapa do m´etodo define-se o problema, seguindo-se a selec¸c˜ao do conjunto de peritos, que varia tipicamente entre 9 e 12 elementos, que ir˜ao propor uma solu¸c˜ao. A etapa seguinte consiste na realiza¸c˜ao da primeira reuni˜ao. Nesta reuni˜ao todos os peritos devem estar presentes e expor as suas ideias sobre o assunto em an´alise. Depois de discutidas todas as ideias que foram dadas para cada quest˜ao colocada, procede-se a uma vota¸c˜ao individual e secreta, com base numa escala predefinida, de forma a pontuar cada uma das ideias em fun¸c˜ao da sua relevˆancia.
Ap´os a vota¸c˜ao ´e realizada a an´alise estat´ıstica e determinada a posi¸c˜ao relativa de cada uma das ideias. A primeira reuni˜ao termina com a apresenta¸c˜ao dos resultados. Na segunda reuni˜ao, onde se exige igualmente a presen¸ca dos peritos, ´e efectuada a discuss˜ao da ordena¸c˜ao obtida na primeira reuni˜ao e procede-se a uma nova vota¸c˜ao de forma a obter a ordena¸c˜ao final.
M´etodo de Delphi
O m´etodo de Delphi, ou o painel de Delphi, como ´e designado em alguma literatura, ´e um processo estruturado, que visa a obten¸c˜ao de um consenso sobre um determinado assunto, com base na opini˜ao de um grupo de peritos.
O nome do m´etodo ´e baseado na mitologia grega e no or´aculo de Delphi onde os feiticeiros previam o futuro utilizando vapores alucinog´enicos e entranhas de animais. Segundo o estudo de Santos(2007), o m´etodo de Delphi foi criado na d´ecada de 50, destinando-se ao uso militar, tendo sido permitido o uso civil na d´ecada de 60. Desde a´ı tem sido aplicado em ´areas como a educa¸c˜ao, a sa´ude, engenharia, ciˆencias sociais, turismo e gest˜ao (van Zolingen and Klaassen, 2003;Angus et al., 2003). Do ponto de vista conceptual, o m´etodo de Delphi consiste na elabora¸c˜ao e aplica¸c˜ao de uma sequˆencia de question´arios a peritos. Cada aplica¸c˜ao do question´ario recebe o nome de ronda. Entre cada ronda, o grupo de peritos, especialmente constitu´ıdo para o efeito, tem ao seu dispor a avalia¸c˜ao estat´ıstica dos dados da ronda anterior.
Ser˜ao realizadas tantas rondas quantas as necess´arias para obter um determinado grau de consenso (Andres, 2000; Jones and Hunter, 1995;Graham et al., 2003). No seu formato original, o processo come¸ca com um question´ario aberto (1a ronda),
com o objectivo de descobrir quais os itens relacionados com o estudo em causa. Estes itens, depois de analisados e tratados pelo investigador, ir˜ao fazer parte do segundo question´ario (2a ronda) (Keeney et al.,2001; Santos, 2004).
Na segunda ronda e seguintes, o painel de peritos ´e convidado a dar a sua opini˜ao sobre a pertinˆencia de cada item e a sua importˆancia relativa para a quest˜ao em causa, podendo cada elemento do painel mudar de opini˜ao, tendo em conta a an´alise estat´ıstica das respostas dadas pelo grupo de peritos na ronda anterior.
Por´em, com o intuito de diminuir o n´umero de rondas do processo de Delphi existem algumas varia¸c˜oes do m´etodo original. De uma forma gen´erica todas estas vers˜oes tendem a restringir o grau de liberdade de respostas, com o objectivo do m´etodo convergir mais rapidamente (Alahlafi and Burge, 2005; Stewart et al.,1999).
An´alise comparativa
Uma das diferen¸cas entre o m´etodo do grupo nominal e o m´etodo de Delphi ´e que, no primeiro s˜ao realizadas reuni˜oes com a presen¸ca obrigat´oria dos diversos peritos, enquanto que, no segundo n˜ao existem momentos de reuni˜ao dos elementos que pertencem ao painel. Esta diferen¸ca ´e importante, especialmente quando os elementos do painel s˜ao em n´umero elevado ou quando s˜ao de servi¸cos ou organismos diferentes, o que dificulta a determina¸c˜ao de uma data para a realiza¸c˜ao das reuni˜oes. Por outro lado, o m´etodo de Delphi tem a vantagem de eliminar a influˆencia que um ou mais peritos possam ter nas respostas dos restantes. Esta influˆencia pode advir do estatuto hier´arquico, do estatuto social e/ou da facilidade de argumenta¸c˜ao que alguns peritos possam apresentar. Outra vantagem que o m´etodo de Delphi apresenta, ´e o anonimato total das respostas.
Face `as vantagens apresentadas, dever´a utilizar-se o m´etodo de Delphi para estimar o valor do impacto negativo de uma quebra de seguran¸ca em cada grupo de informa¸c˜ao.
4.3.4
Aplica¸c˜ao do m´etodo de Delphi
Uma vez escolhido o m´etodo de Delphi, ´e necess´ario definir que crit´erios servem para a selec¸c˜ao dos elementos do painel de peritos, qual o formato dos question´arios e qual o crit´erio de consenso a utilizar.
Constitui¸c˜ao do Painel de peritos
Segundo Goodman (2000), o perito deve ser algu´em imparcial e a informa¸c˜ao que ele fornece deve ser o reflexo do seu conhecimento, da sua forma¸c˜ao, experiˆencia profissional, ou da sua percep¸c˜ao actual sobre um determinado assunto.
O painel deve ser heterog´eneo e multi-disciplinar de forma a que nele, estejam reflectidas as diversas sensibilidades sobre o assunto em apre¸co (Keeney et al.,2001). Quanto ao n´umero de peritos, a literatura n˜ao ´e consensual. Existem aplica¸c˜oes que usam apenas 10 elementos e outras que atingem os 400 peritos.
Desta forma, a forma¸c˜ao do painel de peritos de respeitar os seguintes crit´erios:
• Ser preferencialmente constitu´ıdo por elementos seniores que ocupem cargos de chefia ou equivalentes;
• Ser preferencialmente constitu´ıdo por elementos ligados `a ´area das TI, que representem a opini˜ao dos colaboradores da organiza¸c˜ao (engenheiros, t´ecnicos de TI, administradores de sistemas, entre outros);
• Todos os elementos devem trabalhar na unidade onde ´e realizada a an´alise; • Incluir elementos directamente relacionados com a gest˜ao dos servi¸cos a que
pertence a informa¸c˜ao em an´alise (administra¸c˜ao, gest˜ao de recursos humanos, contabilidade, gest˜ao do SI, entre outros);
• Incluir, sempre que poss´ıvel, o respons´avel pela seguran¸ca, gest˜ao e manuten¸c˜ao da rede inform´atica da organiza¸c˜ao.
Elabora¸c˜ao dos question´arios
O question´ario da primeira ronda ser´a composto por um conjunto de perguntas indexadas aos grupos gen´ericos de informa¸c˜ao identificados, tendo sempre em conta as v´arias dimens˜oes de seguran¸ca, de acordo com o seguinte formato:
• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO
sofre uma quebra de seguran¸ca segundo a dimens˜ao confidencialidade?” • “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO
sofre uma quebra de seguran¸ca segundo a dimens˜ao integridade?”
• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO
sofre uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade?”
• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO
sofre uma quebra de seguran¸ca segundo a dimens˜ao autoria/responsabilidade”
Definiu-se que a resposta a cada pergunta seria dada com base numa escala bipolar (escala de Likert 1), crescente, de 7 pontos, de acordo com o que ´e a pr´atica comum
em estudos similares. Na escala usada o n´umero 1 corresponde ao impacto mais baixo enquanto que o 7 corresponder´a ao impacto mais elevado.
Para al´em das perguntas anteriores, o question´ario dever´a conter:
• Uma breve introdu¸c˜ao sobre a problem´atica da seguran¸ca da informa¸c˜ao; • Um enquadramento dos objectivos do question´ario;
• Um conjunto de defini¸c˜oes relacionados com a problem´atica da seguran¸ca da informa¸c˜ao, usadas ao longo do question´ario;
• Uma descri¸c˜ao dos grupos gen´ericos de informa¸c˜ao em avalia¸c˜ao; • As instru¸c˜oes do preenchimento do question´ario.
1
O question´ario da segunda ronda e das rondas seguintes, ser´a igual ao primeiro, com a diferen¸ca de se acrescentar a cada pergunta a seguinte informa¸c˜ao:
• M´edia e desvio padr˜ao das respostas da ronda anterior; • Distribui¸c˜ao de frequˆencias das respostas da ronda anterior;
• A resposta dada pelo perito a que se destina o question´ario, na ronda anterior.
Crit´erio de Consenso
Para determinar o n´ıvel de consenso das respostas ´e proposto que se utilize o coeficiente alpha de Croanbach. Este coeficiente mede a consistˆencia interna das respostas a um question´ario, a partir da qual se pode inferir o grau de consenso (Graham et al., 2003). O valor do coeficiente a partir do qual se considera que existe consenso, est´a , para a maioria dos estudos, compreendido entre 0,7 e 0,8, segundo a rela¸c˜ao da tabela 4.1:
Tabela 4.1 – Alpha de Cronbach e o grau de Consenso
Alpha de Cronbach Consenso α ≥0, 9 Excelente 0, 8 ≤ α < 0, 9 Bom 0, 7 ≤ α < 0, 8 Razo´avel 0, 6 ≤ α < 0, 7 Fraco
α <0, 6 Inaceit´avel
Ap´os a conclus˜ao de cada ronda de question´arios ´e calculado o coeficiente alpha de Cronbach para cada dimens˜ao de seguran¸ca. Se o seu valor para uma certa dimens˜ao indicar um consenso razo´avel ou superior ent˜ao, na ronda seguinte, o estudo dessa dimens˜ao ser´a exclu´ıdo, elaborando-se o question´ario apenas para as dimens˜oes em que ainda n˜ao se tenha atingido consenso. Quando todas as dimens˜oes evidenciarem um n´ıvel de consenso razo´avel ou superior considera-se conclu´ıdo o estudo.
O Valor da Informa¸c˜ao
O valor de cada grupo gen´erico de informa¸c˜ao, segundo uma determinada dimens˜ao, corresponde ao valor m´edio das respostas obtidas na ´ultima ronda, referentes a cada grupo e `a dimens˜ao em causa. Assim para cada dimens˜ao, ´e poss´ıvel construir uma matriz (Matriz 4.1, Matriz 4.2, Matriz 4.3 e Matriz 4.4) onde cada posi¸c˜ao representa o valor de um determinado grupo de informa¸c˜ao.
Nas matrizes utilizam-se a seguinte nomenclatura:
• Vconf.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre
uma quebra de seguran¸ca segundo a dimens˜ao confidencialidade;
• Vint.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre uma
quebra de seguran¸ca segundo a dimens˜ao integridade;
• Vdisp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre
uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade;
• Vresp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre
uma quebra de seguran¸ca segundo a dimens˜ao autenticidade/responsabilidade;
V alor
conf.=
V
conf.Grupo1V
conf.Grupo2V
conf.Grupo3.
.
V
conf.Grupoi
(4.1)
V alor
int.=
V
int.Grupo1V
int.Grupo2V
int.Grupo3...
V
int.Grupoi
(4.2)
4.2. Valor dos grupos gen´ericos de informa¸c˜ao em fun¸c˜ao da integridade
V alor
disp.=
V
disp.Grupo1V
disp.Grupo2V
disp.Grupo3...
V
disp.Grupoi
(4.3)
4.3. Valor dos grupos gen´ericos de informa¸c˜ao em fun¸c˜ao da disponibilidade
V alor
resp.=
V
resp.Grupo1V
resp.Grupo2V
resp.Grupo3...
V
resp.Grupoi
(4.4)
Ap´os estabelecidas as quatro matrizes referentes `as quatro dimens˜oes da informa¸c˜ao, cada grupo gen´erico de informa¸c˜ao ter´a que ser classificado, de acordo com a m´edia dos valores obtidos nas quatro dimens˜oes (Vmedioi):
V
medioi=
V
conf.Grupoi+ V
int.Grupoi+ V
disp.Grupoi+ V
resp.Grupoi4
A tabela4.2mostra a correspondˆencia entre o valor m´edio obtido no c´alculo subjectivo do valor da informa¸c˜ao com a classifica¸c˜ao da mesma quanto ao seu grau de criticidade.
Tabela 4.2 – Classifica¸c˜ao da informa¸c˜ao segundo a criticidade
Valor M´edio Classifica¸c˜ao da Informa¸c˜ao Vmedio≥6 Cr´ıtica
5 ≤ Vmedio <6 Sens´ıvel
3 ≤ Vmedio <5 Restrita