An´alise do Sistema de Informa¸c˜ao Organizacional

4.3 Metodologia proposta

4.3.1 An´alise do Sistema de Informa¸c˜ao Organizacional

A primeira açcão a ser tomada para o desenvolvimento do projecto de gestão de risco será o estudo e análise do sistema onde este projecto vai ser implementado. Neste âmbito, os aspectos que terão que ser levados em conta na análise são:

1. Descri¸c˜ao geral da rede da organiza¸c˜ao

Nesta subtarefa terão que ser recolhidos e analisados dados sobre a rede informática da organiza¸cão, tal como a sua descri¸cão, topologia, localiza¸cão geográfica, existência ou não de sub-redes, esquema geral da rede, equipamento activo que a compõem (switchs, routers, servidores, máquinas f´ısicas, máquinas virtuais), entre outros aspectos relevantes.

Esta análise possibilita, eventualmente, que os responsáveis pela seguran¸ca possam detectar pontos sens´ıveis da rede, suscept´ıveis a incidentes graves, a n´ıvel de seguran¸ca. Desta forma, é mais fácil determinar os pontos estratégicos onde será monitorizado o n´ıvel de risco de toda a rede.

2. Identifica¸c˜ao do software utilizado

Depois da análise aos aspectos f´ısicos da rede (hardware), é também necessário analisar o tipo de software instalado, de modo a identificar, à partida, alguns tipos de amea¸cas. Uma rede composta, a n´ıvel de software, por plataformas Windows, é mais suscept´ıvel a ataques e exige um maior rigor a n´ıvel de seguran¸ca, do que uma rede composta por plataformas baseadas em UNIX. 3. Identifica¸cão dos servi¸cos disponibilizados

Para além da análise ao hardware e software da rede, é também importante detalhar os servi¸cos disponibilizados pelo sistema informático. Esta tarefa auxilia a deteçcão de pontos cr´ıticos como os servi¸cos remotos que exigem bastante mais aten¸cão a n´ıvel de seguran¸ca do que os servi¸cos locais, de uso interno da organiza¸cão.

4. Identifica¸c˜ao de m´aquinas cr´ıticas

Cruzando toda a informa¸cão dos pontos anteriores é poss´ıvel identificar as máquinas cr´ıticas da rede, ou seja, os activos mais vulneráveis a ataques informáticos e que exigem uma monitoriza¸cão mais rigorosa. Uma máquina cr´ıtica poderá ser, por exemplo, uma máquina situada num ponto vulnerável da topologia da rede, com plataforma Windows e que executa servi¸cos remotos. 5. Identifica¸cão de Processos Cr´ıticos

Para terminar a análise ao SI, resta identificar os processos cr´ıticos da rede, ou seja, processos, servi¸cos, açcões de negócio ou gestão imposs´ıveis de realizar se a rede se encontrar indispon´ıvel. A quantidade de servi¸cos cr´ıticos, dará aos responsáveis pela seguran¸ca da rede uma estimativa do n´ıvel de dependência da organiza¸cão em rela¸cão às suas infraestruturas informáticas. Uma organiza¸cão totalmente dependente da sua rede informática para promover a sua actividade de negócio terá que implementar medidas de seguran¸ca muito mais rigorosas do que uma organiza¸cão que apenas dependa da sua rede para realizar actividades rotineiras e de pouca importância.

4.3.2 Elementos de Informa¸c˜ao

Após a analise do SI da organiza¸cão é também vital analisar aquilo para o qual os sistemas de seguran¸ca foram concebidos e têm responsabilidade de proteger, isto é, os elementos de informa¸cão.

1. Identifica¸c˜ao dos elementos da informa¸c˜ao

Nesta primeira fase terão que ser identificados todos os elementos de informa¸cão alocados e transaccionados através da rede da organiza¸cão. Esta identifica¸cão terá que ir desde a informa¸cão mais básica até à informa¸cão mais cr´ıtica e confidencial. Quantos mais elementos de informa¸cão forem identificados, mais rigorosa será a análise do risco.

2. Agrega¸cão dos elementos da informa¸cão em grupos homogéneos A tarefa de identifica¸cão dos elementos de informa¸cão da rede pode ser bastante demorada, devido ao frequente elevado número de items a analisar. Para contornar esta adversidade é conveniente procurar agrupar toda a informa¸cão em conjuntos homogéneos, de modo a reduzir a complexidade do processo.

4.3.3 Estimativa do Valor da informa¸c˜ao

O n´ıvel de risco a que uma determinada rede informática está sujeita, calcula-se a partir de equa¸cão:

R= P ∗ L

, onde P é a probabilidade de ocorrência das amea¸cas, e L as perdas por ocorrência dessas amea¸cas, tendo em conta o valor da informa¸cão.

No entanto, ainda n˜ao existem dados que nos indiquem o valor de cada conjunto de informa¸c˜ao identificado na etapa anterior. Logo, esta etapa tem o objectivo de estimar o valor de cada um desses conjuntos.

Mas como poder´a ser calculado esse valor?

A maior das dificuldades que esta etapa apresenta é a ausência, na literatura, de qualquer referencial que permita estimar o valor de cada grupo de informa¸cão. Se a informa¸cão em causa estivesse ligada a uma área de natureza económica, uma das solu¸cões poss´ıveis seria usar o valor monetário que, naturalmente, lhes estava associado. Não sendo poss´ıvel esta associa¸cão no tipo de informa¸cão com que se está a trabalhar, poder-se-´ıa pensar em usar as coimas definidas pela lei portuguesa para os casos de se verificar uma quebra de seguran¸ca, afim de estimar o valor da informa¸cão. Todavia, na legisla¸cão portuguesa as coimas e as penas previstas são genéricas, ou seja, não existe uma diferencia¸cão segundo o tipo de documento ou informa¸cão que foi alvo da quebra de seguran¸ca.

Nesta ausência de referências, propõe-se que a estimativa do valor de cada grupo genérico de informa¸cão seja efectuada com base no valor do impacto negativo da ocorrência de uma quebra de seguran¸ca que afecte cada grupo.

Atendendo à defini¸cão assumida para a seguran¸ca da informa¸cão e com vista a uma melhor clarifica¸cão do efeito de uma eventual quebra de seguran¸ca, a estimativa do valor será efectuada em fun¸cão das dimensões confidencialidade, integridade, disponibilidade e autoria/responsabilidade. É de referir que esta análise por dimensão deriva do modelo ISO/IEC 13335.

Como poderemos estimar o valor do impacto negativo, segundo cada dimens˜ao?

Uma das solu¸cões que se pode adaptar neste contexto, é a utiliza¸cão de uma técnica de consenso suportada por métodos estat´ısticos.

De acordo com a literatura, existem vários métodos de consenso, como o método de Delphi, o método do grupo nominal e o método da conferência de consenso. Os métodos mais utilizados na área das TI são os dois primeiros, pelo que serão descritos de seguida, com o propósito de discutir qual deles se adapta melhor ao problema em questão.

M´etodo do grupo nominal

Segundo Santos (2007), o método do grupo nominal consiste na realiza¸cão de duas reuniões de forma a obter o consenso sobre um determinado assunto. Para isso, na primeira etapa do método define-se o problema, seguindo-se a seleçcão do conjunto de peritos, que varia tipicamente entre 9 e 12 elementos, que irão propor uma solu¸cão. A etapa seguinte consiste na realiza¸cão da primeira reunião. Nesta reunião todos os peritos devem estar presentes e expor as suas ideias sobre o assunto em análise. Depois de discutidas todas as ideias que foram dadas para cada questão colocada, procede-se a uma vota¸cão individual e secreta, com base numa escala predefinida, de forma a pontuar cada uma das ideias em fun¸cão da sua relevância.

Após a vota¸cão é realizada a análise estat´ıstica e determinada a posi¸cão relativa de cada uma das ideias. A primeira reunião termina com a apresenta¸cão dos resultados. Na segunda reunião, onde se exige igualmente a presen¸ca dos peritos, é efectuada a discussão da ordena¸cão obtida na primeira reunião e procede-se a uma nova vota¸cão de forma a obter a ordena¸cão final.

M´etodo de Delphi

O método de Delphi, ou o painel de Delphi, como é designado em alguma literatura, é um processo estruturado, que visa a obten¸cão de um consenso sobre um determinado assunto, com base na opinião de um grupo de peritos.

O nome do método é baseado na mitologia grega e no oráculo de Delphi onde os feiticeiros previam o futuro utilizando vapores alucinogénicos e entranhas de animais. Segundo o estudo de Santos(2007), o método de Delphi foi criado na década de 50, destinando-se ao uso militar, tendo sido permitido o uso civil na década de 60. Desde a´ı tem sido aplicado em áreas como a educa¸cão, a saúde, engenharia, ciências sociais, turismo e gestão (van Zolingen and Klaassen, 2003;Angus et al., 2003). Do ponto de vista conceptual, o método de Delphi consiste na elabora¸cão e aplica¸cão de uma sequência de questionários a peritos. Cada aplica¸cão do questionário recebe o nome de ronda. Entre cada ronda, o grupo de peritos, especialmente constitu´ıdo para o efeito, tem ao seu dispor a avalia¸cão estat´ıstica dos dados da ronda anterior.

Serão realizadas tantas rondas quantas as necessárias para obter um determinado grau de consenso (Andres, 2000; Jones and Hunter, 1995;Graham et al., 2003). No seu formato original, o processo come¸ca com um questionário aberto (1a _ronda),

com o objectivo de descobrir quais os itens relacionados com o estudo em causa. Estes itens, depois de analisados e tratados pelo investigador, ir˜ao fazer parte do segundo question´ario (2a _{ronda) (}_{Keeney et al.}_,₂₀₀₁_; _Santos_, ₂₀₀₄_).

Na segunda ronda e seguintes, o painel de peritos é convidado a dar a sua opinião sobre a pertinência de cada item e a sua importância relativa para a questão em causa, podendo cada elemento do painel mudar de opinião, tendo em conta a análise estat´ıstica das respostas dadas pelo grupo de peritos na ronda anterior.

Porém, com o intuito de diminuir o número de rondas do processo de Delphi existem algumas varia¸cões do método original. De uma forma genérica todas estas versões tendem a restringir o grau de liberdade de respostas, com o objectivo do método convergir mais rapidamente (Alahlafi and Burge, 2005; Stewart et al.,1999).

An´alise comparativa

Uma das diferen¸cas entre o método do grupo nominal e o método de Delphi é que, no primeiro são realizadas reuniões com a presen¸ca obrigatória dos diversos peritos, enquanto que, no segundo não existem momentos de reunião dos elementos que pertencem ao painel. Esta diferen¸ca é importante, especialmente quando os elementos do painel são em número elevado ou quando são de servi¸cos ou organismos diferentes, o que dificulta a determina¸cão de uma data para a realiza¸cão das reuniões. Por outro lado, o método de Delphi tem a vantagem de eliminar a influência que um ou mais peritos possam ter nas respostas dos restantes. Esta influência pode advir do estatuto hierárquico, do estatuto social e/ou da facilidade de argumenta¸cão que alguns peritos possam apresentar. Outra vantagem que o método de Delphi apresenta, é o anonimato total das respostas.

Face às vantagens apresentadas, deverá utilizar-se o método de Delphi para estimar o valor do impacto negativo de uma quebra de seguran¸ca em cada grupo de informa¸cão.

4.3.4 Aplica¸c˜ao do m´etodo de Delphi

Uma vez escolhido o método de Delphi, é necessário definir que critérios servem para a seleçcão dos elementos do painel de peritos, qual o formato dos questionários e qual o critério de consenso a utilizar.

Constitui¸c˜ao do Painel de peritos

Segundo Goodman (2000), o perito deve ser alguém imparcial e a informa¸cão que ele fornece deve ser o reflexo do seu conhecimento, da sua forma¸cão, experiência profissional, ou da sua percep¸cão actual sobre um determinado assunto.

O painel deve ser heterogéneo e multi-disciplinar de forma a que nele, estejam reflectidas as diversas sensibilidades sobre o assunto em apre¸co (Keeney et al.,2001). Quanto ao número de peritos, a literatura não é consensual. Existem aplica¸cões que usam apenas 10 elementos e outras que atingem os 400 peritos.

Desta forma, a forma¸c˜ao do painel de peritos de respeitar os seguintes crit´erios:

• Ser preferencialmente constitu´ıdo por elementos seniores que ocupem cargos de chefia ou equivalentes;

• Ser preferencialmente constitu´ıdo por elementos ligados à área das TI, que representem a opinião dos colaboradores da organiza¸cão (engenheiros, técnicos de TI, administradores de sistemas, entre outros);

• Todos os elementos devem trabalhar na unidade onde é realizada a análise; • Incluir elementos directamente relacionados com a gestão dos servi¸cos a que

pertence a informa¸cão em análise (administra¸cão, gestão de recursos humanos, contabilidade, gestão do SI, entre outros);

• Incluir, sempre que poss´ıvel, o responsável pela seguran¸ca, gestão e manuten¸cão da rede informática da organiza¸cão.

Elabora¸c˜ao dos question´arios

O questionário da primeira ronda será composto por um conjunto de perguntas indexadas aos grupos genéricos de informa¸cão identificados, tendo sempre em conta as várias dimensões de seguran¸ca, de acordo com o seguinte formato:

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimensão confidencialidade?” • “Qual o impacto negativo para a organiza¸cão, quando a informa¸cão XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao integridade?”

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade?”

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao autoria/responsabilidade”

Definiu-se que a resposta a cada pergunta seria dada com base numa escala bipolar (escala de Likert 1_{), crescente, de 7 pontos, de acordo com o que ´e a pr´atica comum}

em estudos similares. Na escala usada o n´umero 1 corresponde ao impacto mais baixo enquanto que o 7 corresponder´a ao impacto mais elevado.

Para além das perguntas anteriores, o questionário deverá conter:

• Uma breve introdu¸cão sobre a problemática da seguran¸ca da informa¸cão; • Um enquadramento dos objectivos do questionário;

• Um conjunto de defini¸cões relacionados com a problemática da seguran¸ca da informa¸cão, usadas ao longo do questionário;

• Uma descri¸cão dos grupos genéricos de informa¸cão em avalia¸cão; • As instru¸cões do preenchimento do questionário.

O questionário da segunda ronda e das rondas seguintes, será igual ao primeiro, com a diferen¸ca de se acrescentar a cada pergunta a seguinte informa¸cão:

• Média e desvio padrão das respostas da ronda anterior; • Distribui¸cão de frequências das respostas da ronda anterior;

• A resposta dada pelo perito a que se destina o question´ario, na ronda anterior.

Crit´erio de Consenso

Para determinar o n´ıvel de consenso das respostas é proposto que se utilize o coeficiente alpha de Croanbach. Este coeficiente mede a consistência interna das respostas a um questionário, a partir da qual se pode inferir o grau de consenso (Graham et al., 2003). O valor do coeficiente a partir do qual se considera que existe consenso, está , para a maioria dos estudos, compreendido entre 0,7 e 0,8, segundo a rela¸cão da tabela 4.1:

Tabela 4.1 – Alpha de Cronbach e o grau de Consenso

Alpha de Cronbach Consenso α ≥0, 9 Excelente 0, 8 ≤ α < 0, 9 Bom 0, 7 ≤ α < 0, 8 Razo´avel 0, 6 ≤ α < 0, 7 Fraco

α <0, 6 Inaceit´avel

Após a conclusão de cada ronda de questionários é calculado o coeficiente alpha de Cronbach para cada dimensão de seguran¸ca. Se o seu valor para uma certa dimensão indicar um consenso razoável ou superior então, na ronda seguinte, o estudo dessa dimensão será exclu´ıdo, elaborando-se o questionário apenas para as dimensões em que ainda não se tenha atingido consenso. Quando todas as dimensões evidenciarem um n´ıvel de consenso razoável ou superior considera-se conclu´ıdo o estudo.

O Valor da Informa¸c˜ao

O valor de cada grupo genérico de informa¸cão, segundo uma determinada dimensão, corresponde ao valor médio das respostas obtidas na última ronda, referentes a cada grupo e à dimensão em causa. Assim para cada dimensão, é poss´ıvel construir uma matriz (Matriz 4.1, Matriz 4.2, Matriz 4.3 e Matriz 4.4) onde cada posi¸cão representa o valor de um determinado grupo de informa¸cão.

Nas matrizes utilizam-se a seguinte nomenclatura:

• Vconf.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao confidencialidade;

• Vint.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre uma

quebra de seguran¸ca segundo a dimens˜ao integridade;

• Vdisp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade;

• Vresp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao autenticidade/responsabilidade;

V alor

conf.

=







V

conf.Grupo1

V

conf.Grupo2

V

conf.Grupo3

.

V

conf.Grupoi







(4.1)

V alor

int.

=







V

int.Grupo1

V

int.Grupo2

V

int.Grupo3

...

V

int.Grupoi







(4.2)

4.2. Valor dos grupos genéricos de informa¸cão em fun¸cão da integridade

V alor

disp.

=







V

disp.Grupo1

V

disp.Grupo2

V

disp.Grupo3

...

V

disp.Grupoi







(4.3)

4.3. Valor dos grupos genéricos de informa¸cão em fun¸cão da disponibilidade

V alor

resp.

=







V

resp.Grupo1

V

resp.Grupo2

V

resp.Grupo3

...

V

resp.Grupoi







(4.4)

Após estabelecidas as quatro matrizes referentes às quatro dimensões da informa¸cão, cada grupo genérico de informa¸cão terá que ser classificado, de acordo com a média dos valores obtidos nas quatro dimensões (Vmedioi):

V

medioi

=

V

conf.Grupoi

+ V

int.Grupoi

+ V

disp.Grupoi

+ V

resp.Grupoi

4

A tabela4.2mostra a correspondência entre o valor médio obtido no cálculo subjectivo do valor da informa¸cão com a classifica¸cão da mesma quanto ao seu grau de criticidade.

Tabela 4.2 – Classifica¸c˜ao da informa¸c˜ao segundo a criticidade

Valor Médio Classifica¸cão da Informa¸cão Vmedio≥6 Cr´ıtica

5 ≤ Vmedio <6 Sens´ıvel

3 ≤ Vmedio <5 Restrita

No documento Segurança Informática de Redes e Sistemas (Abordagem Open-Source) (páginas 128-140)