• Nenhum resultado encontrado

An´alise do Sistema de Informa¸c˜ao Organizacional

4.3 Metodologia proposta

4.3.1 An´alise do Sistema de Informa¸c˜ao Organizacional

A primeira ac¸c˜ao a ser tomada para o desenvolvimento do projecto de gest˜ao de risco ser´a o estudo e an´alise do sistema onde este projecto vai ser implementado. Neste ˆambito, os aspectos que ter˜ao que ser levados em conta na an´alise s˜ao:

1. Descri¸c˜ao geral da rede da organiza¸c˜ao

Nesta subtarefa ter˜ao que ser recolhidos e analisados dados sobre a rede inform´atica da organiza¸c˜ao, tal como a sua descri¸c˜ao, topologia, localiza¸c˜ao geogr´afica, existˆencia ou n˜ao de sub-redes, esquema geral da rede, equipamento activo que a comp˜oem (switchs, routers, servidores, m´aquinas f´ısicas, m´aquinas virtuais), entre outros aspectos relevantes.

Esta an´alise possibilita, eventualmente, que os respons´aveis pela seguran¸ca possam detectar pontos sens´ıveis da rede, suscept´ıveis a incidentes graves, a n´ıvel de seguran¸ca. Desta forma, ´e mais f´acil determinar os pontos estrat´egicos onde ser´a monitorizado o n´ıvel de risco de toda a rede.

2. Identifica¸c˜ao do software utilizado

Depois da an´alise aos aspectos f´ısicos da rede (hardware), ´e tamb´em necess´ario analisar o tipo de software instalado, de modo a identificar, `a partida, alguns tipos de amea¸cas. Uma rede composta, a n´ıvel de software, por plataformas Windows, ´e mais suscept´ıvel a ataques e exige um maior rigor a n´ıvel de seguran¸ca, do que uma rede composta por plataformas baseadas em UNIX. 3. Identifica¸c˜ao dos servi¸cos disponibilizados

Para al´em da an´alise ao hardware e software da rede, ´e tamb´em importante detalhar os servi¸cos disponibilizados pelo sistema inform´atico. Esta tarefa auxilia a detec¸c˜ao de pontos cr´ıticos como os servi¸cos remotos que exigem bastante mais aten¸c˜ao a n´ıvel de seguran¸ca do que os servi¸cos locais, de uso interno da organiza¸c˜ao.

4. Identifica¸c˜ao de m´aquinas cr´ıticas

Cruzando toda a informa¸c˜ao dos pontos anteriores ´e poss´ıvel identificar as m´aquinas cr´ıticas da rede, ou seja, os activos mais vulner´aveis a ataques inform´aticos e que exigem uma monitoriza¸c˜ao mais rigorosa. Uma m´aquina cr´ıtica poder´a ser, por exemplo, uma m´aquina situada num ponto vulner´avel da topologia da rede, com plataforma Windows e que executa servi¸cos remotos. 5. Identifica¸c˜ao de Processos Cr´ıticos

Para terminar a an´alise ao SI, resta identificar os processos cr´ıticos da rede, ou seja, processos, servi¸cos, ac¸c˜oes de neg´ocio ou gest˜ao imposs´ıveis de realizar se a rede se encontrar indispon´ıvel. A quantidade de servi¸cos cr´ıticos, dar´a aos respons´aveis pela seguran¸ca da rede uma estimativa do n´ıvel de dependˆencia da organiza¸c˜ao em rela¸c˜ao `as suas infraestruturas inform´aticas. Uma organiza¸c˜ao totalmente dependente da sua rede inform´atica para promover a sua actividade de neg´ocio ter´a que implementar medidas de seguran¸ca muito mais rigorosas do que uma organiza¸c˜ao que apenas dependa da sua rede para realizar actividades rotineiras e de pouca importˆancia.

4.3.2

Elementos de Informa¸c˜ao

Ap´os a analise do SI da organiza¸c˜ao ´e tamb´em vital analisar aquilo para o qual os sistemas de seguran¸ca foram concebidos e tˆem responsabilidade de proteger, isto ´e, os elementos de informa¸c˜ao.

1. Identifica¸c˜ao dos elementos da informa¸c˜ao

Nesta primeira fase ter˜ao que ser identificados todos os elementos de informa¸c˜ao alocados e transaccionados atrav´es da rede da organiza¸c˜ao. Esta identifica¸c˜ao ter´a que ir desde a informa¸c˜ao mais b´asica at´e `a informa¸c˜ao mais cr´ıtica e confidencial. Quantos mais elementos de informa¸c˜ao forem identificados, mais rigorosa ser´a a an´alise do risco.

2. Agrega¸c˜ao dos elementos da informa¸c˜ao em grupos homog´eneos A tarefa de identifica¸c˜ao dos elementos de informa¸c˜ao da rede pode ser bastante demorada, devido ao frequente elevado n´umero de items a analisar. Para contornar esta adversidade ´e conveniente procurar agrupar toda a informa¸c˜ao em conjuntos homog´eneos, de modo a reduzir a complexidade do processo.

4.3.3

Estimativa do Valor da informa¸c˜ao

O n´ıvel de risco a que uma determinada rede inform´atica est´a sujeita, calcula-se a partir de equa¸c˜ao:

R= P ∗ L

, onde P ´e a probabilidade de ocorrˆencia das amea¸cas, e L as perdas por ocorrˆencia dessas amea¸cas, tendo em conta o valor da informa¸c˜ao.

No entanto, ainda n˜ao existem dados que nos indiquem o valor de cada conjunto de informa¸c˜ao identificado na etapa anterior. Logo, esta etapa tem o objectivo de estimar o valor de cada um desses conjuntos.

Mas como poder´a ser calculado esse valor?

A maior das dificuldades que esta etapa apresenta ´e a ausˆencia, na literatura, de qualquer referencial que permita estimar o valor de cada grupo de informa¸c˜ao. Se a informa¸c˜ao em causa estivesse ligada a uma ´area de natureza econ´omica, uma das solu¸c˜oes poss´ıveis seria usar o valor monet´ario que, naturalmente, lhes estava associado. N˜ao sendo poss´ıvel esta associa¸c˜ao no tipo de informa¸c˜ao com que se est´a a trabalhar, poder-se-´ıa pensar em usar as coimas definidas pela lei portuguesa para os casos de se verificar uma quebra de seguran¸ca, afim de estimar o valor da informa¸c˜ao. Todavia, na legisla¸c˜ao portuguesa as coimas e as penas previstas s˜ao gen´ericas, ou seja, n˜ao existe uma diferencia¸c˜ao segundo o tipo de documento ou informa¸c˜ao que foi alvo da quebra de seguran¸ca.

Nesta ausˆencia de referˆencias, prop˜oe-se que a estimativa do valor de cada grupo gen´erico de informa¸c˜ao seja efectuada com base no valor do impacto negativo da ocorrˆencia de uma quebra de seguran¸ca que afecte cada grupo.

Atendendo `a defini¸c˜ao assumida para a seguran¸ca da informa¸c˜ao e com vista a uma melhor clarifica¸c˜ao do efeito de uma eventual quebra de seguran¸ca, a estimativa do valor ser´a efectuada em fun¸c˜ao das dimens˜oes confidencialidade, integridade, disponibilidade e autoria/responsabilidade. ´E de referir que esta an´alise por dimens˜ao deriva do modelo ISO/IEC 13335.

Como poderemos estimar o valor do impacto negativo, segundo cada dimens˜ao?

Uma das solu¸c˜oes que se pode adaptar neste contexto, ´e a utiliza¸c˜ao de uma t´ecnica de consenso suportada por m´etodos estat´ısticos.

De acordo com a literatura, existem v´arios m´etodos de consenso, como o m´etodo de Delphi, o m´etodo do grupo nominal e o m´etodo da conferˆencia de consenso. Os m´etodos mais utilizados na ´area das TI s˜ao os dois primeiros, pelo que ser˜ao descritos de seguida, com o prop´osito de discutir qual deles se adapta melhor ao problema em quest˜ao.

M´etodo do grupo nominal

Segundo Santos (2007), o m´etodo do grupo nominal consiste na realiza¸c˜ao de duas reuni˜oes de forma a obter o consenso sobre um determinado assunto. Para isso, na primeira etapa do m´etodo define-se o problema, seguindo-se a selec¸c˜ao do conjunto de peritos, que varia tipicamente entre 9 e 12 elementos, que ir˜ao propor uma solu¸c˜ao. A etapa seguinte consiste na realiza¸c˜ao da primeira reuni˜ao. Nesta reuni˜ao todos os peritos devem estar presentes e expor as suas ideias sobre o assunto em an´alise. Depois de discutidas todas as ideias que foram dadas para cada quest˜ao colocada, procede-se a uma vota¸c˜ao individual e secreta, com base numa escala predefinida, de forma a pontuar cada uma das ideias em fun¸c˜ao da sua relevˆancia.

Ap´os a vota¸c˜ao ´e realizada a an´alise estat´ıstica e determinada a posi¸c˜ao relativa de cada uma das ideias. A primeira reuni˜ao termina com a apresenta¸c˜ao dos resultados. Na segunda reuni˜ao, onde se exige igualmente a presen¸ca dos peritos, ´e efectuada a discuss˜ao da ordena¸c˜ao obtida na primeira reuni˜ao e procede-se a uma nova vota¸c˜ao de forma a obter a ordena¸c˜ao final.

M´etodo de Delphi

O m´etodo de Delphi, ou o painel de Delphi, como ´e designado em alguma literatura, ´e um processo estruturado, que visa a obten¸c˜ao de um consenso sobre um determinado assunto, com base na opini˜ao de um grupo de peritos.

O nome do m´etodo ´e baseado na mitologia grega e no or´aculo de Delphi onde os feiticeiros previam o futuro utilizando vapores alucinog´enicos e entranhas de animais. Segundo o estudo de Santos(2007), o m´etodo de Delphi foi criado na d´ecada de 50, destinando-se ao uso militar, tendo sido permitido o uso civil na d´ecada de 60. Desde a´ı tem sido aplicado em ´areas como a educa¸c˜ao, a sa´ude, engenharia, ciˆencias sociais, turismo e gest˜ao (van Zolingen and Klaassen, 2003;Angus et al., 2003). Do ponto de vista conceptual, o m´etodo de Delphi consiste na elabora¸c˜ao e aplica¸c˜ao de uma sequˆencia de question´arios a peritos. Cada aplica¸c˜ao do question´ario recebe o nome de ronda. Entre cada ronda, o grupo de peritos, especialmente constitu´ıdo para o efeito, tem ao seu dispor a avalia¸c˜ao estat´ıstica dos dados da ronda anterior.

Ser˜ao realizadas tantas rondas quantas as necess´arias para obter um determinado grau de consenso (Andres, 2000; Jones and Hunter, 1995;Graham et al., 2003). No seu formato original, o processo come¸ca com um question´ario aberto (1a ronda),

com o objectivo de descobrir quais os itens relacionados com o estudo em causa. Estes itens, depois de analisados e tratados pelo investigador, ir˜ao fazer parte do segundo question´ario (2a ronda) (Keeney et al.,2001; Santos, 2004).

Na segunda ronda e seguintes, o painel de peritos ´e convidado a dar a sua opini˜ao sobre a pertinˆencia de cada item e a sua importˆancia relativa para a quest˜ao em causa, podendo cada elemento do painel mudar de opini˜ao, tendo em conta a an´alise estat´ıstica das respostas dadas pelo grupo de peritos na ronda anterior.

Por´em, com o intuito de diminuir o n´umero de rondas do processo de Delphi existem algumas varia¸c˜oes do m´etodo original. De uma forma gen´erica todas estas vers˜oes tendem a restringir o grau de liberdade de respostas, com o objectivo do m´etodo convergir mais rapidamente (Alahlafi and Burge, 2005; Stewart et al.,1999).

An´alise comparativa

Uma das diferen¸cas entre o m´etodo do grupo nominal e o m´etodo de Delphi ´e que, no primeiro s˜ao realizadas reuni˜oes com a presen¸ca obrigat´oria dos diversos peritos, enquanto que, no segundo n˜ao existem momentos de reuni˜ao dos elementos que pertencem ao painel. Esta diferen¸ca ´e importante, especialmente quando os elementos do painel s˜ao em n´umero elevado ou quando s˜ao de servi¸cos ou organismos diferentes, o que dificulta a determina¸c˜ao de uma data para a realiza¸c˜ao das reuni˜oes. Por outro lado, o m´etodo de Delphi tem a vantagem de eliminar a influˆencia que um ou mais peritos possam ter nas respostas dos restantes. Esta influˆencia pode advir do estatuto hier´arquico, do estatuto social e/ou da facilidade de argumenta¸c˜ao que alguns peritos possam apresentar. Outra vantagem que o m´etodo de Delphi apresenta, ´e o anonimato total das respostas.

Face `as vantagens apresentadas, dever´a utilizar-se o m´etodo de Delphi para estimar o valor do impacto negativo de uma quebra de seguran¸ca em cada grupo de informa¸c˜ao.

4.3.4

Aplica¸c˜ao do m´etodo de Delphi

Uma vez escolhido o m´etodo de Delphi, ´e necess´ario definir que crit´erios servem para a selec¸c˜ao dos elementos do painel de peritos, qual o formato dos question´arios e qual o crit´erio de consenso a utilizar.

Constitui¸c˜ao do Painel de peritos

Segundo Goodman (2000), o perito deve ser algu´em imparcial e a informa¸c˜ao que ele fornece deve ser o reflexo do seu conhecimento, da sua forma¸c˜ao, experiˆencia profissional, ou da sua percep¸c˜ao actual sobre um determinado assunto.

O painel deve ser heterog´eneo e multi-disciplinar de forma a que nele, estejam reflectidas as diversas sensibilidades sobre o assunto em apre¸co (Keeney et al.,2001). Quanto ao n´umero de peritos, a literatura n˜ao ´e consensual. Existem aplica¸c˜oes que usam apenas 10 elementos e outras que atingem os 400 peritos.

Desta forma, a forma¸c˜ao do painel de peritos de respeitar os seguintes crit´erios:

• Ser preferencialmente constitu´ıdo por elementos seniores que ocupem cargos de chefia ou equivalentes;

• Ser preferencialmente constitu´ıdo por elementos ligados `a ´area das TI, que representem a opini˜ao dos colaboradores da organiza¸c˜ao (engenheiros, t´ecnicos de TI, administradores de sistemas, entre outros);

• Todos os elementos devem trabalhar na unidade onde ´e realizada a an´alise; • Incluir elementos directamente relacionados com a gest˜ao dos servi¸cos a que

pertence a informa¸c˜ao em an´alise (administra¸c˜ao, gest˜ao de recursos humanos, contabilidade, gest˜ao do SI, entre outros);

• Incluir, sempre que poss´ıvel, o respons´avel pela seguran¸ca, gest˜ao e manuten¸c˜ao da rede inform´atica da organiza¸c˜ao.

Elabora¸c˜ao dos question´arios

O question´ario da primeira ronda ser´a composto por um conjunto de perguntas indexadas aos grupos gen´ericos de informa¸c˜ao identificados, tendo sempre em conta as v´arias dimens˜oes de seguran¸ca, de acordo com o seguinte formato:

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao confidencialidade?” • “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao integridade?”

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade?”

• “Qual o impacto negativo para a organiza¸c˜ao, quando a informa¸c˜ao XPTO

sofre uma quebra de seguran¸ca segundo a dimens˜ao autoria/responsabilidade”

Definiu-se que a resposta a cada pergunta seria dada com base numa escala bipolar (escala de Likert 1), crescente, de 7 pontos, de acordo com o que ´e a pr´atica comum

em estudos similares. Na escala usada o n´umero 1 corresponde ao impacto mais baixo enquanto que o 7 corresponder´a ao impacto mais elevado.

Para al´em das perguntas anteriores, o question´ario dever´a conter:

• Uma breve introdu¸c˜ao sobre a problem´atica da seguran¸ca da informa¸c˜ao; • Um enquadramento dos objectivos do question´ario;

• Um conjunto de defini¸c˜oes relacionados com a problem´atica da seguran¸ca da informa¸c˜ao, usadas ao longo do question´ario;

• Uma descri¸c˜ao dos grupos gen´ericos de informa¸c˜ao em avalia¸c˜ao; • As instru¸c˜oes do preenchimento do question´ario.

1

O question´ario da segunda ronda e das rondas seguintes, ser´a igual ao primeiro, com a diferen¸ca de se acrescentar a cada pergunta a seguinte informa¸c˜ao:

• M´edia e desvio padr˜ao das respostas da ronda anterior; • Distribui¸c˜ao de frequˆencias das respostas da ronda anterior;

• A resposta dada pelo perito a que se destina o question´ario, na ronda anterior.

Crit´erio de Consenso

Para determinar o n´ıvel de consenso das respostas ´e proposto que se utilize o coeficiente alpha de Croanbach. Este coeficiente mede a consistˆencia interna das respostas a um question´ario, a partir da qual se pode inferir o grau de consenso (Graham et al., 2003). O valor do coeficiente a partir do qual se considera que existe consenso, est´a , para a maioria dos estudos, compreendido entre 0,7 e 0,8, segundo a rela¸c˜ao da tabela 4.1:

Tabela 4.1 – Alpha de Cronbach e o grau de Consenso

Alpha de Cronbach Consenso α ≥0, 9 Excelente 0, 8 ≤ α < 0, 9 Bom 0, 7 ≤ α < 0, 8 Razo´avel 0, 6 ≤ α < 0, 7 Fraco

α <0, 6 Inaceit´avel

Ap´os a conclus˜ao de cada ronda de question´arios ´e calculado o coeficiente alpha de Cronbach para cada dimens˜ao de seguran¸ca. Se o seu valor para uma certa dimens˜ao indicar um consenso razo´avel ou superior ent˜ao, na ronda seguinte, o estudo dessa dimens˜ao ser´a exclu´ıdo, elaborando-se o question´ario apenas para as dimens˜oes em que ainda n˜ao se tenha atingido consenso. Quando todas as dimens˜oes evidenciarem um n´ıvel de consenso razo´avel ou superior considera-se conclu´ıdo o estudo.

O Valor da Informa¸c˜ao

O valor de cada grupo gen´erico de informa¸c˜ao, segundo uma determinada dimens˜ao, corresponde ao valor m´edio das respostas obtidas na ´ultima ronda, referentes a cada grupo e `a dimens˜ao em causa. Assim para cada dimens˜ao, ´e poss´ıvel construir uma matriz (Matriz 4.1, Matriz 4.2, Matriz 4.3 e Matriz 4.4) onde cada posi¸c˜ao representa o valor de um determinado grupo de informa¸c˜ao.

Nas matrizes utilizam-se a seguinte nomenclatura:

• Vconf.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao confidencialidade;

• Vint.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre uma

quebra de seguran¸ca segundo a dimens˜ao integridade;

• Vdisp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao disponibilidade;

• Vresp.Grupoi - valor do grupo gen´erico de informa¸c˜ao i (Grupoi) quando sofre

uma quebra de seguran¸ca segundo a dimens˜ao autenticidade/responsabilidade;

V alor

conf.

=

V

conf.Grupo1

V

conf.Grupo2

V

conf.Grupo3

.

.

V

conf.Grupoi

(4.1)

V alor

int.

=

V

int.Grupo1

V

int.Grupo2

V

int.Grupo3

...

V

int.Grupoi

(4.2)

4.2. Valor dos grupos gen´ericos de informa¸c˜ao em fun¸c˜ao da integridade

V alor

disp.

=

V

disp.Grupo1

V

disp.Grupo2

V

disp.Grupo3

...

V

disp.Grupoi

(4.3)

4.3. Valor dos grupos gen´ericos de informa¸c˜ao em fun¸c˜ao da disponibilidade

V alor

resp.

=

V

resp.Grupo1

V

resp.Grupo2

V

resp.Grupo3

...

V

resp.Grupoi

(4.4)

Ap´os estabelecidas as quatro matrizes referentes `as quatro dimens˜oes da informa¸c˜ao, cada grupo gen´erico de informa¸c˜ao ter´a que ser classificado, de acordo com a m´edia dos valores obtidos nas quatro dimens˜oes (Vmedioi):

V

medioi

=

V

conf.Grupoi

+ V

int.Grupoi

+ V

disp.Grupoi

+ V

resp.Grupoi

4

A tabela4.2mostra a correspondˆencia entre o valor m´edio obtido no c´alculo subjectivo do valor da informa¸c˜ao com a classifica¸c˜ao da mesma quanto ao seu grau de criticidade.

Tabela 4.2 – Classifica¸c˜ao da informa¸c˜ao segundo a criticidade

Valor M´edio Classifica¸c˜ao da Informa¸c˜ao Vmedio≥6 Cr´ıtica

5 ≤ Vmedio <6 Sens´ıvel

3 ≤ Vmedio <5 Restrita