Como se preparar para a Cibersegurança

14.5 Como se preparar para a Cibersegurança.

Muito se tem discutido sobre segurança da informação e recentemente o termo Cibersegurança vem ganhando espaço. A ISACA17 (Associação de Auditoria e Controle de Sistemas de Informação) é uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação.

Mais conhecida pelo framerwork de Governança de TI, COBIT, a ISACA vem trabalhando na sua plataforma de conhecimento em segurança e formação profissional de Cibersegurança, denominada CSX (Cibersecurity Nexus). O tema tem ganhado muita atenção em função do crescimento dos Cibercrimes e Ciberataques ocorridos principalmente contra pequenas e médias empresas que possuem linhas de defesa cibernética menos provida de recursos de contramedida.

Cibercrimes configuram invasões em meios digitais por pessoas ou Organizações não autorizadas com intuito de roubar informações sigilosas de indivíduos ou Organizações (ROSS, 2015). Dos cibercrimes mais comuns os cometidos contra indivíduos são os mais comentados nas redes sociais e mídia em geral. Após a divulgação de Snowden sobre as invasões americanas contra países aliados, o que mais se ressaltou foram os cibercrimes cometidos contra os representantes de países. No Brasil, o caso mais pictórico ocorreu contra a Presidente da República.

Ciberataques por sua vez implicam em tentativas de danificar uma pessoa ou Organização. O roubo de uma informação é algo prejudicial, mas não compromete de maneira perene as funções de negócio essenciais de uma empresa. Portanto, o ciberataque impede que a Organização cumpra sua missão (ROSS, 2015).

As Organização devem portanto tratar de forma adequada as vulnerabilidades em sua Cibersegurança. (SHARKASI, 2015) indica 10 áreas de melhoria que devem ser tratadas pelas Organizações:

• Área 1: Classificação de dados e inventário de ativos

• Área 2: Riscos de tecnologias emergentes

• Área 3: Uso de módulos de avaliação de riscos sob medida

• Área 4: Riscos da computação em nuvem e residência dos dados

• Área 5: Preocupação com as ameaças internas

17

156

• Área 6: Segurança nos pontos de acesso final (notebooks, smartphones,

etc.)

• Área 7: Dificuldade em lidar com sistemas legados

• Área 8: Aplicações de compartilhamento de arquivos

• Área 9: Maturidade de segurança e acesso remoto

• Área 10: Ferramentas de teste para cibersegurança

Fica evidente que precisamos de um modelo para lidar com a Cibersegurança que envolva de maneira iterativa ações consistentes em várias frentes de trabalho. Propomos um modelo de governança de segurança da informação exemplificado na figura 14.1.

Figure 14.1 - Modelo de Governança para Cibersegurança

Fonte: elaborado pelo autor

A priorização dos processos de negócio corporativos essenciais para as ações de Cibersegurança pauta-se pelo fato de que proteger tudo pode ser tarefa inviável do ponto de vista do esforço e custo. A classificação da informação e dos ativos, como propõe (SHARKASI, 2015) na área 1 deve ser executada. Saber quais são as informações restritas, sigilosas, em que ativos de informação elas são criadas, transformadas e armazenadas é premissa para saber o que proteger.

Incluir no planejamento estratégico as questões relacionadas à Cibersegurança cria condições fundamentais para o comprometimento da alta gestão. Sem esse comprometimento ações isoladas e descompassadas não

157 terão os resultados esperados e a falta de recursos financeiros e humanos será o maior desafio.

A adoção de frameworks globais como o COBIT 5 e o CSX traz benefícios de conhecimento, formação de profissionais, clareza de ações além de uma ontologia comum e de amplo acesso. Dentre os 37 processos existentes no COBIT 5, três são essenciais para se implementar uma governança de TI nos aspectos de segurança: APO12 – Gerenciar Riscos, APO13 - Gerenciar Segurança e DSS05 - Gerenciar Serviços de Segurança (GREENE, 2015).

O modelo de governança de segurança deve continuamente avaliar a maturidade da política de segurança. Possuir um método para fazer essa análise é condição imprescindível para que se saiba exatamente o nível de aderência e se os resultados alcançados na avaliação merecem ações de melhoria. O trabalho realizado no Brasil com a avaliação de requisitos claros em conformidade com a ISO 27002:2013 estabelece atributos de regulação, prevenção/controle e responsabilidade/penalidades das políticas de segurança de 40 entidades governamentais (LYRA, 2015). Portanto, um modelo de avaliação de maturidade eficiente deve estar aderente aos padrões globais.

Para garantir a Cibersegurança das Organizações, as mesmas devem investir em ferramentas especializadas e confiáveis. Nesse sentido, a opção de aquisição deve ser feita evitando os erros comuns devem ser evitados como por exemplo não realizar análises de avaliação em função das necessidades da Organização apenas confiando em um único fornecedor (ANDERSON, 2015).

Realizar uma análise SWOT pode ser útil para a avaliação de uma ferramenta de segurança, mas também definir os fatores críticos de sucesso bem como os indicadores chave de desempenho para realizar a escolha certa deve fazer parte desse processo sistemático (ANDERSON, 2015).

Por fim, estabelecer uma abordagem para o monitoramento contínuo e identificação e respostas à ameaças devem ser executados para que seja viável um plano de melhoria no modelo de governança de segurança da informação. (VOHDRASKY, 2015) e (GREENE, Cibersecurity Detective Controls - Monitoring to Identify and Respond to Threats, 2015) trazem trabalhos nesse sentido.

158

Os desafios atuais e futuros contam com a proliferação de novas tecnologias e de mais pessoas se envolvendo com a arte da programação. Esse cenário provocará uma imensa quantidade de soluções em software com potencial grande para ataques e invasões. Portanto, necessita-se de uma estratégia contínua para se trabalhar com as ameaças e vulnerabilidades.

159 Bibliografia

ACM. (2013). Computer Science Curricula 2013. New York: ACM.

ACM. (2008). Computer Science Curriculum 2008: An Interim Revision of CS 2001. ACM. New York: ACM.

ACM. (2001). Computing Curricula 2001 Computer Science. New York: ACM. AKANDE, O. A., APRIL, N. A., & VAN BELLE, J.-P. (2013). Management Issues with Cloud Computing. ICCC (pp. 119-124). ACM.

ANDERSON, K. A. (2015). Evaluating Information Security Solutions. ISACA Journal , 2, 36-40.

BOHEM, B. (2006). A View of 20th and 21st Century Software Engineering. ICSE’06 (pp. 20-28). Los Angeles: ACM.

BURNETT, M. M., & MYERS, B. A. (2014). Future of End-User Software Engineering: Beyond the Silos. FOSE 14. Hyderabad: ACM.

GONZALEZ, M. H. (2015). Internet of Things Offers Great Opportunities and Much Risk. ISACA Journal , 2, 18-23.

GREENE, F. (2015). Cibersecurity Detective Controls - Monitoring to Identify and Respond to Threats. ISACA Journal , 5, 51-53.

GREENE, F. (2015). Selected COBIT 5 Procecesses for Essential Enterprise Security. ISACA Journal , 2, 33-35.

LYRA, M. R. (2015). Checking the Maturity of Security Policies for Information and Communication. ISACA Journal , 2.

POTTER, M., & PREMKUMAR, G. (1995). Special double issue: diffusion of technological innovation. (E. R. McLean, Ed.) ACM SIGMIS Database , 26, pp. 105-124.

PREIBUSCH, S. (1 de Maio de 2015). Privacy Behaviors After Snowden. Communications of the ACM , 58, pp. 48-55.

160

ROSS, S. J. (2015). Information Security Matters: Cyberwhatsit. ISACA Journal , 2.

SHARKASI, O. Y. (2015). Addressing Cybersecurity Vulnerabilities. ISACA Journal , 5, 19-29.

VOHDRASKY, D. (2015). A Practical Approach to Continuous Controls Monitoring. ISACA Journal , 2, 41-47.

WEINBERG, G. M. (1971). The Psychology of Computer Programming,. New York: Van Nostrand Reinhold.

WLOSINSKI, L. G. (2015). Cloud Insecurities. ISACA Journal , 2, 28-32.

Sobre o autor

Mestre em Gestão do Conhecimento e da Tecnologia da Informação, professor nos cursos de Pós Graduação de Gerência de Projetos de TI e Governança de TI do UniCEUB. Professor nos cursos de Engenharia de Computação e Ciência da Computação do UniCEUB desde 2001. Coordenador do Projeto Fábrica de Software do UniCEUB.

Membro certificado do PMI e Diretor do ISACA-DF. Atua na área de Tecnologia da Informação há mais de 15 anos principalmente como Gerente de Portfólio de Projetos de TI. Coordenou projetos nas áreas de finanças, logística, comercial e de implantação de processos de qualidade e maturidade de software. Atualmente é Coordenador de Processos e Produtos de Software da Empresa Brasileira de Pesquisa Agropecuária (EMBRAPA)

161 SOBRE O ORGANIZADOR

Doutor em Ciência da Informação pela Universidade de Brasília – UNB.

Professor nos cursos de Pós-Graduação de Gerência de Projetos de TI e Governança de TI do UniCEUB. Professor nos cursos de Engenharia de Computação e Ciência da Computação do UniCEUB.

É certificado PMP, ITIL, COBIT, RUP, CTFL - Certified Tester, MCSO – Segurança da Informação, OCUP – OMG Certified UML Professional e IT Service Management – ISO/IEC 20000.

Profissional da área de TI desde 1987, atuando em diversas áreas do setor público e privado.

Autor do livro Segurança e Auditoria em Sistema de Informação, publicado pela Editora Ciência Moderna em 2008.