security risk
No diagrama seguinte podemos observar a visão holística da KPMG sobre a segurança e gestão de risco empresarial.
38
#, - ' " !2 $!-'
Da pesquisa efetuada para a realização deste trabalho, nomeadamente na base de dados b-on, livros, artigos e revistas da especialidade (ex: CSO Magazine), estudos internacionais e sítios das associações de profissionais do sector, verificou-se a inexistência de outros trabalhos em Portugal sobre o mesmo tema, quantidade reduzida de artigos e bibliografia pouco atualizada. No que respeita a estudos realizados “O Barómetro de Segurança”, questionário da PremiValor Consulting15, para medir o clima de segurança em Portugal foi o único encontrado.
A nível internacional existem diversos artigos nos sítios das associações de segurança, nas revistas da especialidade, alguns livros, bases de dados e apresentações de especialistas pertencentes ao Convergence Comittee da ASIS. Assumem maior relevância como referência para o presente trabalho os dois estudos realizados em 2011 na América do Norte (Michael A. Davis, 2011) e Europa (ASIS International European Convergence Comitee and ISAF, 2011), respetivamente, o trabalho desenvolvido pela Deloitte para a AESRM “The Convergence of Physical and Information Security in the Context of Enterprise Risk Management” e o artigo “Security Convergence and ERM – A Case for the Convergence of Corporate Physical and IT Security Management” James Willison, este último resultado da única dissertação (à qual não foi possível ter acesso) referenciada que atribuiu o grau de Mestre ao seu autor pela pesquisa no caso “Integration of Corporate Physical and IT Security” pela Universidade de Loughborough. De seguida serão apresentadas algumas citações e conclusões desses estudos e artigos mais relevantes, bem como comentários aos mesmos:
Global Risk Management Study – Accenture 2011
o “We see this holistic, integrated characteristic as critical to achieving high performance
through effective risk management”
o “Companies have increasingly initiated comprehensive enterprise risk management
programs and are more likely to have in place C-level executive oversight to ensure that risk is being managed at a more strategic level. In short, risk management capabilities are not only prevalent and a target of investments - they are also more strategic and aligned with growth strategies, and they are helping companies achieve their most important business priorities”
39
o “From reactive to proactive”
o “Organizational silos and outdated information systems prevent many enterprises from
adequately sharing information that could mitigate risks more effectively. Better organizational structures and underpinning systems are essential if the challenge of integration is to be met”
Global Risks 2012 Seventh Edition – World Economic Forum
o Identificados como riscos muito relevantes: Falha de sistemas críticos
Cyber attacks Terrorismo
Roubo ou fraude com informação
The Business Case for Enterprise Risk Management – American Bankers Association
o “…Strategic Focus for ERM”
o “Many Organizations Still Use a Traditional Risk Management Approach…Silo…” o “ERM is a process, …applied in strategy …across the enterprise…”
o “Resistance is rational”
Enterprise Security Risk Management (ESRM): How Great Risks Lead to Great Deeds
o “…ESRM as a holistic view of risk – all risks - …”
o “…security has become too important to be handled by security experts alone.”
o “More than eight out ten CSOs1 and non-CSOs agreed that ERSM is larger than the convergence of physical and IT security…because specific risks (business continuity, IT disaster recovery, hazards) emanate from a risk management process…”
40
Logical/Physical Security Convergence – Aberdeen Group
o Pesquisa e benchmark apontando recomendações às instituições que procuram integrar
a segurança lógica e física num conceito mais abrangente e estratégico de ERM
o “76% develop a holistic view of security risks across the organization”
o “…by taking a more holistic view of risk …,optimize business processes, and improve
visibility across organizational and geographical “silos”
o Como recomendação da pesquisa “…companies should give higher priority
logical/physical security convergence projects as a natural extension of taking a strategic, enterprise-wide view of security risk”
The Convergence of Physical and Information Security in the Context of Enterprise Risk Management – Deloitte
o Por solicitação da AESRM a Deloitte desenvolveu um estudo detalhado sobre a
convergência da segurança física e de informação, apontando os passos a seguir para alcançar esse objetivo, os obstáculos organizacionais existentes e diversos casos estudo a nível internacional
o “This report suggests that there are essentially three ways to structure convergence:
combine both functions under one leader, maintain separate functions and have them
report to a common manager, or keep the functions separate but bring the issues of
security into an enterprise risk council. In this survey, 62 percent of executives
indicated that their organization has a risk council or equivalent and 92 percent of executives said they believed it has proven to be successful. Despite budgetary issues
and confusion as to who is part of the risk council, the risk council concept is clearly
the place to begin the process of convergence”
o “Why have some organizations adopted the convergence approach already? Survey
results show that convergence within an organization is often spurred by the vision of
one person. These visionaries, aside from being executives, have a strong belief in the
benefits of convergence …”
o “The convergence of physical and information security might be likened to the early days of flight. While there have been some ambitious attempts at convergence by
41
daredevil visionaries, as described in the case studies, progress, for the most part, has
been slow and difficult. The truth remains that convergence, which is typically based on
the vision of specific individuals rather than on a structured …”
o “There are those who see senior management’s inability to recognize the importance of security as a lack of foresight. But it is a human truth that, before major change can be
achieved, there needs to be sufficient and compelling motivation. How security is
perceived may also be an obstacle to convergence …”
Security Convergence and ERM “A Case for the Convergence of Corporate Physical and IT Security Management” – James Willison
o O autor deste artigo defende a convergência da segurança física e lógica, e é uma
autoridade nesta área, uma vez que fruto da sua pesquisa elaborou a dissertação que lhe atribuiu o grau de Mestre no caso “Integration of Corporate Physical and IT Security” pela Universidade de Loughboroug, trabalhou 14 anos na industria de segurança física, é coautor do estudo “Security Convergence Survey” de que falaremos abaixo, é vice presidente da ASIS International European Convergence Comitee e um especialista em convergência da segurança, membro da ISACA desenvolveu com as associações ligadas à segurança lógica, ISACA e ISSA, vasto trabalho para aproximar as duas áreas de segurança, física e lógica
o Recomenda neste artigo para o desenvolvimento de uma estratégia de convergência da
segurança “Promote a holistic view os security” e “Form a single security function”
o “As suggested by the articles referenced in this publication, the concept of convergence is supported by many of industry’s largest enterprises. It certainly is an idea whose time
has come”
o “Another strong catalyst is the increasing pressure to implement true enterprise risk
management, which encourages a business-oriented, holistic view of security that goes beyond IT and physical security to include security processes in human resources and
other areas of the organization. As with other significant paradigm shifts, the trend
toward convergence is not expected to accelerate rapidly. Over time, however, it is
42
potential efficiencies gained by combining the two functions, should create sufficient
inertia to finally move this practice from the exception to the rule”
Physical and Logical Security Convergence Survey – Michael A. Davis for InformationWeek´s 2012
o Estudo realizado em Setembro de 2011 na América do Norte, com 334 respostas de
profissionais ligados a sectores tecnológicos, cujo objetivo era analisar o paradigma da convergência da segurança física e lógica
o A conclusão refere que 50% dos inquiridos não tem nas suas instituições as duas áreas
de segurança integradas e como decisores não tem planos para seguir nessa direção “No, and we have no plans to do so”
Este estudo obtém um resultado significativamente diferente do estudo similar, referido abaixo, realizado na Europa pela ASIS e ISAF.
Importa aqui fazer uma reflexão sobre os pressupostos do estudo que muito provavelmente conduziram a esta conclusão: dos 334 profissionais inquiridos ligados ao mercado das tecnologias 84% são oriundos da área de IT (figura 7 abaixo); existe uma forte dispersão por diferentes sectores de atividade (figura 8 abaixo); em todo o estudo só existe uma única questão ligada à convergência da segurança física e lógica “Is your physical security group integrated with your information security group?”
43 Figura 8 – Sectores de atividade inquiridos (Michael A. Davis, 2011)
o Dados os pressupostos que estiveram na base do inquérito, o estudo sobre a
convergência da segurança enferma de lacunas não sendo a conclusão contundente. Verifica-se que sobre a convergência existe uma só questão, pelo que no inquérito elaborado no presente trabalho (3.4.2) para avaliar a situação em Portugal se tentará evitar estes erros.
Security Convergence Survey – ASIS International European Convergence Comitee and ISAF
o Ao contrário do estudo anterior dos 216 profissionais ligados à segurança inquiridos na
Europa, cerca de 89% considera relevante a convergência da segurança lógica e física
o Na tabela abaixo são apresentados os resultados do estudo onde se pode confirmar que
44 Figura 9 – Convergência da Segurança (ASIS International European Convergence Comitee and ISAF, 2011)
- !0 ' :4"' *2 ( !
' 4' "#, / - ! -
Nesta secção serão definidos os desafios a atingir, os problemas e dificuldades surgidos durante o presente trabalho de investigação e que se ultrapassaram, bem como as oportunidades e a pertinência da sua realização.
-
!0 '
Importa enumerar o conjunto de desafios essenciais para alcançar um resultado final demonstrativo das questões suscitadas pela presente dissertação, sendo eles:
Validação
o Procurar legislação e normas relacionadas com o tema;
o Confrontar com dissertações, artigos ou estudos anteriores existentes; o Pouca informação disponível em Portugal.
Reconhecimento de benefícios duma visão holística da segurança
o Encontrar evidências de reconhecimento de benefícios; o Casos estudo onde os benefícios são evidentes;
45
Definição da metodologia
Resultado da validação e reconhecimento anteriores, importa avaliar se os artigos, casos e eventuais trabalhos anteriores são demonstrativos da situação em Portugal, ou devido à falta de informação a elaboração de um questionário para inquirir os profissionais do sector poderá ser a metodologia a seguir.
Medição e Benchmark
A elaboração do questionário deverá seguir as melhores práticas e evitar erros que condicionem os resultados, como se verifica na pág. 42 deste trabalho no estudo (Michael A. Davis, 2011). Serão seguidas as recomendações de Anivaldo Tadeu Chagas (Mestre em Administração pela USP e professor da Universidade Católica de Campinas) no seu trabalho de pesquisa sobre “O Questionário na Pesquisa Científica” (Chagas Anivaldo T. R., 2000).
Amostra representativa e resultados estatísticos
As respostas ao questionário serão tratadas de forma estatística, após seleção de um grupo alvo representativo dos profissionais de segurança em Portugal e de instituições de diversos sectores, onde as diferentes disciplinas de segurança existam (física e lógica).
4"' *2 ( !
As principais dificuldades que surgiram no decurso na realização do presente trabalho são derivadas da pouca documentação e falta de associações em Portugal dedicadas à divulgação do tema, bem como da inexistência de legislação nacional de segurança que imponha a adoção de modelos de governação de segurança nas empresas, como acontece por exemplo em Espanha.
Este problema condicionou a metodologia a seguir, pois para o benchmark do caso português não existem dados estatísticos ou estudos que validem as vantagens de uma visão integrada da segurança. Assim, a realização de um questionário foi o método considerado como mais adequado para alcançar os resultados a que nos propusemos.
Para além dos estudos internacionais e artigos mais relevantes detalhados na secção 3.2, em Portugal só foi encontrado “O Barómetro de Segurança”, questionário da PremiValor Consulting, para medir o clima de segurança em Portugal. Não é um estudo dedicado às
46
questões de convergência da segurança física e lógica, mas aborda levemente o tema de uma gestão ERM na questão “13 - Na sua opinião, o que poderia ser feito para melhorar o nível de gestão do risco (risk management) das organizações em Portugal?” cujas possibilidades de resposta entre outras são:
“13.4 - Criação de departamento de gestão de risco respondendo diretamente à administração/direção das organizações“;
“13.7 - Criação de uma cultura de prevenção transversal a toda a organizações”.
' 4' "#, / - !-
Como a convergência da segurança lógica e física, bem como os seus potenciais benefícios não são temas muito investigados a nível nacional, por outro lado a legislação relacionada com a segurança em Portugal não impõe modelos organizacionais, os decisores não possuem elementos suficientes para reconhecer as mais-valias de uma visão integrada da segurança. Não existe um conhecimento razoável sobre a visão dos profissionais do sector, quer afetos a atividades de segurança física, lógica ou continuidade de negócio, acerca deste tema.
Acresce ainda que a norma ISO (ISO 31000:2009, 2009) está pouco divulgada, como veremos nas respostas ao questionário.
O presente trabalho dá-nos assim uma excelente oportunidade de compilar a visão dos profissionais de segurança de diferentes sectores empresariais de atividade, confrontar os resultados obtidos com artigos e estudos internacionais e poder contribuir com este conhecimento teórico para a mudança mais rápida de paradigma na implementação de abordagens ERM nas empresas. Conforme refere o autor do artigo Convergence and ERM “A Case for the Convergence of Corporate Physical and IT Security Management (Willison, J., 2009) o processo de mudança não é expectável que seja rápido “As with other significant
47
! !2 !%&' - ! ( !#, " - !-
( 4' "#, . ! 2
Resumidamente descreveram-se no segundo capítulo as atividades de segurança, a razão por que funcionam separadamente na maioria das organizações e o seu enquadramento legal e normativo.
No início deste capítulo foram analisados os esforços internacionais no sentido de uma visão mais abrangente da segurança, visão holística, integrada num programa vasto de gestão de risco dentro da empresa, conhecido por ERM. Analisaram-se ainda diversos artigos e estudos internacionais e algumas das suas conclusões, apontando os benefícios que advém da convergência, obstáculos à sua implementação e caminhos a seguir para o sucesso dentro das organizações.
Será explicada nesta secção de forma detalhada todo o processo de avaliação da perceção dos profissionais de segurança sobre este tema, nomeadamente a construção do método de avaliação através de um questionário, a definição do público-alvo, o tratamento das respostas e conclusões e a comparação dos resultados obtidos com estudos e artigos internacionais.
Para além de se procurar resposta para a perceção de benefícios numa visão integrada da segurança, importa também perceber quais são esses benefícios, estando a razão da não implementação deste modelo dentro da organização fora do âmbito deste trabalho.
' 4"'
' - ! !2 !%&'
Para que se possam obter resultados coerentes e não se incorra no erro de selecionar profissionais de uma só área de segurança, das duas envolvidas no estudo (lógica e física), bem como se focalize num sector particular de atividade, importa estabelecer à partida uma amostra diversificada. Deve ser tido em conta no caso concreto a dimensão das organizações onde trabalham os profissionais inquiridos, pois é fundamental a existência de Departamentos autónomos, ou não, de segurança física, segurança lógica e/ou continuidade de negócio para que o tema da convergência possa fazer sentido (Chagas Anivaldo T. R., 2000).
Procurou-se ainda evitar dois erros que parecem patentes no estudo internacional (Michael A. Davis, 2011), para a InformationWeek´s 2012, onde são inquiridos 334 profissionais em que 84% são da área de IT e só uma das perguntas do questionário está diretamente ligada com o
48
título do estudo “Is your physical security group integrated with your information security group?”.
A amostra de 216 inquiridos definida num estudo europeu similar (ASIS International European Convergence Comitee and ISAF, 2011) conduziu a resultados diferentes do anterior. Assim, para o questionário a elaborar no presente trabalho definiu-se uma amostra de 25 profissionais da área de segurança de diferentes sectores de atividades, tais como: Energia, Telecomunicações, Transportes, Financeiro, Comércio e Águas.
Para os diversos sectores foram selecionadas os responsáveis de segurança das maiores empresas a operar no mercado. Por forma a não comprometer a política das empresas e o modelo de governação de segurança adotado por um lado, garantindo-se maior índice de respostas por outro, optou-se por questionar a posição pessoal dos responsáveis do(s) departamento(s) de segurança sem vincular a própria empresa – esta menção é apontada no início do preenchimento do questionário (anexo I) e por razões de confidencialidade a respeitar não são indicadas neste trabalho as empresas onde se inserem os participantes.
Os questionários foram enviados por email, havendo uma segunda insistência para obtenção de um maior número de respostas, quer através de um novo email, quer por contacto telefónico. Houve uma maior participação dos responsáveis de segurança do sector financeiro, explicada pela maior sensibilidade ao tema pelas exigências das entidades reguladoras sobre estas matérias, bem como pela existência de diferentes tipos de modelos de governação de segurança a par de todas as disciplinas de segurança dentro das organizações. Por outro lado, contribuiu de forma decisiva o conhecimento pessoal dos responsáveis dos vários departamentos por parte do autor deste trabalho.
A amostra foi considerada satisfatória por três razões principais: inexistência de estudo idêntico em Portugal; similaridade das respostas/conclusões quando comparamos com dois estudos idênticos internacionais (Michael A. Davis, 2011) e (ASIS International European Convergence Comitee and ISAF, 2011); existência de 58 membros inscritos como especialistas de engenharia de segurança na Ordem dos Engenheiros.
De referir a obtenção de 14 respostas válidas, sem a participação dos sectores de Telecomunicações e Comércio, conforme gráfico abaixo.
49 Figura 10 – Sectores de atividade participantes
Por outro lado a distribuição dos inquiridos por área de atividade no que diz respeito à segurança é bastante equilibrada conforme se pode observar do gráfico abaixo.
Figura 11 – Distribuição dos Inquiridos por área de atividade
Os profissionais inquiridos pertencem a organizações com mais de 500 trabalhadores (duas das respostas obtidas) e os restantes 12 trabalham em empresas com mais de 1000 empregados. >D 0D 0D 21D 5 E ( 0#D #2D D E 8F G H (I E 8F G F8 8 H
50
Foram então garantidos todos os pressupostos para que o questionário se possa aplicar e produza resultados coerentes.
5 ,
# ' / ;" '
Em termos gerais o questionário foi elaborado com base nas recomendações de (Chagas Anivaldo T. R., 2000), nomeadamente explicando-se o objetivo que se pretendia alcançar, garantindo-se a confidencialidade, vincular o participante e não a empresa onde trabalha, agradecer a disponibilidade da sua participação em antecipação, iniciar o questionário por conceitos gerais para aferir o grau de familiarização do inquirido com os temas, bem como vinculá-lo a esses conceitos, elaborar questões fechadas sem grande margem para divagações e só por fim pedir a identificação do inquirido para não criar constrangimentos logo à partida. Cada pergunta é acompanhada de instruções claras de preenchimento e o questionário pode ser preenchido eletronicamente com uso de dropboxes facilitando o envio da resposta (questionário anexo I).
Como descrito no cabeçalho do questionário as respostas são de carácter pessoal e não vinculam a empresa onde os inquiridos trabalham, por outro lado as perguntas não têm respostas certas ou erradas, apenas vão reflectir a opinião de cada participante.
Agruparam-se as questões em cinco grandes temas (além da caracterização dos participantes) para facilitar a focalização dos participantes, são eles: Conceitos, Caracterização e Organização da Segurança, Avaliação de Riscos, Gestão dos Riscos, Normativo e Organismos Internacionais e Dados de Caracterização dos Participantes.
As perguntas foram sendo feitas de forma gradual, iniciando-se por definições básicas dos temas tratados, seguindo-se da perceção como está organizada a segurança na empresa do participante, passando pela avaliação dos riscos na empresa, para se entrar então nas questões concretas da melhor forma de gestão de riscos e da convergência como uma das possibilidades e por último avaliam-se os conhecimentos sobre normativo e organismos internacionais relacionados com esta temática e é feita a caracterização dos participantes.
Antes do envio do questionário a todos os participantes, como boa prática a seguir, realizou-se em pré-teste a três participantes e foram corrigidas algumas gralhas e melhorado o formulário