Gerenciamento de risco e segurança da informação

A primeira forma de analisar o gerenciamento de risco da segurança da informação é aplicar os conceitos de gerenciamento de risco diretamente sobre o tema da segurança da informação. Desta forma podemos aplicar as classificações de risco segundo VAUGHAN (1997), para podermos entender melhor a natureza dos riscos associados a segurança de informação e melhor classificá-los. Os riscos associados a segurança da informação são:

??Financeiros: pode-se dizer que os riscos a segurança da

informação são na sua grande maioria riscos financeiros, pois causam, direta ou indiretamente perdas de receita ou financeiras.

??Estáticos ou dinâmicos: dependendo da situação podem ser

riscos estáticos, como por exemplo, uma invasão pontual ao sistema computacional, um incêndio no CPD, ou dinâmico, como, mudanças na tecnologia, um vírus mundial, etc.

??Particulares ou fundamentais: os riscos da segurança da

informação podem ser ainda particulares, como um ataque específico ao website da organização, ou fundamentais, como a propagação de e-mails com vírus.

??Puros: pode-se dizer que a grande maioria dos riscos em

segurança da informação são puros, pois há possibilidade apenas de perdas.

Em relação à questão do gerenciamento em si do risco, pode-se dizer que muito tem sido desenvolvido na área de risco, principalmente na área financeira.

“Both the theory and the practice of risk management have developed in the last two and a half decades. The theory has developed to point where risk management is now regarded as a distinct sub-field of the theory of finance (…)” (DOWD, 1998, pág. 4)

Isto talvez esteja relacionado ao próprio tempo de estudo do gerenciamento da área financeira; em relação nas demais áreas, como o gerenciamento da informação.

“Os conhecimentos relativos ao gerenciamento de finanças e operações vêm sendo acumulados e ensinados por mais de um século. Os conhecimentos sobre o gerenciamento da informação apenas recentemente começaram a ser reunidos.” (MCGEE, 1994, pág. 23).

Uma das formas encontradas nos autores pesquisados para o gerenciamento de riscos em segurança da informação é aplicar os conceitos de gerenciamento de risco sobre o tema de segurança da informação. BRAITHWAITE (2002) apresenta o modelo proposto por CAMPBELL e SANDS (1979) com esta finalidade. Podemos observar todas as fases tradicionais do gerenciamento de riscos e suas diversas atividades ao longo do processo.

Figura 18: Risk Management Model

(CAMPBELL e SANDS, 1979, v. 48)

Seguindo esta mesma linha de raciocínio, ALBERTS (2002) apresenta o seguinte processo de gerenciamento de risco para segurança da informação.

Figura 19: Risk Management Model

(ALBERTS, 2002, pág. 11)

Podemos notar uma pequena diferença entre os modelos tradicionais de gestão de riscos como de VAUGHAN (1997) e CULP (2002). ALBERTS (2002) propõe que a fase de avaliação do risco englobe a fase de identificação dos riscos e a análise do risco.

ALBERTS (2002), ainda em seu modelo, define que o gerenciamento de risco em segurança da informação deve seguir os seguintes princípios:

??Princípios de avaliação de risco em segurança da informação ??Princípios de gerenciamento de risco

??Princípios organizacionais e culturais

Figura 20: Information Security Risk Management Principles

(ALBERTS, 2002, pág. 20)

a. Princípios de avaliação do risco em segurança da informação

Estes princípios focam o direcionamento das avaliações de risco em segurança da informação. Estes princípios asseguram que a segurança da informação permeie toda a organização. São eles: auto-gestão, medidas adaptivas, formalização de processos de risco, estrutura para um processo contínuo.

??Princípio de auto-gestão: este princípio descreve que todos na

organização devem estar preocupados com a identificação e avaliação do risco em segurança da informação. Somente desta forma é possível considerar que a empresa esteja em condições de avaliar os risco em todas as esferas e processos de negócio.

??Princípio de medidas adaptivas: uma avaliação flexiva pode se

adaptar as constantes mudanças e avanços tecnológicos. Este princípio afirma que para uma boa avaliação de risco, o modelo de riscos e ameaças não deve ser rígido e muito menos tentar ser o mais perfeito possível.

??Princípio de formalização de processos de risco: este princípio

define que processos formalizados facilitam a institucionalizar a aplicação destes processos, assegurando que os processos sejam aplicados.

??Princípio de estrutura para um processo contínuo: este princípio

baseia-se que uma organização deve implementar estratégias de segurança baseadas nas lições aprendidas no passado. A melhoria da segurança deve ser um processo contínuo e deve ser planejado e estruturado para tal.

b. Princípios de gerenciamento de risco

Estes princípios estão baseados nas práticas genéricas de gerenciamento de risco, e portanto, não são exclusivos a segurança da informação. São eles: visualizar sempre a frente, foco em poucos pontos críticos, e gerenciamento integrado.

??Princípio de visualizar sempre a frente: este princípio define

que devem existir pessoas preocupadas não apenas com os problemas atuais mais que estejam focados com os ativos mais críticos da organização e visualizem quais os riscos futuros a estes ativos.

??Princípio de foco em poucos pontos críticos: este princípio

afirma que a organização deve focar apenas nas questões mais críticas de segurança da informação.

??Princípio de gerenciamento integrado: este princípio afirma que

as políticas e estratégias de segurança devem ser consistentes com as políticas e estratégias da organização.

c. Princípios organizacionais e culturais

Estes princípios analisam as questões organizacionais e culturais da empresa. Conforme ALBERTS (2001), as pessoas não comunicarão e muito menos tratarão os riscos chave, caso não exista um ambiente propício aberto a discussão e troca de idéias. Para isto é fundamental, os seguintes princípios: comunicação aberta, perspectiva global, e trabalho em equipe.

??Princípio da comunicação aberta: este princípio é o mais difícil

de se implementar. Ele afirma que o conceito fundamental atrás do gerenciamento de risco é a cultura organizacional que suporta a comunicação dos riscos de informação através de uma forma colaborativa.

??Princípio de perspectiva global: segundo este princípio é

necessário que as pessoas enxerguem os riscos de segurança, não de forma pontual, mas sim com uma perspectiva global de toda empresa. Ou seja, é necessário que as pessoas encarem que a empresa deve tratar a segurança da informação como um todo e não localmente.

??Princípio do trabalho em equipe: é impossível que uma única

pessoa entenda as questões de segurança de uma empresa como um todo. Este princípio afirma que o gerenciamento de risco deve ser uma abordagem inter-disciplinar e portanto há necessidade de um trabalho em equipe.

PELTIER (2002) apresenta uma outra forma de abordagem, cujo enfoque é identificar as necessidades de negócio e os riscos associados, e a partir daí estabelecer um processo de gerenciamento destes riscos. O gerenciamento do risco na segurança da informação é apresentado através do seguinte processo: identificação das necessidades e análise de riscos, implementação de políticas e controles, conscientização e treinamento, monitoramento e revisão dos controles. Todo este processo deve estar centralizado em um ponto focal, seja uma pessoa ou área de segurança.

Figura 21: Information Security Risk Management

(PELTIER, 2002, pág. 18)