A segurança da informação é uma área disciplinar que remonta desde há séculos, com enfoque no âmbito das organizações de defesa e governamental. A informação é classificada segundo critérios de acessibilidade e são definidas as regras de acesso, conservação e as respectivas normas de protecção da mesma.
Todavia, como parte integrante dos processos organizacionais e com o impacto que a “perda de informação” representa actualmente nas organizações, muitos são os autores que defendem que a segurança da informação deverá integrar o sistema de governação corporativa das organizações.
Entre outros, Wiander, Timo, et al. [40] referem que «a assimilação das acções de segurança
da informação no sistema de gestão corporativo e suas componentes cria uma base bem projectada para uma gestão da segurança da informação».
Igualmente Poole, Vermon [41] indica que «… a efectiva governação requer que o conceito de
responsabilidade partilhada seja construído sobre uma estrutura de segurança da informação capaz de estabelecer resiliência operacional e de negócio».
Assim, de forma a cumprirem as suas missões e a alcançarem os objectivos estratégicos a que se propõem, as organizações necessitam de identificar e realizar, com eficácia e eficiência, um conjunto de actividades. Qualquer actividade que utilize recursos necessita de ser gerida de forma a ser capaz de transformar entradas em saídas, usando um conjunto de acções interligadas e /ou interrelacionadas.
A transmissão da informação com garantia da sua integridade e a disponibilidade da mesma no tempo, local e destino requerido é crítica na execução da missão das organizações. Contudo, torna-se igualmente importante garantir a protecção da informação corporativa, visto que a mesma é considerada um dos activos mais “valiosos” das organizações.
Tendo em conta que os recursos existentes não são ilimitados e que a implementação da segurança a 100% não é fazível, como endereçar estes problemas?
Por outro lado, “segurar/proteger” significa muitas vezes “restringir”. Por vezes, nem todos os atributos de segurança podem coexistir no mesmo sistema e por vezes é preciso efectuar escolhas: quais os atributos a utilizar e a que profundidade devemos efectuar a sua implementação? Mudanças num atributo podem implicar alterações positivas ou negativas noutros. Por exemplo, implementar mecanismos de segurança num sistema poderá degradar o seu desempenho, pelo que será necessário estabelecer o compromisso entre a política de segurança a seguir e os objectivos de negócio a alcançar. Isto leva-nos a pensar que a gestão da segurança da informação deverá fazer parte integrante da governação corporativa das organizações e que os profissionais de segurança da informação são todos aqueles que lidam e partilham este recurso nas organizações.
Porém, com a introdução das tecnologias de informação como suporte à recolha, armazenamento, processamento e divulgação da informação, tornou-se necessário acautelar
também a informação que corre sobre estes suportes, surgindo a necessidade de definir regras e procedimentos que sistematizassem as actividades de protecção da informação nos seus três vectores de intervenção: confidencialidade, integridade e disponibilidade.
No início da década passada, a segurança da informação era geralmente relacionada como uma actividade da função de suporte - gestão das tecnologias de informação. Esta surgia, na maioria dos casos, distinta dos objectivos da organização.
Contudo, a governação das tecnologias de informação é, provavelmente, uma das mais complexas e desafiadoras funções no contexto organizacional, uma vez que, para além das inúmeras mudanças e inovações tecnológicas, que contribuem para a emergência de novos riscos, acresce a necessidade da organização ter de se adaptar constantemente ao seu contexto de mercado.
Desta forma, a governação das tecnologias de informação carece, tal como os outros recursos da organização, de uma gestão sistematizada e repetitiva, obrigando à identificação de um conjunto formal e informal de regras e práticas.
Na opinião de Hamaker, Stacey et al. [42] «As tecnologias de informação (TI) são um requisito
fundamental e penetrante em muitas das modernas organizações. O enfoque incremental na governação corporativa organizacional levanta questões acerca do papel das TI na governação global do negócio. Uma melhor compreensão deste papel equiparará melhor as organizações para endereçar os actuais desafios emergentes». Alegam ainda que «as empresas vêem as TI como uma área de actuação que pode ajudá-las a fazer crescer e sustentar as suas organizações. A indústria das TI nos últimos 5 a 10 anos moveu-se de um lado predominantemente de manufactura para o outro lado predominantemente de fornecedor de serviços». Continuam indicando que «… é imperativo que as organizações alavanquem o uso das suas tecnologias de informação (TI) para maximizar a eficiência, a eficácia e a confiança da organização num ambiente de volatilidade actual e de intensificada expectativa na governação corporativa».
Gonçalves, Helder [43] cita a definição sobre “Governação das Tecnologias de Informação” apresentada pelo COBIT Foundation Course, que a define como «um conjunto de estruturas e
processos que visam garantir que as TI suportam e maximizam adequadamente os objectivos e estratégias de negócio da Organização, adicionando valor aos serviços entregues, balanceando os riscos e obtendo o retorno dos investimentos».
Porém, está demonstrado, que o tema da segurança da informação não passa só por uma questão técnica. De facto, Tashi, Igli et al. [44] citam Posthumus, Shaun et al. [45] relativamente à
identificação, formulada por estes últimos, «das quatro vagas relacionadas com a Segurança da
Informação: primeiramente a vaga das questões técnicas, segundo a vaga da gestão, terceiro a vaga da uniformização e a quarta a relacionada com a Governação da Segurança da Informação».
Também Dodds, Rupert [46] defende que «Segurança é gestão de risco e esta gestão de risco
cobre oportunidades e ameaças. Consequentemente, a segurança do sistema de informação tem na proposição de valor dois componentes: a habilitação do negócio e a protecção de activos. Segurança cobre pessoas e questões de processos, bem como tecnologia, pelo que a Segurança precisa de ser integrada na estrutura da gestão de risco organizacional e cobrir toda a organização».
Verifica-se, então, que a comunidade científica tem vindo a defender cada vez mais uma mudança de paradigma na forma de “olhar” para a Governação da Segurança da Informação: mais do que uma questão de protecção de activos, a governação da segurança da informação deverá suportar a criação de valor para as organizações.
Malik J. William [47] menciona que «a operacionalidade efectiva da Governação da
Segurança da Informação pode transformar as organizações. De repente e sem preocupações, domínios inteiros da actividade de negócio tornam-se claros e compreensíveis. Governação eficaz revela conexões profundas entre os elementos do programa de segurança da informação da organização».
De forma a estruturar e a sistematizar as actividades de segurança dentro das organizações, a comunidade científica tem vindo a desenvolver e a apresentar modelos, guidelines, standards, que possibilitam o apoio à implementação do Sistema de Gestão de Segurança da Informação. A ISO27000 [48] define aquele como «parte do sistema global de gestão, baseado numa
análise de risco do negócio, para estabelecer, implementar, monitorizar, rever, manter e desenvolver segurança da informação».
Gonçalves, Hélder [49] defende que um «Sistema de Gestão da Segurança da Informação é
projectado para assegurar a selecção de controlos de segurança adequados para proteger os activos de informação e proporcionar confiança às partes interessadas. É um standard formal que permite a certificação independente de organizações no Processo de Gestão da Segurança da Informação».
O NIST [50] define também o “Plano do Programa da Segurança da Informação” como «o
documento formal de segurança da informação que fornece uma visão geral dos requisitos de segurança para um programa de segurança da informação global a toda a organização e que
descreve os controlos do programa de gestão, em vigor ou os planeados, de forma a atingir as exigências traçadas». No entanto, Brotby, Krag [51] refere que «… baseada na pesquisa/avaliação do ITGI, cerca de 70% a 80% das organizações globais claramente não têm implementado a governança da segurança da informação».
Também, Pironti, John P. [52] refere que «… num estudo disponibilizado pelo ISACA – Critical
Elements of Information Security Program Success, os seis factores críticos mais reportados na pesquisa foram:
1. Compromisso da gestão de topo às iniciativas da segurança da informação. 2. Entendimento da gestão de topo para as questões da segurança da informação.
3. Planeamento da segurança da informação antes da implementação de novas tecnologias.
4. Integração entre o ´negócio` e a segurança da informação.
5. Alinhamento de segurança da informação com os objectivos da organização.
6. Responsabilização dos executivos e/ou dos gestores responsáveis pela implementação, acompanhamento e divulgação de informações de segurança».
Igualmente, Malik J. William [53] fazendo referência à segunda edição do “Information
Security Governance: Guidance for Boards of Directors and Executive Management” publicada
pelo IT Governance Institute (ITGI) chama a atenção para os principais drivers na implementação e operacionalização de um programa/Sistema de Gestão de Segurança da Informação citando «os sete elementos chave que colectivamente garantem que o programa de
gestão da segurança da informação seja operacionalmente eficaz: 1- Governação; 2 – Política; 3 – Arquitectura; 4- Conscientização e formação; 5 – Tecnologia; 6 - Registo, auditoria e relatórios; 7 – Revitalização».
Todavia, o ISACA [54] refere que «do ponto de vista da governação há seis principais
resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos».
Por outro lado, Tashi, Igli et al. [55] defendem a existência de quatro princípios de garantia da segurança no quadro da segurança da informação, a saber:
• «O risco zero não existe, consequentemente uma segurança absoluta também não existe;
• Protecção em profundidade, ou seja, a criação de uma série de sobreposição de camadas de controlo e contramedidas, dando a garantia de que de alguma forma o ataque deve ser quebrado;
• Segurança da informação depende de dois tipos de requisitos: funcionais e de garantia; isto significa fazer as coisas certas e de forma correcta;
• Delimitação do âmbito da Segurança da Informação, abrangendo o modelo CIA (Confidencialidade, Integridade e Disponibilidade)».
Contudo, para a implementação destes sistemas/programas, a comunidade científica tem demonstrado e defendido a aplicação de métodos/modelos, como por exemplo o PDCA [Plan, Do, Check, Act] [56], que obriga à realização de um ciclo de vida de quatro etapas (Figura 3.3): 1 – Planeamento; 2 - Implantação e operacionalização; 3 - Monitorização e revisão; 4 - Manutenção e melhorias, permitindo que as organizações possam evoluir positivamente para estados de maior eficácia e eficiência, consequentemente de melhor qualidade e em rumo à excelência.
Figura 3.3- Modelo PDCA aplicado ao SGSI. Fonte: ISO/IEC 27001:2005
De facto, são métodos que obrigam às práticas de planeamento, operacionalização, monitorização, avaliação e revisão dos sistemas em causa, devendo aquelas formas de actuar tornarem-se, cada vez mais, uma parte integrante do modo de ser/estar nas actividades do dia-a- dia dos funcionários, dentro da organização.