Para promover a Segurança da Informação, a norma NBR ISO/IEC 27002 (ABNT, 2013) e diversos autores que publicam sobre o tema (BJÖRCK, 2005; BELASCO;
WAN, 2006; YEH; CHANG, 2007; GORAYEB, 2012; SÊMOLA, 2014;
TAMJIDYAMCHOLO et al., 2014) recomendam não só recursos de hardware e software, mas também medidas relacionadas a aspectos organizacionais e humanos, como políticas, normas, práticas, processos, programas, planos, estratégias, procedimentos, ações de conscientização, treinamento e educação, definição de papéis e responsabilidades e estruturas organizacionais, além da conformidade, que, nesse contexto, foca no quanto os padrões organizacionais e as exigências legais são seguidos, de acordo com Maynard e Ruighaver (2006).
É comum encontrar na literatura trabalhos e documentos que chamam essas ações, mecanismos, orientações, políticas, processos, programas, procedimentos e estruturas
organizacionais de controles de Segurança da Informação, como faz a ABNT (2013). Entretanto, diversos autores preferem o termo medidas de Segurança da Informação (WINKLER; DEALY, 1995; SCHULTZ et al., 2001; WAWRZYNIAK, 2006; CHANG; HO, 2006; KRITZINGER; SMITH, 2008; HAGEN; ALBRECHTSEN; HOVDEN, 2008; WORKMAN; BOMMER; STRAUB, 2008; APPARI; JOHNSON, 2010; SUN; AHLUWALIA; KOONG, 2011; ADEBAYO; OMOTOSHO; ADEKUNLE, 2012; FRANGOPOULOS; ELOFF; VENTER, 2013; SÊMOLA, 2014), o que parece adequado diante do fato de a palavra medidas ser utilizada também ao tratar de segurança penal (LEBRE, 2013), segurança pública (KRAHMANN, 2011), segurança alimentar (BAPTISTA; PINHEIRO; ALVES, 2003; CORDEIRO, 2013), segurança nacional (WRIGHT, 1998) e segurança biológica (CASAL et al., 2007; PINHEIRO; ZEITOUNE, 2008).
Dessa forma, medidas de Segurança da Informação são práticas, procedimentos e mecanismos “usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades, reduzir essas vulnerabilidades, limitar a probabilidade ou o impacto de sua exploração, minimizando ou mesmo evitando os riscos.” (SÊMOLA, 2014, p.47).
Schaefer (2009) entende que a Segurança da Informação está associada a medidas que são basicamente ideias introduzidas por meio da cultura, costumes, educação e treinamento, e através da legislação. Para Carneiro (2002), a Segurança da Informação nas organizações exige a utilização de mecanismos diversos, que podem ser técnicos ou não. Segundo Höne e Eloff (2002), as medidas de Segurança da Informação envolvem soluções técnicas, normas, contratos e um trabalho de comunicação organizacional sobre riscos, ameaças e vulnerabilidades, orientados por uma Política de Segurança da Informação.
A Política de Segurança da Informação organizacional é um conjunto de regulamentos, regras e práticas que determinam como uma organização gerencia, protege e distribui recursos para alcançar objetivos específicos de Segurança da Informação (STERNE, 1991). Seu conteúdo inclui uma definição de Segurança da Informação (FORCHT; AYERS, 2001; HÖNE; ELOFF, 2002), atribuições de responsabilidades gerais e específicas (PATRICK, 2001; HÖNE; ELOFF, 2002; DOHERTY; FULFORD, 2006), requisitos de educação, conscientização e treinamento (FORCHT; AYERS, 2001), princípios de Segurança da Informação da organização (HÖNE; ELOFF, 2002), gestão da continuidade das operações e recuperação de desastres (FORCHT; AYERS, 2001; DOHERTY; FULFORD, 2006), consequências do seu descumprimento (HÖNE; ELOFF, 2002; DOHERTY; FULFORD,
2006), referências cruzadas com outras políticas, padrões, procedimentos, processos, leis e regulamentos, e uma declaração do compromisso de gestores e de alinhamento às estratégias e objetivos organizacionais (HÖNE; ELOFF, 2002), além de outras medidas de Segurança da Informação a serem adotadas pela organização (FORCHT; AYERS, 2001).
Lopes (2012) observou na literatura que as Políticas de Segurança da Informação são úteis para as organizações por diferentes razões, entre elas: por demonstrarem as iniciativas de Segurança da Informação da organização (SÁ-SOARES, 2005); por explicarem a importância da Segurança da Informação para a organização (HÖNE; ELOFF, 2002); por indicarem quais ativos devem ser protegidos e qual a proteção que precisam (KING; DALTON; OSMANOGLU, 2001); por servirem como guia na seleção, desenvolvimento e implementação de medidas apropriadas (BARMAN, 2001); e por contribuírem para a promoção de comportamentos coerentes dentro da organização (LEE, 2001).
Apesar de a Política de Segurança da Informação ser importante e abordar diferentes aspectos, Karyda, Kiountouzis e Kokolakis (2005) advertem que ela pode representar um obstáculo ao negócio caso seja rígida ou restritiva demais e que pode haver resistência dos membros da organização às mudanças e restrições que ela impõe. Sun, Ahluwalia e Koong (2011) concordam que quanto mais exigentes as medidas adotadas, mais pode haver resistência a elas. Também para Ellwanger (2009) uma Política de Segurança da Informação pode gerar resistência, mas isso pode ser evitado com ações de endomarketing e o envolvimento de pessoas não técnicas na sua elaboração. A implantação de uma Política de Segurança da Informação pode levar a conflitos entre os departamentos de uma organização em decorrência das diferentes perspectivas de riscos e objetivos organizacionais e de Segurança da Informação, de acordo com Abraham e Chengalur-Smith (2011). Björck (2005) concorda e observa que um aspecto central para a Segurança da Informação é estabelecer um canal de comunicação com os membros da organização com a finalidade de informar sobre as razões da adoção de medidas. Para este autor, medidas técnicas não acompanhadas de treinamento e educação tendem a não ser compreendidas e, como consequência, a não ser respeitadas.
De acordo com Lorens (2007), por desconsiderar as pessoas ao tratar da Segurança da Informação, a maioria das organizações enfrenta dificuldades na elaboração e formalização dos seus regulamentos, o que pode levar a um resultado ineficiente ou inexequível – a Política e os regulamentos podem se tornar meros formalismos sociais.
Segurança da Informação não é apenas uma questão tecnológica, e um viés técnico precisa ser evitado (ELLWANGER, 2009). Nesse sentido, abordagens puramente técnicas e simplistas para a Segurança da Informação têm grande possibilidade de fracassar (ANDERSON, 2001; POSEY et al., 2014), pois soluções técnicas de Segurança da Informação, embora necessárias, são insuficientes em ambientes sociotécnicos complexos e em constante mudança como são as organizações (HOLGATE; WILLIAMS; HARDY, 2012). Por isso, uma abordagem significativa deve incluir aspectos tecnológicos, humanos, administrativos e organizacionais (DHILLON; BACKHOUSE, 2001; BJÖRCK, 2004, 2005; ALBRECHTSEN, 2008; COLES-KEMP, 2009). Em outras palavras, a Política de Segurança da Informação deve orientar a adoção de medidas que incluem não só soluções técnicas, mas também normas, contratos e um trabalho de comunicação organizacional sobre riscos, ameaças e vulnerabilidades (HÖNE; ELOFF, 2002; ELLWANGER, 2009).
Exemplos de medidas de Segurança da Informação técnicas e não técnicas podem ser identificadas na literatura. Björck (2005) apresenta normas, estruturas organizacionais, processos, programas de treinamento e conscientização, planos, estratégias e a Política de Segurança da Informação, que visam mudar o comportamento das pessoas formalmente (estabelecendo metas, obrigações e responsabilidades) e informalmente (capacitando e conscientizando), além de medidas tecnológicas, que operam em sistemas computacionais, como controles de acesso lógico, antivírus, backups, biometria, criptografia e firewalls, e outras que procuram proteger a informação por meios físicos, como controles de acesso físico, sistemas de alarme e proteção contra fogo. Tamjidyamcholo et al. (2014) incluem ainda o estabelecimento de redes de troca de informações e conhecimentos entre profissionais, que têm o objetivo de aumentar o conhecimento dos membros da organização e que influenciam positivamente na expectativa de redução de riscos.
Essa diversidade levou diferentes autores a classificarem as medidas de Segurança da Informação (BJÖRCK, 2005; YEH; CHANG, 2007; SÊMOLA, 2014), podendo ser por sua finalidade, aproximação com a tecnologia ou pelas características que buscam afetar na organização. Dhillon (1999) as classificou com base no que afetam na organização:
a) Medidas técnicas: visam à limitação do acesso a prédios, salas, computadores e sistemas (DHILLON, 1999; DHILLON; MOORES, 2001), como mecanismos que operam em sistemas computacionais, controles de acesso lógico, antivírus,
correções de sistemas, backup, biometria, criptografia, firewalls e soluções de
detecção de intrusos (BELASCO; WAN, 2006; SENTHILKUMAR;
ARUMUGAM, 2011; GORAYEB, 2012), e aqueles que buscam proteger a informação por meios físicos, como soluções de controle de acesso físico, sistemas de alarme e proteção contra fogo (BJÖRCK, 2005).
b) Medidas formais: buscam afetar a organização e seus membros através de regras e da garantia da conformidade com leis e procedimentos. Envolvem a definição de funções, responsabilidades, planos, objetivos e papéis, como o Sistema de Gestão de Segurança da Informação, a Política de Segurança da Informação, o Escritório de Segurança da Informação e a equipe de tratamento de incidentes (DHILLON; MOORES, 2001; KILLCRECE et al., 2003; MANDIA; PROSISE; PEPE, 2003; FARN; LIN; FUNG, 2004; BJÖRCK, 2005; CASEY, 2005; MARTINS; SANTOS, 2005; PARK; JANG; PARK, 2010; MANOEL, 2014; SÊMOLA, 2014).
c) Medidas informais: visam afetar a organização e seus membros informalmente, promovendo o conhecimento e a conscientização sobre Segurança da Informação através de treinamento e educação (BJÖRCK, 2005). Envolvem a comunicação de responsabilidades, atitudes e comportamentos apropriados (DHILLON; MOORES, 2001), como programas de treinamento, educação e conscientização e ações de divulgação (DHILLON; MOORES, 2001; SÊMOLA, 2014).
A classificação de Dhillon (1999) foi utilizada neste trabalho e os tipos de medidas identificados em cada categoria estão no Quadro 2, enquanto o Apêndice B traz exemplos de medidas de cada tipo identificadas na literatura. Segundo o autor, é preciso evitar a adoção de medidas de Segurança da Informação de forma isolada, atendendo a situações específicas e sem considerar outras medidas necessárias e o contexto organizacional. Sveen, Torres e Sarriegi (2009) acrescentam que há uma interdependência entre as diferentes categorias de medidas. Segundo estes autores, medidas técnicas dependem de medidas formais, que afetam a organização através da imposição de regras, e as medidas formais dependem de medidas informais, que afetam as organizações por meio de ações de educação e conscientização. Os autores exemplificam: uma medida técnica, como a exigência de uma senha de acesso a um sistema, pode ser afetada pela violação de uma medida formal – a
divulgação da senha e, consequentemente, o descumprimento da obrigatoriedade do sigilo das senhas –, e essa violação pode ser uma decorrência de uma deficiência em uma medida informal – problemas em programas de educação e conscientização sobre a importância do sigilo da senha, ou a inexistência desses programas.
Quadro 2 – Tipos de medidas técnicas, formais e informais.
CATEGORIAS TIPOS E EXEMPLOS
Formais
Política de Segurança da Informação; Comitê de Segurança da Informação;
Regulamentos internos de Segurança da Informação; Processos e procedimentos de Segurança da Informação; Equipe de tratamento de incidentes de Segurança da Informação; Escritório de Segurança da Informação;
Processo de Análise e Avaliação de Riscos; Classificação de informações;
Sistema de Gestão de Segurança da Informação;
Revisão periódica da Política de Segurança da Informação.
Técnicas
Redundância de dados;
Segregação e monitoramento de redes de computadores; Redundância de peças de equipamentos;
Prevenção contra códigos maliciosos; Controle de acesso lógico;
Transmissão e armazenamento seguros de dados; Autenticação forte;
Redundância de equipamentos; Controle de acesso físico; Proteção ambiental. Informais
Treinamento de profissionais de TI; Treinamento de usuários de TI;
Divulgação de regulamentos e da Política de Segurança da Informação; Ações de conscientização.
Fonte: elaborado pelo autor com base em Dhillon e Moores (2001), Farn, Lin e Fung (2004), Björck (2005), Belasco e Wan (2006), Juels (2006), Doherty e Fulford (2006), Thorpe (2006), Panko (2006), Park, Jang e Park (2010), Gorayeb (2012), ABNT (2013), Casey (2005), Martins e Santos (2005), Manoel (2014) e Sêmola (2014).
Além da necessidade de considerar a relação de dependência entre diferentes medidas de Segurança da Informação, a ABNT (2013) e Sêmola (2014) concordam que as medidas não devem ser adotadas indistintamente, pois cada organização tem características próprias que exigem que a Segurança da Informação seja tratada de uma forma particular. De acordo com Dresner (2011), a simples adoção de medidas recomendadas por padrões e modelos de Segurança da Informação não garante a mitigação dos riscos.
Assim, para que sejam adotadas medidas apropriadas às necessidades e requisitos de Segurança da Informação das organizações, a literatura recomenda que seja realizada uma análise e avaliação de riscos (BACKHOUSE; DHILLON, 1996; KOTULIC; CLARK, 2004; PELTIER, 2005; FONTES, 2006; OSBORNE; SUMMITT, 2006; BERNARD, 2007;
CAVUSOGLU et al., 2015; GUSMÃO et al., 2016) e que as informações sejam classificadas quanto aos seus requisitos de Segurança da Informação (MARTINS; SANTOS, 2005).
É possível identificar em trabalhos anteriores uma diferenciação entre análise de riscos e avaliação de riscos: a primeira seria a identificação e caracterização dos riscos; e a segunda seria o processo de determinar a exposição aos riscos (BASKERVILLE, 1991; DHILLON; BACKHOUSE, 2001). Apesar dessa distinção, a literatura mais atual sobre Segurança da Informação tem tratado de análise e avaliação de riscos como um único processo, definido neste contexto como o uso sistemático de informações para identificar e estimar riscos (OZKAN; KARABACAK, 2010), ou como o processo de descoberta e avaliação de riscos para ativos de informação e de definição de linhas de ação alternativas para controlar esses riscos (CAVUSOGLU et al., 2015).
A análise e avaliação de riscos, no entendimento de Backhouse e Dhillon (1996), tornou-se um processo importante na gestão da Segurança da Informação pois possibilita justificar os gastos com novas tecnologias de Segurança da Informação, evitar a implementação de medidas caras e desnecessárias e prever criticamente os benefícios diante dos investimentos iniciais. Baskerville (1991) concorda que a análise e avaliação de riscos é um processo útil para mensurar a viabilidade de medidas e ressalta sua importância como ferramenta de comunicação entre os profissionais de Segurança da Informação e os gestores organizacionais.
Segundo Peltier (2005), a análise e avaliação de riscos orienta a tomada de decisões sobre as medidas que precisam ser implementadas para mitigar, eliminar ou aceitar riscos identificados. O autor observa também que o processo é útil mesmo após a ocorrência de incidentes, pois os documentos gerados permitem identificar os indivíduos envolvidos no processo de decisão, as discussões ocorridas, o que foi considerado por esses indivíduos e suas decisões, mostrando o caminho que levou às medidas adotadas. Por fim, o autor argumenta que o processo permite à organização adotar as medidas realmente necessárias.
Booker (2006) argumenta que, para que a Segurança da Informação seja eficaz, é necessário ter uma compreensão clara dos riscos associados, o que passa pela identificação das ameaças existentes e pela análise do impacto potencial da ocorrência de eventos que prejudiquem a confidencialidade, integridade ou disponibilidade das informações. O autor complementa que, caso os riscos ou o impacto da ocorrência de incidentes sejam considerados inaceitáveis, medidas de Segurança da Informação são necessárias.
As necessidades de Segurança da Informação identificadas em uma análise e avaliação de riscos variam de organização para organização, conforme orientam a ABNT (2013) e Sêmola (2014), mas Anyanwu (1997) ressalta que a garantia da disponibilidade, integridade e confidencialidade das informações não é uma meta que pode ser facilmente alcançada, principalmente em organizações que precisam lidar com ameaças a esses três pilares da Segurança da Informação ao mesmo tempo em que busca garantir autonomia às suas subunidades organizacionais, pois os gestores precisam lidar com questões de Segurança da Informação relativas à pirataria e direitos autorais, compatibilidade, garantia de acesso a sistemas remotos, redundância de dados e sistemas, bem como a transferência de grandes volumes de informações entre escritórios e unidades de negócio geograficamente distantes e sua sede.
De acordo com Larson (2012), organizações com estrutura descentralizada buscam integrar e interconectar suas várias unidades de negócio, e Von Simson (1990) complementa que essas organizações compartilham informações e bancos de dados e mantêm sistemas interligados em redes de computadores. Devido a essas características, um incidente em uma subunidade pode comprometer as outras, segundo o argumento apresentado por Bowersox et al. (2014) para organizações que experimentam essa integração.
Organizações com essas características também estão em constante mudança, demandam flexibilidade e lidam com informações muitas vezes conflitantes sobre os riscos de Segurança da Informação, de acordo com Booker (2006). Ainda segundo o autor, essas características não estão de acordo com a coerência e previsibilidade exigidas por um programa de Segurança da Informação. Acrescenta-se a isso o fato de que a Segurança da Informação precisa ser garantida em toda a organização, incluindo seus departamentos e subsidiárias, de acordo com Qureshi (2011) e Sêmola (2014) e conforme recomenda a ABNT (2013). Booker (2006) conclui que, além das dificuldades que enfrentam ao lidar com a necessidade de manter a conformidade com a Política de Segurança da Informação enquanto garantem autonomia às suas subunidades organizacionais, organizações com estrutura descentralizada muitas vezes respondem a auditorias e pedidos de informações sobre conformidade de forma reativa e não necessariamente representando a realidade.
Cabe salientar que é necessário promover a sensibilização e a conformidade de todas as subunidades da organização com sua Política e seus regulamentos (BOOKER, 2006), mas também que políticas podem ser formalizadas sem necessariamente serem respeitadas ou
consultadas (BJÖRCK, 2004; LOPES; SÁ-SOARES, 2014), uma desconexão que contribui para a ocorrência de incidentes de Segurança da Informação (LAPKE; DHILLON, 2015).
Apesar de as organizações terem necessidades de Segurança da Informação específicas e de ser imperativo realizar uma análise e avaliação de riscos para orientar suas decisões, a adoção de medidas de Segurança da Informação pode ser resultado das respostas organizacionais às pressões do ambiente externo (ANTHONY; APPARI; JOHNSON, 2014; ALKALBANI; DENG; KAM, 2014; ALBUQUERQUE JUNIOR; SANTOS, 2015; CAVUSOGLU et al., 2015; SHAFIU, 2015), o que pode levar à formalização e adoção de regulamentos internos, tecnologias, estruturas organizacionais, políticas e programas de Segurança da Informação que não atendem às necessidades e requisitos organizacionais (ALBUQUERQUE JUNIOR; SANTOS, 2014c).
A relação entre a adoção de medidas de Segurança da Informação e as pressões ambientais pode ser compreendida através da Teoria Institucional (BJÖRCK, 2004), abordagem que enfatiza que o comportamento organizacional é resultado de pressões do ambiente no qual a organização está inserida (MEYER; ROWAN, 1977; TOLBERT; ZUCKER, 1983, 1999; DIMAGGIO; POWELL, 1983).