Autor: Edilberg Nunes Barros Luana de Souza Estrela
Diante das mudanças presenciadas por organizações de todo o mundo no cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos acionistas.
Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura utilizados para transportar a organização do estágio do uso técnico da tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. Isto exige transparência dos objetivos de negócio, padronizações, uso de soluções corporativas sem esquecer situações específicas, uso efetivo de governança e, sobretudo, desejo verdadeiro do comando da organização para isso. (Fontes, 2008, p.43).
Entende-se que a arquitetura corporativa associa a tecnologia da informação com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a segurança da informação. A arquitetura da segurança da informação é um elemento da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura corporativa.
Uma arquitetura de segurança define padrões e estruturas que devem ser seguidas pela organização com o objetivo de proteger a informação considerando os requisitos de negócio. Caso a organização esteja muito confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso a organização esteja menos confusa, com algum esforço alcançaremos a situação desejada. (Fontes, 2008, p. 44).
Espera-se que esta estrutura possibilite soluções para a corporação de modo a intensificar os controles de segurança da informação existentes, tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para estabelecer, implementar, operar, monitorar, analisar
28
criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que exista o básico da gestão da segurança da informação. Muitas organizações não possuem essa gestão básica e adotam a governança de tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam implementados, sendo que o primeiro deles é a existência de uma pessoa responsável pelo processo de segurança da informação, não sendo essa pessoa responsável pela segurança, mas, responsável pelo processo de segurança, que terá como consequência uma boa política de segurança da informação implementada.
O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, tempo e recursos operacionais para a implementação do processo de segurança da informação e sua gestão, e por fim e não mais importante que os itens acima apresentados Fontes preconiza a necessidade de existir um processo de segurança que se inicie na alta administração da organização, uma vez que este processo interfere em muitos aspectos da organização e principalmente nas pessoas e cultura organizacional.
Neste contexto a literatura já elaborada para a segurança da informação sugere o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos de implementação de segurança, dentre os quais, apresenta-se o Escritório da Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais e estruturais necessários ao desenvolvimento, implantação e acompanhamento das políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a necessidade de centralização dos recursos humanos, materiais e estruturais, necessários ao processo.
Modelos da Organização da Segurança da Informação
No que diz respeito às atribuições de cada uma das estruturas acima descritas, ambas possuem os mesmos propósitos, a saber:
Analisar o posicionamento da empresa no mercado em que se situa,
visando mapear seus clientes, fornecedores, concorrentes, produtos/ serviços e os riscos que cada um destes pode representar à empresa;
Definir as políticas de controle de acesso físico às instalações da
29
Implementar os aspectos sócio-técnicos da Segurança da Informação,
mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham;
Definir as políticas de controle de acesso lógico aos dados
organizacionais;
Desenvolver a matriz de riscos do negócio, identificando, priorizando e
qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado;
Garantir a sustentabilidade do processo de controle da segurança da
informação;
Escrever e implementar os acordos de nível de serviço de segurança da
informação na empresa;
Avaliar novas tecnologias e suas devidas adequações e aplicações nos
processos de segurança da informação organizacional;
Mapear e definir os planos de contingência dos processos
organizacionais;
Definir os procedimentos a serem adotados em situações de crises,
emergências e desastres para a continuidade de negócio;
Avaliar o nível de proteção atual dos processos organizacionais;
Garantir a eficácia dos processos da segurança da informação por meio
de testes periódicos;
Desenvolver políticas de treinamento de funcionários visando garantir o
comprometimento destes com os processos de SI organizacionais;
Aplicar políticas de certificação digital de segurança da informação;
Implementar políticas de desenvolvimento de software seguro;
Definir políticas de controle de versão de arquivos;
Promover auditorias nos processos sistêmicos organizacionais;
Regulamentar as políticas de uso dos recursos informacionais da
empresa (computadores, redes de dados, e-mails corporativos, ferramentas de redes sociais, etc.).
A implantação do Escritório de Segurança da Informação requer disponibilidade de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao desenvolvimento das atividades descritas no item anterior, proporcionando que a equipe de analistas de Segurança da Informação possa compartilhar experiências, atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura deve permitir o desenvolvimento das atividades de segurança da informação e possui a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e de
30
conhecimento de toda empresa – os recursos humanos e tecnológicos necessários aos andamentos das atividades de SI.
Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no plano de contas da organização pincipalmente pelo fato de manter disponíveis em tempo integral a equipe do escritório de segurança da informação, seu parque tecnológico e o ambiente físico (espaço) das instalações.
Uma alternativa muito utilizada em empresas de todo mundo para manter uma estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos humanos e também não existe a disponibilidade física de um local destinado exclusivamente a este propósito. A adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo integral uma equipe disponível para o cumprimento das atividades da governança de segurança da informação, fato que permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de implantação de um Escritório de SI.
No caso dos Comitês de SI, os profissionais alocados nas atividades de governança de segurança da informação continuam com suas atividades seculares em seus postos de trabalho, compartilhando suas horas de trabalho diárias também com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI possuem um custo menor que os Escritórios de SI.
Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório quanto do Comitê de Segurança da Informação:
Tabela 1 - Vantagens e Desvantagens dos Escritórios e Comitês de SI
Vantagens Desvantagens
Escritório de Segurança da Informação
1. Disponibilidade da equipe em um local fixo 2. Disponibilidade da
equipe em tempo integral 3. Atribuições da equipe
somente focadas em segurança da informação
1. Custo com local físico e equipamentos
2. Custo com pagamento de pessoal específico para segurança de informação
Comitê de Segurança da Informação
1. Custo inexistente de pagamento para pessoal específico de segurança da informação
2. Custo inexistente com local físico
1. Não disponibilidade em tempo integral da equipe 2. Equipe com diversas
atribuições além de segurança da informação
31 Localização na estrutura organizacional
A localização departamental da célula de governança da segurança da informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são apresentadas estas duas estruturas organizacionais com suas características:
1. Nesse modelo de estrutura organizacional a segurança da informação encontra-se subordinada à diretoria de TI, sendo assim, depende do orçamento da diretoria de TI e também das aprovações das políticas de TI.
Figura 1 - Organograma funcional apresentando a gerencia de SI subordinada à diretoria de TI
2. Nesse modelo de estrutura de TI, a segurança da informação encontra-se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui seu próprio orçamento, ficando independente para criação de políticas e tomadas de decisões.
Figura 2 - Organograma funcional apresentando a gerencia de SI n mesmo nível hierárquico da diretoria de TI
32
Profissionais da Segurança da Informação
Tal qual ocorre nas demais áreas da tecnologia da informação, a governança de segurança da informação também conta com diversas especialidades de atribuições de recursos humanos.
A necessidade da distribuição dos profissionais de segurança da informação dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas atribuições técnicas para o desempenho dos papéis na segurança da informação organizacional.
A informação é algo muito importante para a empresa e sua existência, pois observa-se a crescente necessidade de proteger seus ativos informacionais, por isso várias normas foram escritas para subsidiara área de segurança da informação. Para que essas normas fossem colocadas em prática e com excelência pela organização, foi preciso capacitar pessoas e desenvolver profissionais específicos para que a segurança da informação exista na organização. Esses profissionais têm a responsabilidade de estruturar, desenvolver, implementar e auditar os processos de proteção da informação organizacional.
De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da Informação deve possuir algumas características e responsabilidades, dentre as quais, citam-se:
Garantir que as atividades da Segurança da Informação sejam
executadas em conformidade com a política de Segurança da Informação;
Buscar soluções adequadas à realidade da organização;
Estruturar o processo de segurança;
Trabalhar em paralelo com a auditoria;
Saber por onde começar.
Serão apresentadas abaixo as principais atribuições da governança de segurança da informação, ordenadas do mais alto cargo (importância na cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo mais estratégico ao mais técnico:
33 CSO – Chief Security Officer (Diretor Geral)
Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece procedimentos e transações corporativos.
O CSO além de segurança deve conhecer sobre negócios e participar de todas as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas para a necessidade do negócio. Deve atentar a toda forma de segurança, não somente a tecnológica, mas também a segurança física do local. O CSO deve proporcionar à empresa a diminuição de riscos nas operações.
Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação.
CISM – Certified Information Security Manager
São os profissionais que gerenciam, projetam, supervisionam e avaliam a segurança das informações na organização.
Que experiências deve possuir?
Governança de Segurança da Informação;
Gerenciamento de Riscos das Informações;
Gestão de Programas de Segurança da Informação;
Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação;
34
CISP – Certified Information Security Profissional
São os profissionais que realizam e operam as rotinas e protocolos da segurança das informações na organização.
Que experiências deve possuir?
Governança de Segurança da Informação;
Gerenciamento de Riscos das Informações;
Desenvolvimento de Programas de Segurança da Informação;
Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Governança de Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
CISA - Certified Information Systems Auditor
São os profissionais que supervisionam e auditam a segurança das informações na organização.
Que experiências deve possuir?
Governança de Segurança da Informação;
Gerenciamento de Riscos das Informações;
Gestão de Programas de Segurança da Informação;
Gestão de Incidentes e Respostas em Segurança da Informação.
Qual a formação necessária?
Auditoria de Sistema;
Governança de Tecnologia da Informação;
Administração de Empresas com ênfase em Tecnologia da Informação;
35 Referencia Bibliográfica
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011.
Fontes, Edson. Políticas e normas para a Segurança da Informação, Editora BRASPORT, 1ª edição, 2012
Fontes, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª edição, 2008.
Sobre os autores
Edilberg Nunes Barros.
Analista de Infraestrutura de TI. Graduado em Sistemas de Informação. Certificado ITILV3F e ISO20000. Cursando MBA Governança de TI.
Luana de Souza Estrela
Graduação em Gestão Comercial pelo Senac DF, Pós- Graduação em Governança de TI pelo UniCeub, atua na área de Gerente Comercial.
37