Gestão integrada da segurança lógica e física nas organizações

(1)

Gestão Integrada da Segurança

Lógica e Física nas Organizações

Dissertação de Mestrado apresentada por

Nuno Miguel Branco Bento

Sob orientação do Prof. Doutor Ramiro Gonçalves

Universidade de Trás-os-Montes e Alto Douro

Escola de Ciências e Tecnologias

Departamento de Engenharias

(2)

ii

“ A sensação de segurança é muito difícil de descrever, só a percebemos quando a sentirmos.”

(3)

iii

Dissertação apresentada por Nuno Miguel Branco Bento para obtenção do grau de Mestre em Engenharia Informática, sob a orientação do Prof. Doutor Ramiro Manuel Ramos Moreira Gonçalves, Professor Associado com Agregação da Universidade de Trás-os-Montes e Alto Douro.

(4)

iv

À minha mulher Carla, pela paciência enquanto decorreu todo o processo e aos meus filhos Beatriz e José que souberam, da melhor forma, gerir a minha ausência quando lhes retirei tempo familiar muito valioso.

Ao meu orientador, Professor Doutor Ramiro Gonçalves, pela ajuda e constante iluminação do caminho na direção mais correta.

Ao meu colega de curso da faculdade e amigo, Jorge Pereira, que com o seu incentivo constante e olhar crítico sobre o trabalho, permitiu que o resultado final fosse mais além.

(5)

v

Tradicionalmente coexistem nas grandes organizações Departamentos distintos que lidam com os problemas relacionados com a segurança lógica e segurança física, respetivamente.

Com origens distintas, as duas vertentes da segurança, funcionam normalmente de forma separada. Associada à proteção de pessoas e bens, a segurança física surge naturalmente como uma necessidade no controle de acessos e proteção física das instalações, enquanto a segurança lógica, muito mais recente, nasce com o aparecimento dos computadores e para proteção dos sistemas informáticos e por essa razão surge no seio dos Departamentos Informáticos.

Este paradigma, de tratamento desagregado das duas vertentes de segurança, está contudo a mudar, muito por força da ligação dos sistemas de segurança física às redes informáticas e porque a nova tipologia de ataques atravessa as duas áreas de segurança.

O presente trabalho procura verificar se existem benefícios de uma visão integrada da segurança, convergindo as suas duas vertentes numa visão holística mais abrangente e num conceito mais alargado de Enterprise Risk Management (ERM) de acordo com a norma ISO1 31000:2009. Esta visão de todos os riscos organizacionais é entendida neste documento estritamente dos relacionados com a segurança física, lógica no sentido mais amplo de segurança da informação e das novas preocupações de Gestão da Continuidade do Negócio. Os resultados obtidos neste trabalho são globalmente satisfatórios, porquanto a metodologia seguida através de um questionário dirigido a diversos profissionais de segurança, veio confirmar o reconhecimento de benefícios, designadamente de incremento global do nível de segurança e mitigação de riscos, pela adoção de uma visão holística da segurança nas organizações. Quando comparamos com estudos similares desenvolvidos a nível internacional, os resultados obtidos são idênticos, sendo merecedor de atenção em futuros trabalhos, perceber a razão pela qual esta visão não ser percecionada pela gestão de topo das organizações e por isso o seu grau de implementação ser muito reduzido – está para além do âmbito desta dissertação.

(6)

vi

Traditionally coexist in large organizations separate/ different Departments that deal with issues related to logical security and physical security, respectively.

With different origins / backgrounds, this two aspects of security, usually work separately. Associated with the protection of persons and property, physical security arises naturally as a necessity in access control and physical protection of facilities, while logical security, much more recent, is born with the advent of computers and to protect informatic systems and therefore comes within the IT2 Departments.

This paradigm of disaggregated treatment of the two aspects of security is however changing, mainly because of the connections of physical security systems to computer networks and because the new type of attacks cross both security areas.

This work / study aims to verify if there are benefits of an integrated vision of security, converging both perspectives in a broader holistic vision and in a wider concept of Enterprise Risk Management (ERM) according ISO 31000:2009 standard. This view of all organizational risks is understood herein as strictly related to the physical security, logical in the broadest sense of information security and the new concerns of Continuity Business Management. The results in this work are globally satisfactory, inasmuch as the methodology followed a questionnaire to several security professionals, confirmed the recognition of benefits, including the overall increase in the level of security and risk mitigation, by adopting a holistic view of security in / within organizations.

When compared with similar studies developed at an international level, the results are identical, being worth the attention in future work / study to realize why this vision is not perceived by organization´s top management and therefore the degree of implementation is greatly reduced - that is beyond the scope of this dissertation.

(7)

vii ... 10 ... 11 !" ... 12 # $ $ % % ... 13 ... 14 & $ ' () ... 14 & $ ' *+ & ... 18 # , - $ . % & & $ */ ... 22 0 & $ ' % ' ( ... 24 1 ,* ' % ' ' $ % % % ' & + ... 27 2 ' - $ % ' * & * ... 30 2 ' ' ' * ... 30 2 ' ! 3 ' % % ... 32 ... 34 # ' - $ % ' ' ' ' * ... 35 # $ % * % ... 38 # # % ( 4, !* , $ ' % % ... 44 # # % ( ... 44 # # , !* ... 45 # # # , $ ' % % ... 46 # 0 * % $ % % , $ & * ... 47 # 0 , % * ... 47 # 0 - $ ' 5 ... 50 # 0 # $ * % % $ % ... 51 # 0 0 % ( , !* ... 65

(8)

viii ... 67 0 (* 6 ! $ * % ... 67 0 ' *$ ( ' ... 70 0 # ' % ( ' ! *3 ($ $ ... 70 ( .' ... 72

(9)

ix

( & $ 7 , 9' % ' ( % & ,$ !* % ' :% * ' 4 * (( "3 ,4 * ((

4 ;;<= >

( & $ 7 - $ & ' ( * ' :?, & 4 ; = >

( & $ # @ , ' , ' 3 % , * , , ' :?, & 4 ; = <

( & $ 0 @ ' 3 ' % & $ % * .' :?, & 4 ; = A

( & $ 1 @ 4 $ * ' % , % 4 #2

( & $ 2 @ & % , * :?, & 4 ; = #>

( & $ > @ , ' 5 % & $ ' : 3 * % 4 ; = 0

( & $ < @ % % % ' - $ % : 3 * % 4 ; = 0#

( & $ A @ ' & .' % & $ ' : ' ' ' * $ , ' ' & ' ' %

(4 ; = 00

( & $ ; @ % % % , , ' 0A

( & $ @ % !$ % ' - $ % , 5 % % % 0A

( & $ @ & ' % & $ ' :% * 4 ;;>= 1#

( & $ # @ ,* ' % , & : ' $ 4 ; = 1# ( & $ 0 @ , , % $ % ' *3 % :% * 4 ;;>= 10 ( & $ 1 @ - $ 6 $ , ' 5 56 ' ' % , & $ ' :% * 4 ;;>= 11 ( & $ 2 @ * % ' $ , & :% * 4 ;;>= 12 ( & $ > @ % , ' ' * % ' % & $ ' :% * 4 ;;>= 1< ( & $ < @ B ' , ' 5 * % : ' $ 4 ; = 2;

( & $ A @ ! ' () , ' $ * ' % ' & % & $ ' :% * 4 ;;>=

2

( & $ ; @ ( , ' , ' & % & $ ' :% * 4 ;;>= 2

( & $ @ ! ' () ' :% * 4 ;;>= 2#

( & $ @ ! 5 $ * C ' & .' :% * 4 ;;>= >

(10)

10

(The King of the Ants – Mythological Essays by Zbigniew Herbert, 1999)

Securitas a nova divindade introduzida no panteão, necessária, oportuna e puramente Romana

que veio por fim ao costume de cópia de modelos helénicos.

Os Gregos não possuíam nenhuma divindade com o propósito da segurança, só no submundo de Hades (reino dos mortos) existia um monstruoso cão de múltiplas cabeças, de nome

Cerberus, cuja missão era a de “guarda” da entrada.

Securitas aparece, sem qualquer preparação teológica, como a nova deusa da Segurança e Estabilidade, significando no Império Romano o Cuidar da Liberdade. Dai a sua aparência nas moedas com uma atitude confiante e relaxante, inscrevendo-se as insígnias SECVRITAS

TEMPORVM ou SECVRITAS PERPETVA, segurança dos tempos ou segurança perpétua,

respetivamente.

A sua única missão era garantir a segurança do imperador privando-a de um carácter indispensável de universalidade. Desta forma a contestação não se fez esperar, logo apareceram os reclamantes de uma segurança para todos os cidadãos, porque afinal de contas o imperador era também ele em primeiro lugar um cidadão.

Com o receio da elevação do imperador para um estado de extrema autoconfiança ou arrogância, pela proteção divina que lhe estava conferida, surgiram duas correntes, defensoras de duas Securitas (uma do imperador e outra dos cidadãos) por um lado e de uma Securitas única para todos, por outro.

Importantes questões tinham de ser resolvidas: uma divindade com dois ramos de proteção? Ou duas divindades e neste caso, qual a hierarquia e competências?

Os sacerdotes, grupo mais conservador, elaboraram um complexo documento enviado ao Senado, que após exaustiva análise dos prós e contras de uma ou duas divindades foi adiando uma decisão final sine die.

Não conhecemos o rosto de Securitas, o ritual de culto ou oração, de valores imensuráveis entre o zero e infinito e por isso a qualidade de poder penetrar em todas as coisas, assumindo um

(11)

11

poder invisível mas sentindo-se a sua presença. Que outra divindade sobreviveu aos nossos dias e goza de uma saúde tão forte?

Securitas coloca-nos perante a alternativa cruel da escolha entre segurança ou liberdade -

TERTIUM NON DATUR (não existe uma terceira via). Ou será que nas sociedades modernas

um compromisso ainda é possível?

Por analogia com as disciplinas de segurança dos dias de hoje, a segurança física e a segurança lógica, devem ou não estar integradas numa única divindade com dois ramos de proteção? Ou devem ser duas divindades uma para cada disciplina? E neste último caso como se relacionam e qual as suas competências? Não existem zonas comuns? - a presente dissertação procura respostas para estas perguntas.

À semelhança dos senadores romanos não existirão nas nossas organizações os conservadores que procuram a todo o custo manter o status quo e adiam sine die uma Gestão Integrada da Segurança Lógica e Física que podem encaixar como um puzzle numa Cultura Efetiva de Gestão de Risco?

Por curiosidade existem a operar no mercado de segurança em Portugal empresas com os nomes de Securitas, Cerberus (mudou de nome) e Niscayah (palavra em Sanskrit, língua

Indo-Ariana um dos 22 dialetos atuais da Índia) - significa seguro e confiável.

! "! # " $! %& '

A discussão sobre a convergência num único departamento das diferentes disciplinas da segurança é tema de debate a nível internacional, quer nas associações de profissionais ligadas à segurança lógica, quer nas ligadas à segurança física. O tema assume maior relevância em 2005 com a criação da Alliance for Enterprise Security Risk Management (AESRM), resultado de duas associações ligadas à segurança lógica e uma ligada à segurança física.

Esta “aliança” fruto da cooperação de três associações de profissionais de segurança reconhece um manifesto incremento no nível de complexidade de riscos a que as empresas estão actualmente sujeitas e que requerem respostas corporativas mais eficientes no campo da segurança.

(12)

12

Com a nova abordagem da ISO 31000:2009 – Risk Management Principles and Guidelines, o conceito de convergência das vertentes tradicionais da segurança (lógica e física) assume uma perspetiva mais alargada e transversal a toda a empresa, Enterprise Risk Management (ERM), sendo consideradas outras áreas para integrar, desde logo os Planos de Continuidade de Negócio e Disaster Recovery.

Existem diferentes modelos organizacionais de Governação de Segurança nas instituições, que passam pela abordagem tradicional da segregação em “silos” das diferentes vertentes da segurança até uma visão holística transversal de gestão de riscos.

( ' # !%)

' *+ # '

Devido à ausência de estudos em Portugal sobre os modelos de Governação de Segurança existentes nas empresas, a motivação central do presente trabalho passa pela verificação da existência do reconhecimento por parte dos profissionais de segurança de benefícios de uma visão holística da segurança. Os principais objetivos a atingir são fundamentalmente dar resposta às seguintes questões:

- Quais as vantagens de uma gestão integrada da segurança nas organizações? - O que está a ser feito nesse sentido a nível internacional?

- Será que se podem reduzir custos com esta abordagem? - Existem associações ou normas que caminham nesse sentido?

- Quais os modelos de Governação de Segurança existentes em Portugal?

Para se atingirem os objetivos propostos, serão desenvolvidas as seguintes atividades:

Caracterização das diferentes disciplinas de segurança; Verificação de legislação nacional e normativos;

Enquadramento e esforços internacionais no sentido da convergência; Estudos anteriores sobre o tema;

(13)

13

#", #, "! - ! -

"#! %& '

A dissertação encontra-se dividida por quatro capítulos apresentando-se nesta secção a sua organização.

No primeiro capítulo, por analogia com a mitologia Romana e a deusa da segurança “Securitas” é caracterizado o problema a tratar na investigação, são enunciadas as motivações do trabalho e os objetivos delineados para o projeto. Por fim, é realizada uma caracterização da organização da dissertação.

No segundo capítulo, procura-se efetuar um enquadramento geral das diferentes disciplinas da segurança - física, lógica ou de informação - a sua interligação com os Planos de Continuidade de Negócio das organizações e a diferença de culturas entre os profissionais de segurança lógica e física que conduzem à segregação em dois departamentos distintos (Tyson D., 2007) – este autor do livro “Security Convergence: Managing Enterprise Security Risk” será diversas vezes citado ao longo deste trabalho, uma vez que a sua obra é uma referência quando se fala da convergência das disciplinas de segurança, tendo sido considerado pela Canadian Security

Magazine “Mr. Convergence”.

Faz-se um enquadramento legal das disciplinas de segurança e as normas ISO associadas. No terceiro capítulo, caracterizam-se os organismos a nível internacional, as suas missões, que são referências em cada uma das disciplinas de segurança, ou promovem a dinâmica de convergência dessas mesmas disciplinas e através de artigos e estudos de referência, bem como de guidelines e conferências organizadas por organismos internacionais, procuram-se enumerar as vantagens e inconvenientes de uma visão holística da segurança. Estão expostos, neste capítulo, os resultados do inquérito realizado a diversas organizações em Portugal com departamentos de gestão de segurança, são enunciados os desafios e problemas de uma gestão integrada e é formulada a hipótese de existirem vantagens na convergência da segurança lógica e física.

Por último, no quarto capítulo, são apresentadas as conclusões fruto do estudo realizado no capítulo terceiro e uma reflexão geral sobre os resultados obtidos e caminhos a percorrer num futuro próximo.

(14)

14

Neste capítulo serão caracterizadas as diferentes vertentes da segurança e como surgiram no seio empresarial. Procuraremos explicar o porquê da segregação atual das disciplinas tradicionais de segurança (lógica e física) e analisar a legislação e normativos existentes.

. , "!/ %! 01 !

A Segurança Física procura apresentar medidas para controlar os acessos a edifícios,

instalações, bens ou informação em suporte físico. A deteção de intrusão, a implementação logo em projeto de estruturas preparadas para resistir a potenciais atos hostis ou a indução de comportamentos preventivos nas pessoas, são outras das atividades do quotidiano dos departamentos de segurança física (Brian T. Contos, William P. Crowell, Colby Derodeff, Dan Dunkel, Dr. Eric Cole, 2007).

Assente nos princípios de uma análise de riscos rigorosa e com a única certeza de não ser possível conceber um sistema perfeito e inviolável de segurança, importa estarmos conscientes dos riscos que são passíveis de reduzir (não se podem eliminar totalmente), os que se podem transferir e aqueles a assumir, uma vez serem estes últimos de baixo índice de probabilidade de ocorrência ou onde a adoção de fortes medidas de segurança tem um custo/benefício incomportável (Tyson D., 2007).

Fundamentalmente, a segurança física procura, através de um conjunto de metodologias, responder à matriz de riscos pré-estabelecida com o objetivo de:

• Dissuadir; • Retardar;

• Detetar e Responder;

a intrusões e outros ataques, frustrando os atacantes e procurando que os meios por estes usados não justifiquem o proveito a obter.

(15)

15

Na conceção Anglo-Saxónica, a segurança física subdivide-se em duas grandes vertentes: • Safety (relacionada com a proteção das pessoas);

• Security (relacionada com a proteção de instalações e bens).

Olhando para trás na história, desde os dias de Sun Tzu3_{, verificamos que muitos dos princípios}

adotados em relação à análise de riscos e proteção de pessoas continuaram consistentes durante séculos até aos nossos dias da HSPD-124_{, após os atentados de 11 de Setembro de 2001 nos}

Estados Unidos. Por outro lado, os dispositivos de segurança associados à proteção de instalações, sofreram ao longo da história, avanços tecnológicos muito significativos, estando hoje conectados em rede, acessíveis através da internet e com capacidades, até há uns anos atrás, dignas de filmes de ficção científica (ex: reconhecimento facial, deteção de objetos abandonados, identificação de pessoas em multidões, tudo através de complexos algoritmos de análise de vídeo) (Brian T. Contos, William P. Crowell, Colby Derodeff, Dan Dunkel, Dr. Eric Cole, 2007).

A segurança física está focada na proteção das instalações, pessoas e bens contra ameaças identificadas. Efetuar a gestão dos acessos, controlar o perímetro contra intrusões e monitorizar os circuitos de videovigilância são atividades diárias. Como forma de ilustrar, numa grande organização, apresenta-se o extrato da missão do seu Gabinete de Prevenção, Segurança e Continuidade de Negócio5 “Garantir a proteção de pessoas e bens com a promoção de

análises de risco e instalação de dispositivos, induzindo uma consciência de Segurança no Universo da CGD através do incentivo dos colaboradores para a adoção de comportamentos preventivos em matéria de safety. Estabelecimento de padrões, estratégias e políticas de segurança...”.

De uma maneira geral os departamentos de segurança física possuem orçamentos limitados, a par de pessoas com baixo nível de escolaridade e pouco treino. Ainda assim, estas pessoas trabalham arduamente e dedicadamente, cumprindo com facilidade regras mas, sem nunca conhecerem standards ou processos, benchmarking ou casos de estudo, para adicionar valor à organização. Mas uma coisa é certa, os profissionais de segurança física têm interiorizada uma

3_{The Art of War by Chinise Warlord Sun Tzu}

4_{Homeland Security Presidential Directive 12: Policy for a Common Identification Standard for Federal}

Employees and Contractors

5_{Excerto da Missão do Gabinete de Prevenção, Segurança e Continuidade de Negócio da Caixa Geral de}

(16)

16

cultura de gestão de riscos que os profissionais de segurança lógica normalmente não têm, estando estes mais familiarizados com processos (Tyson D., 2007).

Os dois “grupos” de segurança lógica ou física têm culturas diferentes e cresceram de forma diferente dentro das organizações. Como vimos anteriormente, a segurança física é uma disciplina muito antiga, como se pode perceber dos Vigiles Urbani - bombeiros e polícias da antiga Roma, enquanto a segurança lógica tem um passado mais recente com o aparecimento dos computadores. Tipicamente, os profissionais de segurança física aparecem pela necessidade de proteção da sociedade contra ameaças físicas (roubos, intrusão). Maioritariamente, estes profissionais eram oriundos de vigilantes, das forças de segurança ou do meio militar mas, com a evolução tecnológica dos sistemas de segurança a conceção das políticas e estratégias de segurança passou a assentar a sua ação sobre standards e estudos de engenharia de segurança complexos. Esta mudança de paradigma obrigou ao aparecimento de profissionais com outras qualificações e capacidade para entender os sistemas tecnológicos e equipamentos, por exemplo oriundos cada vez mais dos ramos de engenharia. (Tyson D., 2007).

A dispersão das instalações, a sua reduzida dimensão e o elevado número de pessoas que entram e saem todos os dias dos locais a controlar, potenciaram uma mudança na filosofia de segurança física e o aparecimento de novos equipamentos, cada vez mais dependentes das redes de dados das instituições. Os melhores exemplos disso são os sistemas de controlo de acessos e de videovigilância usados hoje em dia.

Não podem ser preservadas a qualidade, integridade, confidencialidade e privacidade da informação, sem primeiro garantir a segurança física e controlar os acessos aos locais onde se encontram os respetivos servidores, e vice-versa, os sistemas de controlo de acessos e videovigilância inseridos na rede de dados devem estar disponíveis e só podem ser manipulados, bem como a informação crítica a eles associada, por pessoas autorizadas, ISO/IEC 27002:2005 – Information technology – Security Techniques – Code of practice for information security management.

Globalmente os níveis de risco para as empresas e os negócios aumentaram, os departamentos de segurança física historicamente com estratégias organizadas em silos e funcionamento

stand-alone, mudaram a sua forma de atuação por via da entrada de novos profissionais dos

ramos de engenharia e por força da complexidade das instalações e sistemas de segurança a implementar (dispersão de instalações, funcionamento 24h, diferentes geografias, sistemas conectados em rede, uso de novas tecnologias IP, centros complexos de monitorização). Aos

(17)

17

novos gestores de segurança física são exigidos outros conhecimentos que vão muito para além da gestão dos vigilantes ou rotinas próprias das forças de segurança, o conhecimento do negócio, novas tecnologias e processos da organização são fundamentais (Brian T. Contos, William P. Crowell, Colby Derodeff, Dan Dunkel, Dr. Eric Cole, 2007).

Num estudo “Information security: The moving Target” (Dlamini M.T., Eloff J.H.P, Eloff M.M., 2008) realizado com o objetivo de percecionar a importância da informação de segurança publicada em revistas da especialidade e estudos do sector categorizaram-se e agruparam-se todos os artigos por vários tópicos. Da leitura do gráfico abaixo, resulta claramente que os temas mais focados são o estar compliance com o normativo e legislação vigente, seguido da gestão de risco e só em oitavo lugar aparece a segurança física.

; ; 0; 2; <; ;; ;

Figura 1 - Importância da informação de seg. publicada nos media (Dlamini M.T., Eloff J.H.P, Eloff M.M., 2008) Apesar da falta de notoriedade da segurança física evidenciada no estudo, não devemos de modo algum desvalorizar as medidas a adotar nesta disciplina de segurança. Isso mesmo refere o artigo de Dario Forte, Richard Power (2007) “Physical security: overlook it at your own

peril” acerca do “Duh” factor, ou seja, muitas vezes os profissionais concebem os sistemas

mais sofisticados e estão concentrados na calibração, nos algoritmos complexos de encriptação, em como restringir o acesso lógico à informação ou aos servidores e muitas vezes esquecem que alguém fisicamente pode simplesmente sair com a informação pela porta da frente...”Duh!!!”. N um be r of p ap er s

(18)

18

. , "!/ %! 23 . !

A Segurança Lógica surge com o aparecimento dos computadores e é uma disciplina de

segurança mais recente que a Segurança Física. Procura através de software proteger os sistemas informáticos, através da identificação do utilizador e a sua password de acesso, autenticação, permissão e níveis de acesso. Estas medidas asseguram que somente utilizadores autorizados podem aceder à informação de um computador ou de uma rede.

Segurança Lógica é também o nome da empresa de formação de Shon Harris, reconhecida autora e formadora CISSP (Certified Information Systems Security Professional).

À semelhança dos sistemas de segurança física, não existe a segurança lógica perfeita e infalível (Silva P. Tavares, Carvalho H., Torres C. Botelho, 2003), importa pois criar os mecanismos mais ou menos complexos, proporcionais às ameaças existentes em cada momento e ao tipo de dados a proteger, que vão desde:

- tradicional username and password;

- sistemas biométricos de reconhecimento (ex: impressão digital, íris, palma da mão); - autenticação de duas vias, pela password encriptada enviada e pelo reconhecimento da rede;

- autenticação por token (sistema de chave aleatória); - combinação de várias das possibilidades anteriores.

Um exemplo de um protocolo de autenticação de duas vias é o Kerberus desenvolvido pelo MIT6. Numa clara alusão ao cão de três cabeças, Cerberus, que guardava o submundo de Hades (Deus da mitologia Grega), com a letra K no início da palavra na segurança lógica, ou iniciada

por C numa empresa de segurança física, o objetivo é comum “Controlo de Acessos”.

É difícil falar de segurança lógica sem ter presente o conceito de gestão de identidades (Mehdizadeh, Y., 2004). A gestão de identidades é uma atividade core da segurança lógica e define o conjunto de processos, aplicações e contratos que constituem a governação durante todo o ciclo de vida da identidade digital do indivíduo, sistemas e serviços, assegurando dessa forma o acesso criterioso aos sistemas, aplicações e dados.

(19)

19

Assim, um sistema de gestão de identidades é constituído em traços gerais pelos seguintes elementos:

• Autenticação - verificação da identidade;

• Políticas e regras de controlo - define quem tem acesso, a que informação e em que condições;

• Repositório lógico - normalmente implementado na forma de diretório onde residem as políticas e histórico de acessos à informação;

• Auditoria e rastreabilidade - possibilidade de verificar quem, onde e quando acedeu à informação e quais as alterações produzidas.

Ao contrário da segurança física, disciplina muito antiga e bem percecionada pela sociedade ao longo dos tempos, pois todos compreendem relativamente bem a necessidade em fechar as portas e janelas para evitar intrusões, a segurança lógica é relativamente recente surgindo nos últimos 100 anos com o desenvolvimento dos computadores que contam somente com uma geração (Tyson D., 2007).

Normalmente associada as áreas de IT (Information Technology), a segurança lógica procura assegurar a (Amaral, P. Cardoso, 2008):

• confidencialidade, • integridade e

• disponibilidade dos dados e acessos.

Como forma de ilustrar, numa grande organização, apresenta-se o extrato da missão da área de IT responsável pela segurança lógica o Processo de Segurança de Informação (PSI) “ Promover a preservação da qualidade, integridade, confidencialidade, privacidade e acessibilidade da informação do Grupo CGD de acordo com os requisitos de negócio, técnicos e de compliance”.

De uma maneira geral os departamentos de segurança lógica estão inseridos nas áreas de IT das organizações (Tyson D., 2007). Possuem por essa via orçamentos de valores substancialmente mais elevados quando comparados com a segurança física.

Os profissionais afetos a estas matérias são na sua maioria oriundos das funções de programação, especialistas de software ou de hardware e estão muito orientados por standards para os processos e para o negócio das organizações. Estes profissionais possuem em média um

(20)

20

nível de escolaridade superior quando comparados com os seus pares da segurança física e contrariamente a estes últimos, não interiorizam uma cultura de risco, mas percecionam a segurança como um processo pois é um conceito fundamental e de base ao ambiente tecnológico onde se desenvolve todo o seu trabalho.

Até á cerca de uma década atrás ambas as disciplinas de segurança lógica e física pareciam coexistir em dois mundos com realidades distintas e separados como se inseridos em dois silos verticais. Tipicamente os profissionais de segurança física faziam uso do computador como qualquer outro utilizador da organização e os elementos da segurança lógica não se preocupavam com os sistemas de segurança física.

Este paradigma mudou com a introdução de novas tecnologias, os equipamentos de segurança física são agora conectados em redes IP e esses sistemas são monitorizados por software dedicado. Bons exemplos disso são os sistemas de controlo de acessos e de videovigilância. Esta evolução por via dos sistemas e equipamentos veio criar também oportunidades de negócio nos fabricantes tradicionais de soluções de IT. Passaram a disponibilizar câmaras de videovigilância conectadas por IP, software para monitorização de alarmes e visualização de imagens, videogravadores com armazenamento de imagens em disco rígido e com todas as vantagens inerentes à recolha das imagens de forma centralizada e remota, entre outras soluções no âmbito do controlo de acessos.

Ainda que com menor penetração nas áreas de IT, os fabricantes de equipamentos de segurança física foram forçados a melhorar os seus produtos e conceber soluções mais avançadas de acordo com as normas e requisitos das áreas tecnológicas (Tyson D., 2007).

Os profissionais de segurança lógica passam a olhar para a segurança física de outra forma, pois a colocação de equipamentos na sua infraestrutura obriga-os a lidar com outro tipo de problemas. Como alocar largura de banda para a transmissão de imagens na rede existente e sem custos acrescidos, ou será melhor criar uma rede dedicada para esse fim com os custos dai inerentes?; a fraca robustez do ponto de vista de solução informática das novas soluções disponibilizadas pelos fabricantes de segurança física e a dificuldade de todos falarem a mesma linguagem, são agora problemas a ultrapassar que antes não existiam.

Estas mudanças obrigam forçosamente a uma aproximação maior dos profissionais de ambas as disciplinas de segurança, ao estabelecimento de novas plataformas de entendimento e de adoção de uma “linguagem comum”, bem como a um ajustamento no mercado de soluções pela

(21)

21

incorporação de programadores de software nas empresas fabricantes de equipamentos de segurança física e vice-versa nos fabricantes de segurança lógica.

A “aldeia global” onde vivemos, termo usado pela primeira vez em 1960, designada nos dias de hoje por “globalização”, a expansão da internet, a utilização de canais não presenciais pelas instituições financeiras (canais eletrónicos) e a consequente disponibilização de serviços e informação, 24 horas por dia, 7 dias por semana, acessíveis de qualquer ponto do globo, veio criar dificuldades acrescidas às equipas de segurança lógica.

Toda esta nova dinâmica veio forçar, como já referido anteriormente, ao aparecimento de profissionais oriundos das áreas de engenharia na segurança física por forma a lidar com estas novas tecnologias, mas sobretudo para se constituírem como interlocutores válidos com as áreas de segurança lógica e os departamentos de IT das organizações.

Esta acessibilidade e facilidade de utilização dos novos sistemas, não veio somente proporcionar benefícios, a par dos novos problemas de gestão nas redes de IT, surgiram oportunidades para o desenvolvimento de novos tipos de ataques por redes criminosas e de difícil deteção. Basta pensarmos nos sítios de banca online disponibilizados pela generalidade das Instituições de Crédito, onde os ataques se sucedem e são de difícil deteção e identificação dos autores, com o objetivo de obtenção de benefícios monetários, com quantias anuais roubadas de montantes muito superiores aos roubos físicos por assaltos a bancos (Caixa Geral de Depósitos, 2008).

Facilmente se depreenderá a razão pela qual os investimentos em sistemas nas áreas de segurança lógica são muito superiores aos realizados com equipamentos de segurança física, existindo inclusivamente normas e estratégias globais e governamentais na proteção do Cyberespaço7 (ex: National Strategy to Secure Cyberspace do governo americano).

Muitos governos percebem a importância da adoção de uma estratégia global de proteção do Cyberespaço, pois os ataques não escolhem somente uma das dimensões da segurança, lógica ou física, atravessam as duas sem qualquer distinção. Um bom exemplo disso são os ataques à Estónia em 2007 (www.bbc.co.uk “Estónia acusa Rússia de ataque cibernético ao país”) que quase paralisaram o país não só do ponto de vista lógico com vários sítios governamentais e serviços públicos fora de serviço, mas também físicos como por exemplo a indisponibilidade de levantamentos nas caixas multibanco - importa referir que na Estónia quase todos os serviços

7_{O Cyberespaço é definido pelo Departamento de Ciência e Informação como um mundo virtual porque está}

(22)

22

estão ligados à internet. Este foi considerado o primeiro ataque de grandes proporções a um estado.

Ao contrário da segurança física, a segurança lógica é hoje mais percecionada. No estudo “Information security: The moving Target” (Dlamini M.T., Eloff J.H.P, Eloff M.M., 2008) (ver Figura 1 da pág. 17 deste documento) para percecionar a importância da informação de segurança publicada em revistas e jornais, da leitura do gráfico resulta claramente que os temas da segurança lógica merecem maior destaque (ex: Network Security, Software Security).

4' "5 , 6 - !

. " . ! %& ' ! #, ! 27

Os profissionais ligados às duas disciplinas de segurança, lógica e física, têm uma formação de base diferente, no primeiro caso são licenciados e provenientes das áreas de IT (programadores, especialistas de software ou hardware), enquanto os seus pares da segurança física eram vigilantes com um nível de escolaridade baixa, ou elementos oriundos das forças militares ou de segurança (Tyson D., 2007).

Quando surgiu a disciplina de segurança lógica, já há muito nas organizações existia a física, esta última associada à proteção de pessoas e bens, nomeadamente às funções de vigilância e controlo de acessos. A lógica surge com o aparecimento dos computadores e a necessidade em definir acessos à informação neles contidos.

Durante várias décadas as duas disciplinas não se “tocam” dentro das organizações, uma concentrada no controlo de acessos físico em nada se relaciona com a outra muito ligada aos processos de negócio e por isso na maioria das vezes inserida nas áreas de IT.

A mudança de paradigma dá-se, como já se referiu anteriormente, quando por força da evolução tecnológica os equipamentos de segurança física passam a estar ligados nas redes IP geridas pela segurança lógica. Esta alteração cria oportunidades de negócio nos fabricantes tradicionais de equipamentos de ambas as disciplinas e potencia o aparecimento de novos gestores ligados à segurança física oriundos das áreas de engenharia.

Apesar desta maior interação entre as duas disciplinas por via dos equipamentos, a verdade é que historicamente estão separadas e assim permaneceram na maioria das organizações.

Os profissionais de ambas as áreas continuam a funcionar numa lógica de colaboração, mas em dois mundos distintos e sem perceber alguns dos problemas do outro (Huntington G., 2009).

(23)

23

Enquanto uns trabalham num registo CID (Confidencialidade, Integridade e Disponibilidade) os profissionais de segurança física operam noutro registo de DIC (Disponibilidade, Integridade e Confidencialidade). Pelas razões apontadas, ambos têm dificuldade em percecionar as tarefas dos outros, os colaboradores afetos à segurança lógica não percebem:

- O acesso a uma porta tem de estar sempre disponível. Não podemos esperar que o help desk resolva o problema;

- O acesso físico é diferenciado por tipo de zona e horário, enquanto o acesso às aplicações é feito a qualquer hora;

- A complexidade de tipos de acesso físico existente é mal percecionada (visitantes, empregados, manutenção, visitantes permanentes, prestadores de serviços, entre outros);

- Habituados à segregação de funções, sabem muito pouco sobre essas matérias afetas à segurança física;

- Normalmente lidam com os profissionais de topo da organização, ou os decisores do negócio e não entendem as dificuldades da segurança física que normalmente está inserida em áreas de manutenção;

- A diversidade de sistemas de segurança física instalados de forma localizada em cada edifício pode obrigar a diferentes cartões de acesso e isso não é prático e entendível pela segurança lógica.

Por outro lado, os profissionais de segurança física também têm dificuldades em perceber (Huntington G., 2009):

- Normalmente a segurança física está sempre em conhecimento no fim do email e o utilizador já está dentro das instalações sem lhe ter sido atribuído um cartão;

- Comunicação deficiente quando termina um acesso lógico e o colaborador continua com o acesso físico, ou vice-versa;

- No processo de gestão de identidades não são tidos em linha de conta o acesso físico do utilizador;

- A gestão das redes informáticas e como comunicar com os profissionais de segurança lógica numa linguagem comum;

Apesar de eventuais diferenças de “cultura organizativa”, os profissionais de ambas as áreas conhecem a linguagem comum do risco.

(24)

24

. , "!/ %! - ! / 0' "( !%&'

A Segurança da Informação está relacionada com a proteção da informação, seja ela física ou lógica, contra uso indevido, acessos não autorizados, alterações, destruição, ou outras formas de manipulação não autorizada.

O presente documento, pretende tratar a segurança lógica não do ponto de vista restrito de gestão de acessos e autenticação ou proteção contra vírus informáticos, mas de forma mais abrangente no âmbito do conceito de segurança de informação. Assim, quando o título da dissertação fala na “Gestão Integrada da Segurança Lógica e Física” deve ser entendido como a gestão holística da segurança de informação, das atividades relacionadas com a segurança física e planos de continuidade de negócio.

Normalmente associada as áreas de IT, a segurança de informação, à semelhança da segurança lógica procura assegurar no plano físico e lógico a:

• confidencialidade, • integridade e

• disponibilidade da informação.

Hoje em dia, em qualquer organização, seja ela governamental, militar, financeira, privada ou pública, são arquivados em discos de grande capacidade, grande quantidade de informação sobre os colaboradores, produtos, desenvolvimento de soluções, campanhas publicitárias, estratégias empresariais, para não falar das contas bancárias dos clientes nas instituições financeiras. Esta informação pode ser impressa em suporte físico, pode ser transmitida através da rede informática ou colocada em suportes amovíveis transportáveis e ser acessível por diferentes utilizadores dependendo do seu grau de privilégios.

Para cada indivíduo a segurança de informação é uma matéria que tem um impacto signifi-cativo na privacidade. No caso das empresas pode significar o acesso por parte da concorrência a informação confidencial (ex: nova linha de produtos ou estratégia comercial), constituindo por vezes um problema legal e/ou ético.

Ao longo da história foram vários os métodos usados para comunicar de forma encriptada, mensagens com compreensão apenas pelos destinatários. Esta técnica designada por

(25)

25

criptografia (Fred C., 1995) tem origem nas palavras gregas Kryptó, que significa “escondido” e Gráfo, cujo significado é “para escrever”. A junção das duas palavras dá “escrita escondida”. É atribuída a Júlio César (Imperador Romano) a invenção da “Cifra de César” em 50 a.C. que consiste na substituição das letras numa palavra por outras do alfabeto numa ordem pré-estabelecida (ex: com avanço de três posições a letra “A” seria substituída pela letra “D”). Outros avanços foram sendo concebidos ao longo da história como por exemplo a Máquina de Disco Cifrada de Jefferson ou a Enigma Machine usada pelos alemães na segunda guerra mundial.

Nos dias de hoje as técnicas de encriptação são altamente sofisticadas, desde os telemóveis, tablets, ou os algoritmos complexos usados nos computadores, pois a informação a proteger está sujeita a maiores riscos. As histórias de espionagem industrial e contraespionagem fazem parte do quotidiano, são por vezes tornados públicos alguns casos, como por exemplo a espionagem económica levada a cabo pelos serviços de informações franceses à IBM colocando informação confidencial nas mãos da concorrente Bull, ou no ramos automóvel entre a Ferrari e a MacLaren, ou por último o caso de sedução de uma empregada de uma empresa de alta tecnologia americana concorrente para a obtenção dos planos de um circuito integrado que viriam a ser fornecidos à Siemens a (Amaral, P. Cardoso, 2008).

Por essa razão, a segurança da informação assume dentro das organizações um papel determinante, levando o autor do livro “TOP SECRET” a propor a criação de um Serviço de Informações e Intelligence dentro da cadeia de valor das empresas.

Nos anos 80, 90 em Portugal, assistimos a um massivo downsizing, que deu lugar ao recurso ao outsourcing. Os baixos salários que recebem, o elevado conhecimento que adquiriram dos processos de negócio e o acesso a informação crítica das instituições para quem prestam serviços, aconselham que os aspetos de segurança dos sistemas de informação sejam alvo de especial atenção.

No estudo “Information security: The moving Target” (Dlamini M.T., Eloff J.H.P, Eloff M.M., 2008) (ver figura 1 da página 17 deste documento) para percecionar a importância da informa-ção de segurança publicada em revistas e jornais, da leitura do gráfico resulta claramente o destaque atribuído hoje em dia aos sistemas de informação (ex: Infosec Management - Information Security Management). Outro aspeto a ter em conta na segurança de informação, para além da Confidencialidade, Integridade e Disponibilidade da informação é a garantia de

(26)

26

não repúdio, ou seja uma das partes envolvidas não pode legalmente recusar a autenticidade de uma transação ou envio/receção de uma informação (particularmente usado na banca online nas transações eletrónicas). Isso mesmo confirma também o estudo da página 17 deste documento, onde se evidencia a importância das questões de compliance e de legislação (Legal/Regulatory Compliance).

Num estudo realizado pelo SANS Institute InfoSec Reading Room (Mehdizadeh, Y., 2004)

(empresa americana reconhecida mundialmente pela formação na área de segurança da informação) com a colaboração do CSI8/FBI, vem confirmar que o elemento mais crítico na segurança nos próximos anos vai ser a proteção de dados, ou seja a segurança da informação. Importa no entanto perceber quais os acontecimentos mais recentes que constituíram os grandes pontos de viragem que vieram questionar os métodos até agora adotados pela segurança lógica e física, dão-se em primeiro lugar com o 11 de Setembro de 2001, onde o acontecimento menos provável e de maior impacto se torna numa realidade. O segundo, do foro legislativo, ocorre com a imposição em determinados sectores de atividade, de controlos mais apertados para a mitigação do risco, garantia de integridade da informação, data recovery e continuidade do negócio. Por último, talvez o menos dramático, mas ao mesmo tempo o evento com maior expansão nos últimos três anos, é o fenómeno de “engenharia social”. Escondendo-se atrás do anonimato, trabalhando à distância (no ciberespaço cada vez mais virtual), sem deixar rasto e atuando em diferentes países, exploram a uma velocidade surpreendente as vulnerabilidades, que quer as áreas de segurança lógica, quer as físicas têm dificuldades em detetar (Tyson D., 2007).

A abordagem da segurança da informação nos nossos dias obriga à adoção de uma estratégia de governação assente em standards, legislação e compliance, políticas de gestão de risco bem definidas, soluções de disaster recovery, gestão da continuidade de negócio e uma visão multidisciplinar da segurança.

Esta abordagem agora descrita aponta, como veremos mais adiante, no caminho do conceito de Gestão Integrada do Risco numa organização ao nível de topo, C-level, ou seja na cadeia de valor do negócio diretamente dependente do CEO da empresa (usualmente estes executivos são designados por Chief Security Office - CSO) (Slater D., 2009).

(27)

27

8 42!/ ' -

' / # / , - ! - - ' / . 3 '

Qualquer organização que quer continuar a operar num determinado sector de atividade deve preparar os seus planos de resposta a incidentes. Esses incidentes podem ser de maior ou menor gravidade e afetar parcialmente o negócio, mas também podem comprometer toda a organização se não houver uma resposta previamente preparada.

O despertar de consciências para esta realidade dá-se com maior ênfase com os acontecimentos de 11 de Setembro de 2001, onde as empresas mais resilientes e minimamente preparadas com os seus planos de resposta a incidentes e continuidade de negócio conseguiram reestabelecer a atividade num curto espaço de tempo. Ao contrário, muitas empresas afetadas simplesmente desapareceram.

No BC CLUB de 16 de Março de 2011 (Business Continuity Club, fórum de discussão promovido pela consultora internacional KPMG) e num seminário, em 28 de Fevereiro de 2012, organizado pela mesma empresa subordinado ao tema “Proteção das Infraestruturas Críticas Nacionais” (apresentação da Engª Cristina Alberto)” foi apresentado o gráfico da página seguinte, introduzindo o conceito de resiliência e ilustrando de forma clara, a reação a um incidente quando existem planos de resposta adequados e sem a existência desses mesmos planos. A “Resiliência” no sentido figurado é a capacidade de superar, de recuperar das adversidades. No sentido físico é a capacidade de um corpo recuperar a sua forma original após sofrer um choque ou deformação.

(28)

28

Num estudo realizado em 2011 em Portugal pela KPMG sobre resiliência das empresas e existência de PCN9, verifica-se uma preocupação sobre os sistemas de informação (em alinhamento com as conclusões da figura 1 apresentada na página 17 deste documento) e ainda falta de preparação para a gestão de riscos (conclusões abaixo).

Figura 3 – Principais riscos reconhecidos pelos participantes (KPMG,2011)

(29)

29

Como se verifica da figura 3 acima, o absentismo de colaboradores é uma preocupação, uma vez que nos Planos de Continuidade de Negócio os recursos humanos identificados como críticos são cruciais para a execução de rotinas de recuperação de negócio.

Figura 4 – Reconhecimento do grau de resiliência (KPMG,2011)

Importa assim definir e manter atualizados segundo a ISO 22301:2012 – Business Continuity Management:

- Processos críticos para o negócio;

- Pessoas críticas a executar esses processos; - Cenários de incidentes mais prováveis;

- Equipas para declaração e responsáveis pela gestão dos incidentes; - Documentar de forma clara todos os pontos anteriores;

- Comunicar os planos a toda a empresa; - Realizar simulacros.

Surge então a questão, dentro de uma organização onde colocar a equipa responsável pela gestão dos Planos de Continuidade de Negócio (PCN)? Por um lado podem facilmente integrar o departamento de Segurança Física, pois esta área estará mais familiarizada com os planos de

(30)

30

resposta a incidentes. Por outro lado, a sua colocação nos departamentos de IT, muito ligados aos processos de negócio, familiarizados com os planos de disaster recovery e com a função da segurança de informação, seria outra possibilidade.

Ao contrário do que a maioria das pessoas seriam levadas a pensar, a gestão do PCN não é preferencialmente integrada nos departamentos de IT das organizações, segundo a EVERIS (consultora internacional) tomando por exemplos de referência entidades do sector financeiro a nível nacional e internacional:

- a opção recai em 31% sobre a integração em outras estruturas existentes;

- em 11% dos casos faz parte dos sistemas de informação ou departamentos de IT. Os PCN devem dar respostas claras às seguintes questões dentro da organização, segundo a ISO 22301:2012 – Business Continuity Management :

- Quais as áreas do meu negócio a recuperar primeiro?

- Em quanto tempo devo recuperar sem grandes impactos negativos? - Quais os recursos a afetar em caso de desastre?

- Como articular com os planos de Disaster Recovery? - De onde recupero? Tenho instalações alternativas?

Por tudo o que foi mencionado anteriormente, a gestão dos PCN é uma matéria com estreita ligação às áreas de Segurança Física e Lógica.

9 / 5 , !- "!( / #' 2 . !2

9 / ' "( ! # ' / ! ' / !2

De acordo com o enquadramento efetuado neste capítulo, existem diversos diplomas relativos a cada disciplina:

- Segurança Física;

- Segurança Lógica e da Informação; - Planos de Continuidade de Negócio.

(31)

31

O Decreto-Lei (DL-35/2004, 2004) que regula a atividade de segurança privada, recentemente substituído pela Lei (Lei-34/2013, 2013), associado à segurança física, vem estabelecer a fronteira entre a atuação das forças de segurança pública e as atividades que podem ser desenvolvidas por empresas privadas. Está muito centrado na regulação das atividades de transporte de valores, vigilância, centrais de receção de alarmes e segurança pessoal. Não procurava, como acontece em outros países estabelecer mínimos de segurança, ou mesmo diretrizes no sentido de uniformização de regras na organização e gestão da segurança no domínio das empresas. Esta nova Lei já mais interventiva vem introduzir mínimos de segurança em alguns sectores de atividade (ex: banca) e obrigar à existência de uma estrutura de governação de segurança dentro das organizações.

Desde a publicação do primeiro diploma sobre esta matéria, as sucessivas atualizações que conduziram à presente Lei em vigor deveram-se sobretudo a pressões sectoriais, ou acontecimentos de âmbito nacional que assim o impuseram. A título de exemplo as alterações quando da Expo 98 no controlo de acessos, a criação dos vigilantes de campo no Euro 2004 e a elaboração de projetos e instalação de equipamentos por projetistas e instaladores sem formação específica em segurança.

Ainda ligado à Segurança Física existe o Decreto de Lei (DL-220/2008, 2008) Regime Jurídico da Segurança Contra Incêndio em Edifícios, este com regras bem definidas, diretrizes objetivas na organização da segurança contra incêndios e qualificação e certificação de empresas de projeto e instaladoras.

No campo da Segurança Lógica destacam-se a Lei (Lei-109/2009, 2009) do Cibercrime e o Decreto de Lei (Dl-122/2000, 2000) sobre o Regime de Proteção Jurídica das Bases de Dados. Não está no âmbito deste trabalho um aprofundamento exaustivo sobre os vários diplomas. A Lei da Proteção de Dados Pessoais (Lei-67/98, 1998) é comum a ambas as disciplinas de segurança e tem o objetivo da proteção da privacidade relativamente à recolha e tratamento de dados pessoais, quer sejam imagens ou outros dados informáticos.

No tocante ao PCN foi criado o Decreto de Lei (DL-62/2011, 2011) cujo acompanhamento competia ao extinto CNPCE10, recentemente integradas as atribuições na ANPC11. No antigo sítio na internet do CNPCE podemos verificar a motivação e a abordagem estabelecida

10_{Conselho Nacional de Planeamento Civil de Emergência} 11_{Autoridade Nacional de Proteção Civil}

(32)

32

“A nova face do terror revelada por eventos sucessivos como o 11SET2001 (Torres Gémeas), 11MAR2004 (Madrid) e 07JUL2005 (Londres) veio trazer uma nova dimensão ao conceito de Proteção de Infraestruturas Críticas (PIC). Entretanto, os efeitos de catástrofes naturais como o furacão Katrina (23AGO2005), o tsunami do Oceano Índico (26DEZ2006), e, mais re-centemente, os sismos de Sichuan/China (12MAI2008) e de L’Aquilla/Itália (06ABR2009) definitivamente demonstraram que as consequências da disrupção de infraestruturas críticas (ICs) são independentes do agente disruptor, facto pelo qual a abordagem da sua proteção deve ser holística, considerando todas as ameaças plausíveis de afetar as ICs, independentemente da sua natureza.”

O Decreto de Lei (DL-62/2011, 2011) é pouco abrangente, identificando como infraestruturas críticas um conjunto restrito de sectores (redes de produção e transporte de energia e transportes). Por esse motivo existem regras sectoriais definidas pelas próprias entidades reguladoras, como seja o BdP12 através da Carta Circular (Carta Circular-75/2010/DSB, 2010) com as Recomendações Prudenciais sobre Gestão da Continuidade do Negócio para o sector financeiro em estrito alinhamento com a British Standard (BS25999:2006, 2006) - Business

continuity management.

9 / ' "( !

'

*" #

#!/ -

!"-Na ausência de normativo específico com as melhores práticas ou que definam as diretrizes mínimas de base à organização de um modelo de gestão da Segurança Física, as empresas do sector procuram certificar-se maioritariamente na ISO (ISO 9001:2008, 2008) - Sistema de Gestão da Qualidade.

Já no que respeita à Segurança Lógica e de Informação existe um referencial internacional, ISO (ISO/IEC 27002:2005, 2005) - Information technology - Security techniques - Code of practice for information security management.

O mesmo acontece em relação ao PCN, em que se esperava a publicação de uma norma ISO, mas era tido como referência British Standard (BS25999:2006, 2006) - Business continuity

management. Já em 2013 é então publicada a ISO equivalentes (ISO 22301:2012, 2012) Societal security – Business continuity management systems – requirements

(33)

33

Constitui uma nova abordagem de grande relevância a ISO (ISO 31000:2009, 2009) Risk

management – Principles and guidelines, adotando o conceito de Gestão de Risco numa perspetiva transversal a toda a empresa, incorporando esse processo na cadeia de valor (Enterprise Risk Management). Não se conhecem em Portugal empresas certificadas nesta norma, tendo o Grupo Enel (operador Italiano do sector energético) enveredado por esse caminho em 2009, a título de exemplo.

Caso Estudo do Grupo Enel:

Em 2009 a Enel centralizou a responsabilidade pela gestão de risco de todo o Grupo num único departamento, com o objetivo de:

“assegurar à Gestão de Topo a implementação e controlo dos processos de gestão de risco do Grupo Enel incluindo todos os riscos financeiros, operacionais de negócio e outros tipos de risco”.

Em 2010 a Enel lançou o projeto de Enterprise Risk Management (ISO 31000:2009)

com o objetivo de obter uma análise de risco completa, uniforme e multifacetada – tipo de risco / empresa / direção / entidade legal / dono do risco / controlos – para todo o grupo.

Esta abordagem permite ao Grupo Enel a implementação de estratégias de mitigação de risco mais eficazes e a gestão de risco tornar-se-á um instrumento estratégico adicional, sólido e útil no desenvolvimento de estratégias de longo prazo e na prevenção de eventos inesperados com impacto significativo nos resultados da Empresa.

A Gestão de Crise da Enel foi testada em 2009, através de 2 simulacros:-“Apagão devido a más condições meteorológicas” (10 Fevereiro);-“ Emergência Nuclear” (21 Outubro);A Enel participou também ativamente na resposta de emergência decorrente do terramoto em Abruzzoa 6 de Abril de 2009, através do seu representante no Comité Operacional da Proteção Civil.

(34)

34

A visão holística da segurança dada pela AESRM13 refere-se à convergência de duas funções distintas da segurança dentro de uma instituição – segurança física e segurança da informação – fazendo parte integrante do programa global de gestão de riscos (Enterprise Risk Management – ERM).

Vão persistindo barreiras dentro das organizações na adoção desta visão, contudo cada vez mais e de forma gradual este estabelecimento de uma nova ordem para a gestão global dos riscos vai ganhando suporte (Tyson D., 2007).

Como escreve Lew McCreary (McCreary L., 2004) na CSO Magazine, apesar de reconhecer o erro de qualquer função da segurança funcionar de forma isolada, a convergência não poderá surgir repentinamente “Indeed, considering IT or any kind of security in isolation from the rest is a serious misunderstanding of the larger purposes of security as a broad strategic activity. In our view, convergence can´t come soon enough”.

De igual forma no seu artigo Caroline Ramsey Hamilton (Hamilton C. R., 2008) defende a convergência da segurança física e da informação “There are several reasons for this convergence between information security and physical security. One of the primary reasons is because physical security elements have become increasingly computerized and networked”. Como será abordado no ponto abaixo, existe a nível internacional o reconhecimento dos benefícios de uma visão holística da segurança, sendo exemplo disso a Alliance for Enterprise Security Risk Management (AESRM), cuja missão assenta nesta convergência das diferentes funções da segurança numa abordagem mais abrangente de acordo com a norma ISO (ISO 31000:2009, 2009) Risk management – Principles and guidelines - conceito de Gestão de Risco numa perspetiva transversal a toda a empresa, incorporando esse processo na cadeia de valor (Enterprise Risk Management).

13 _{Alliance for Enterprise Security Risk Management – associação formada pela}_{cooperação do International}

Systems Security Association (ISSA), do Information Systems Audit and Control Association (ISACA), e da American Society for Industrial Security (ASIS International)

(35)

35

/ 5 , !- "!( / #' / # "/ ! ' / !2

Esta nova abordagem de gestão global de riscos, de acordo com a ISO (ISO 31000:2009, 2009), não só na ótica da segurança física ou lógica, mas associa também as componentes de continuidade de negócio, disaster recovery, safety e gestão de crise, deixa de ser só um problema das áreas que lidam com estas matérias e passa a ser uma preocupação transversal a toda a empresa, contribuindo para a melhoria dos processos de negócio.

Se a gestão de risco da empresa for olhada numa perspetiva holística onde se identificam as ameaças potenciais e o seu impacto no negócio, estaremos perante a implementação de estratégias de mitigação do risco mais eficazes, com resultados de longo prazo na prevenção e impactos menos significativos na eventual ocorrência de um incidente - ou seja mais resilientes. O debate sobre esta visão holística resultante da convergência das várias disciplinas de segurança, mas indo mais além, procurando a integração na cadeia de valor da empresa de uma cultura de gestão de risco dotando-a dos planos de continuidade de negócio e disaster recovery que respondam em situação de emergência, faz-se a nível mundial. Vários exemplos são o fórum EFITEC14 que vem debatendo o tema desde 2010 e na sua conferência de Marbelha em 2013 é feita uma apresentação com o título “Centro Operativo de Inteligência Competitiva” (www.foroefitec.org), a KPMG através dos seus fóruns de discussão, no evento realizado em 2012 sobre “Proteção das Infraestruturas Críticas Nacionais” e a CGD que promoveu em 2011 um seminário sobre “Segurança Bancária” onde o tema foi suscitado.

Para se ter uma ideia da utilidade na adoção de uma estratégia deste nível, importa referir alguns esforços nesse sentido a nível internacional:

- Após o 11 de Setembro de 2001, o governo americano criou a diretiva Homeland Security Presidential Directive 12 (HSPD-12), para acelerar o nível de integração das áreas de segurança lógica e física na autenticação, credenciação e controlo de acessos às agências federais;

- O maior esforço e mais profícuo, advém, da criação em 2005 da Alliance for Enterprise Security Risk Management (AESRM), resultante da associação do International Systems Security Association (ISSA), do Information Systems Audit and Control Association (ISACA), ambos da área de segurança lógica, e da American Society for Industrial Security (ASIS International), esta última da área de segurança física.

(36)

36

As associações a nível mundial mais representativas dos sectores de segurança Lógica e Física debatem o tema da convergência e esta nova abordagem de gestão de risco e impulsionaram esse debate através da AERSM, sendo este o melhor exemplo da difusão das melhores práticas e de que o assunto não é de âmbito local ou sectorial.

A ASIS International e a ISACA definem convergência da segurança numa única estrutura como:

- A integração, formal, colaborativa e estratégica, da totalidade dos recursos de segurança da organização, para permitir mitigar riscos, aumentar a operacionalidade efetiva, a eficiência e reduzir custos.

A importância na adoção de uma estratégia de convergência foi reconhecida pelas duas associações e pela ISSA que uniram esforços formando a AESRM:

“The Alliance for Enterprise Security Risk Management (AESRM) was formed in February 2005 by ASIS International, ISACA and the Information Systems Security Association (ISSA) to accelerate the adoption of converged approaches for enterprise security risk management.”

(37)

37

Do sítio da internet da AESRM resulta:

“The need for the alliance is predicated on the significant increase and complexity of security-related risks to international commerce from terrorism, cyber attacks, Internet viruses, theft, fraud, extortion and other threats that require corporations to develop a more comprehensive

approach to protect the enterprise. That approach often features convergence, a holistic view of security that takes an integrated approach to information and traditional security. It ensures

that all functions within the enterprise work together to identify and mitigate risks, and to

effectively manage security-related incidents to reduce a potential negative impact on people, profitability and property.”

The objectives of the alliance are to:

1. Develop adaptive risk models that embody interdisciplinary, enterprise wide security risks 2. Increase understanding among executive management concerning the critical importance of

enterprise security risk management

3. Promote consistent enterprise security risk management positions to influence policymakers 4. Contribute to the qualifications and competencies of senior executives responsible for

security risk

No diagrama seguinte podemos observar a visão holística da KPMG sobre a segurança e gestão de risco empresarial.

(38)

38

#, - ' " !2 $!-'

Da pesquisa efetuada para a realização deste trabalho, nomeadamente na base de dados b-on, livros, artigos e revistas da especialidade (ex: CSO Magazine), estudos internacionais e sítios das associações de profissionais do sector, verificou-se a inexistência de outros trabalhos em Portugal sobre o mesmo tema, quantidade reduzida de artigos e bibliografia pouco atualizada. No que respeita a estudos realizados “O Barómetro de Segurança”, questionário da PremiValor Consulting15, para medir o clima de segurança em Portugal foi o único encontrado.

A nível internacional existem diversos artigos nos sítios das associações de segurança, nas revistas da especialidade, alguns livros, bases de dados e apresentações de especialistas pertencentes ao Convergence Comittee da ASIS. Assumem maior relevância como referência para o presente trabalho os dois estudos realizados em 2011 na América do Norte (Michael A. Davis, 2011) e Europa (ASIS International European Convergence Comitee and ISAF, 2011), respetivamente, o trabalho desenvolvido pela Deloitte para a AESRM “The Convergence of Physical and Information Security in the Context of Enterprise Risk Management” e o artigo “Security Convergence and ERM – A Case for the Convergence of Corporate Physical and IT Security Management” James Willison, este último resultado da única dissertação (à qual não foi possível ter acesso) referenciada que atribuiu o grau de Mestre ao seu autor pela pesquisa no caso “Integration of Corporate Physical and IT Security” pela Universidade de Loughborough. De seguida serão apresentadas algumas citações e conclusões desses estudos e artigos mais relevantes, bem como comentários aos mesmos:

Global Risk Management Study – Accenture 2011

o “We see this holistic, integrated characteristic as critical to achieving high performance

through effective risk management”

o “Companies have increasingly initiated comprehensive enterprise risk management

programs and are more likely to have in place C-level executive oversight to ensure that risk is being managed at a more strategic level. In short, risk management capabilities are not only prevalent and a target of investments - they are also more strategic and aligned with growth strategies, and they are helping companies achieve their most important business priorities”