RESUMO
A segurança da informação tem ganhado cada vez mais importância dentro das organizações. Em um mundo voltado a tecnologia e conectividade, as informações fluem em níveis e velocidades nunca antes experimentados. Neste cenário a segurança também precisa ser ágil, precisa e eficiente. Estas características podem ser abordadas através da adoção da gestão por processos de segurança da informação. Partindo de frameworks já reconhecidos e normas internacionais, como a ABNT NBR ISO/IEC 27002, as organizações estão se organizando e evoluindo seus processos de segurança. Isso pode ser entendido quando comparamos
as pesquisas de maturidade de segurança da informação de 2012 e 2016, realizada pelo Autor. Os resultados indicam que o tema ainda é foco da área de tecnologia da informação - TI, mais está evoluindo de maneira significativa. Ainda é possível identificar que as organizações têm dificuldade em tratar um assunto com sensível quanto este. Outra conclusão importante é que o tema ainda possui campo para evoluir nas organizações, pela baixa maturidade dos processos identificada na pesquisa. Isso sugere que de fato ainda existem melhorias a serem desenvolvidas, principalmente nas questões de gestão da segurança da informação. Isso pode ser encarado como uma oportunidade, uma vez que as organizações já investem em gestão por processos em outras áreas (principalmente em processos de negócios).
Palavras-chave: Segurança da informação, Gestão por processo, Governança.
1 INTRODUÇÃO
As organizações têm evoluído suas estruturas internas a fim de desenvolver diferenciais competitivos. Esta evolução, assim como do mundo de uma forma geral, está associada ao uso de novas tecnologias, seja na elaboração de produtos, seja na operação dos negócios. Nos dias de hoje é possível identificar que o uso da Internet é um dos principais meios de comunicação, negócios e marketing. Quase sem exceção, toda organização, com ou sem fins lucrativos, possui uma página eletrônica na Internet, um endereço de correio eletrônico e por fim algum processo de negócio automatizado que recebe como entrada dados e informações da Internet.
Mas independente de como a tecnologia está sendo utilizada, a preocupação com a segurança da informação está em crescimento e se tornou pauta diária para todos, organizações e pessoas. O sentimento existente é que toda segurança é sempre insuficiente, ou seja, vive-se num sentimento eterno de insegurança. A velocidade com que as informações são geradas e trocadas está em constante aceleração, fazendo com que os seus proprietários não se atentem a questões mais específicas como confidencialidade, integridade e disponibilidade, os pilares da segurança da informação (ABNT, 2013).
Uma vez que existem normas internacionais de segurança da informação e que o mundo, pessoas e organizações, precisam cada vez mais estarem conectadas entre si, principalmente pela Internet, e com isso suas informações devem ser protegidas, como a gestão por processos pode reforçar a segurança da informação? Este trabalho busca discutir como os processos de segurança da informação existentes na norma de segurança da informação ABNT NBR ISO/IEC 27002:2013 estão evoluindo dentro das organizações.
Partindo do princípio que as informações estão cada vez mais disponíveis na Internet e que a troca destas informações é constante, a preocupação sobre a segurança da informação é vital e ao mesmo tempo deve ser realizada de forma organizada, consistente e com rápida capacidade de evolução. Em sua pesquisa sobre modelo de maturidade dos processos de segurança de informação, Johnson (2012) destaca o pouco uso de ferramentas de planejamento e gestão da segurança, o que dificulta a governança da segurança da informação.
2 A SEGURANÇA REFORÇADA PELA GESTÃO POR PROCESSOS
2.1 REFERENCIAL TEÓRICO
A segurança da informação tem sido um assunto cada vez mais discutido dentro de todas das organizações (BAARS et al., 2016), assim como nas escolas e lares. Mas a abordagem da segurança da informação ainda possui influência das ações de segurança de rede executadas pelas áreas de infraestrutura dos departamentos Tecnologia da Informação das organizações, como Johnson (2012) conclui em sua pesquisa.
A informação é considerada um ativo dentro das organizações, sendo essencial para os processos de negócios e por isso precisa ser protegida adequadamente. Ativo é qualquer coisa que tenha valor para a organização, tendo ou não referência financeira, ou seja, o ativo pode ter um valor financeiro e/ou um valor intangível para o negócio (ABNT, 2013). Ela existe nas mais diversas formas, como informação impressa, eletrônica, falada. A segurança da informação é a proteção da informação, sob os mais variados aspectos, minimizando suas vulnerabilidades e as ameaças relacionadas. Mais objetivamente, é a preservação da confidencialidade, integridade e disponibilidade da informação (ABNT, 2013).
Porém, as ameaças existem nas mais diversas formas é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema, organização ou pessoas. Um incidente é um ou uma série de eventos indesejados ou inesperados, que tenham ocorrido em um ativo da informação e que possa comprometer sua confidencialidade, integridade, disponibilidade e que esteja em desacordo com as políticas de segurança da informação da organização (ABNT, 2013).
As ações de segurança da informação são baseadas em vários tipos de métodos como controles, políticas, processos e procedimentos. A aplicação destes métodos visa mitigar os riscos aos quais a informação está exposta devido a sua natureza. Um controle também pode ser entendido como uma proteção ou contramedida (ABNT, 2013).
Cada vez mais a segurança da informação tem sido entendida como uma deficiência dentro das organizações, geralmente relacionada a riscos, ameaças, vulnerabilidades e com uma conotação negativa (BAARS et al., 2016). As primeiras abordagens de segurança foram relacionadas à segurança de redes, principalmente no início do uso da Internet. Hoje, as organizações já compreendem que a segurança saiu dos limites da Tecnologia da Informação, atingindo todo o ambiente corporativo.
É muito importante que o alinhamento de controles de uma norma dentro do ambiente corporativo precisa estar dentro do alinhamento estratégico, com entrega de valor, gestão de riscos e recursos e, principalmente, monitorada e avaliada. Estes são os princípios básicos da Governança de Tecnologia da Informação proposto pelo COBIT em sua versão 5 (ITGI, 2016). A Governança está focada no negócio da organização e como a TI - Tecnologia da Informação está suportando os processos de negócio através de processos de TI definidos. Com base nestes princípios de Governança, as organizações passaram a tratar a Tecnologia da Informação como um parceiro estratégico, com orientação ao negócio.
Vislumbrando este cenário de controle, monitoramento, avaliação de desempenho e alinhamento, é possível identificar várias iniciativas com o objetivo de prover uma estrutura que apoie a organização a realizar a Segurança da Segurança da Informação. O guia de Governança da Segurança da Informação para os Gerentes de Segurança, proposto pelo ITGI (2016), discute um modelo para esta abordagem, concluindo pela necessidade do desenvolvimento formal de uma estrutura (framework), que possa ser seguida para a implementação da Governança da Segurança da Informação. Esta estrutura formal deve contemplar a especificação de objetivos de controle documentados, assim como processos, atividades e modelos de avaliação de maturidade.
Através da análise de maturidade dos processos de segurança da informação é possível identificar pontos de melhoria nestes processos. A partir disto, desenvolver um planejamento estratégico de melhoria, estabelecendo-se o caminho para atingir novos níveis desejados de maturidade. Além disso, por ser uma abordagem processual é importante adotar os princípios de melhoria contínua propostos pela ISO 9001 (ABNT, 2015).
3 RESULTADOS
Em seu trabalho, Johnson (2012) partiu da norma internacional de segurança da informação, a ABNT NBR ISO/IEC 27002:2013, e obteve uma estrutura de processos que representa e abrange todas áreas organizacionais onde a segurança da informação se faz presente. Além disso segregou os processos em categorias, facilitando o entendimento e compreensão dos mesmos.
Os processos avaliados são listados abaixo, organizados por categoria:
Nome do Processo
POA - Planejamento, Organização e Alinhamento
POA01 - Planejamento Estratégico da Segurança da Informação
POA02 - Política de Segurança da Informação
POA03 - Organização Interna
POA04 - Organização com as Partes Externas
POA05 - Gestão de Risco
ORG - Segurança Organizacional
ORG01 - Responsabilidade pelos Ativos
ORG02 - Classificação da Informação
ORG03 - Segurança em Recursos Humanos
ORG04 - Procedimentos e Responsabilidades Operacionais
ORG05 - Troca de Informações
ORG06 - Requisitos de Negócio para Controle de Acesso
ORG07 - Responsabilidade dos Usuários
ORG08 - Requisitos de Segurança de Sistemas de Informação
FIS - Segurança Física
FIS01 - Áreas Seguras
FIS02 - Segurança em Equipamentos
TEC - Segurança Técnica
TEC01 - Gerenciamento de Serviços de Terceiros
TEC02 - Planejamento e Aceitação dos Sistemas
TEC03 - Proteção contra Códigos Maliciosos e Códigos Móveis
TEC04 - Cópias de Segurança
TEC05 - Gerenciamento da Segurança em Redes
TEC06 - Manuseio de Mídias
TEC07 - Serviços de Comércio Eletrônico
TEC08 - Gerenciamento de Acesso do Usuário
TEC09 - Controle de Acesso a Rede
TEC10 - Controle de Acesso ao Sistema Operacional
TEC11 - Controle de Acesso a aplicação e a Informação
TEC12 - Computação Movel e Trabalho Remoto
TEC13 - Processamento Correto nas Aplicações
TEC14 - Controles Criptográficos
TEC15 - Segurança dos Arquivos do Sistema
TEC16 - Segurança em Processos de Desenvolvimento e de Suporte
TEC17 - Gestão de Vulnerabilidades Técnicas
GES - Gestão da Segurança
GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação
GES02 - Gestão de Incidentes de Segurança da Informação e Melhorias
GES03 - Monitoramento de Atividades
GES04 - Aspectos da Gestão de Continuidade de Negócios em Segurança da Informação
GES05 - Conformidade com Requisitos Legais
GES06 - Conformidade com normas, políticas de Segurança da Informação e Conformidade Técnica
GES07 - Considerações quanto a Auditoria de Sistemas de Informação
Os resultados da avaliação de maturidade obtido em 2012 estão representados na figura abaixo.
Fonte: JOHNSON, 2012.
A pesquisa foi novamente realizada em 2016, utilizando as mesmas organizações, procedimentos e ferramentas. Os resultados desta nova avaliação de maturidade obtido estão representados na figura abaixo.
Fonte: JOHNSON, 2016.
Comparando os resultados entre as pesquisas é possível identificar que as organizações tiveram melhorias em seus processos de segurança da informação.
A figura abaixo representa a comparação entre as pesquisas.
Fonte: JOHNSON, 2016.
Pelos resultados é possível entender que houve uma melhora significativa em alguns processos específicos, como o ORG05 - Troca de Informações, FIS01 - Áreas Seguras, FIS02 - Segurança em Equipamentos, TEC08 - Gerenciamento de Acesso do Usuário e TEC15 - Segurança dos Arquivos do Sistema. Esses processos tiveram evolução igual ou maior que um ponto na média de maturidade. Por outro lado, os processos que menos evoluíram foram o TEC12 - Computação Movel e Trabalho Remoto, GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação e GES03 - Monitoramento de Atividades.
Em relação ao nível de maturidade, os três processos com maior nível de maturidade foram o FIS01 - Áreas Seguras (3,8), TEC08 - Gerenciamento de Acesso do Usuário (3,8) e o TEC05 - Gerenciamento da Segurança em Redes (3,5). Por outro lado, os três processos com menor nível de maturidade foram o GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação (1,4), POA01 - Planejamento Estratégico da Segurança da Informação (1,6) e o ORG01 - Responsabilidade pelos Ativos (1,6).
De maneira geral os processos de segurança da informação estão evoluindo dentro das organizações, seja mediante a melhora da visão estratégica das empresas em relação ao tema, seja pelas dificuldades enfrentadas pelas mesmas quando existe um incidente de segurança.
O processo que chamou a atenção negativamente foi o GES01 - Notificação de Fragilidades e Eventos de Segurança da Informação, pois além de ter evoluído muito pouco comparado com os demais processos, somente 0,3, ele é o processo com menor nível de maturidade. Isso pode ser explicado parcialmente pelo nível de sigilo que as organizações mantêm em relação as suas fragilidades e incidentes de segurança. Muitas vezes notificar uma fragilidade pode significar uma perda de valor na imagem corporativa ou mesmo representar um certo grau de ineficiência das equipes de segurança. Por outro lado, é justamente através da divulgação e compartilhamento dessas informações que as demais organizações podem se preparar mais e melhor, evitando o mesmo tipo de fragilidade e/ou incidente.
O processo que chamou a atenção positivamente foi o TEC08 - Gerenciamento de Acesso do Usuário, pois além de ser um dos três processos que mais evoluiu, ele também é um dos processos com maior maturidade. Em termos tecnológicos este processo representa o conceito de Gestão de Identidades (IDM – Identity Management), que nos últimos anos representou a grande maioria dos projetos de segurança da informação nas organizações. O IDM sempre foi colocado como fragilidade e as organizações investiram muito em sistemas de automação na concessão e revogação de acesso, trazendo maior controle e eficiência as equipes de segurança da informação e auditoria de TI.
3.1 CONSIDERAÇÕES FINAIS
A evolução dos processos de segurança da informação está diretamente relacionada a gestão por processos. Cada vez mais as organizações estão investindo em tecnologia, pessoas e processos. Já é possível encontrar organizações possuem programas específicos de gestão por processos, formando pessoas e buscando maior eficiência e eficácia operacional.
As áreas de tecnologia da informação também têm adotado fortemente frameworks baseados em processos, como o ITIL (ITSMF, 2016) e COBIT (ITGI, 2016). Em ambos frameworks existem processos específicos ao tratamento da segurança da informação e estão diretamente relacionados às normas internacionais de segurança, como a ABNT NBR ISO/IEC 27002:2013.
Os principais produtos e soluções de segurança da informação exigem para um desempenho adequado que as organizações possuam processos de segurança e gestão maduros. Com isso é possível prever que os níveis de maturidades dos processos estão em pleno crescimento, uns mais que os outros.
Por fim, pode-se concluir que a visão de processos está sendo adotada em toda a organização, desde as áreas mais importantes de negócio, até as áreas que atuam como suporte ao negócio, conhecidas como CSC (Centro de Serviços Compartilhados).
REFERÊNCIAS
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ABNT NBR ISO/IEC 9001:2015 - Sistemas de gestão da qualidade - Requisitos. Rio de Janeiro. ABNT, 2015.
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. ABNT NBR ISO/IEC 27002:2013 - Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2013.
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. Information Security Foundation based on ISO/IEC 27002 Courseware. Van Haren, the Netherlands, 2016.
DOMO – Domo Consulting. Disponível em <http://www.domo.com>. Acesso em: 12/10/2016.
ITGI - Information Technology Governance Institute. COBIT 5, Rolling Meadows, 2016.
ITSMF – Information Technology Service Management Forum International – ITIL. Disponível em <http://www.itsmfi.org>. Acesso em: 11/08/2016.
ISACA - Disponível em <http://www.isaca.org>. Acesso em: 12/10/2016.
JOHNSON, L.; Proposta de uma Estrutura de Análise de Maturidade dos Processos de Segurança da Informação com base na norma ABNT NBR ISO/IEC 27002:2005. Dissertação (Mestrado). Universidade Federal do Paraná, 2012.
OCDE - Organização para a Cooperação e o Desenvolvimento Econômico. Members and partners. Disponível em <http://www.oecd.org>. Acesso em: 30/09/2016.
PMI - Project Management Institute. PMBOK 5. Disponível em <http://www.pmi.org>. Acesso em: 19/09/2016.
SANTOS, A. R. dos. Metodologia Científica a construção do conhecimento. 2. ed. - Rio de Janeiro: DP&A editora, 1999.
TCU – Tribunal de Contas da União. Relatório de levantamento. Avaliação da Governança de Tecnologia da Informação na Administração Pública Federal. Constatação de Precariedades e Oportunidades de Melhoria. Determinações, Recomendações e Comunicações. Brasília, TCU, 2014.