ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO

Transcrição

1 UNIVERSIDADE CANDIDO MENDES INSTITUTO A VEZ DO MESTRE PÓS GRADUAÇÃO LATO SENSU ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO Prof. Jorge Vieira Rio Janeiro 2010

2 UNIVERSIDADE CANDIDO MENDES INSTITUTO A VEZ DO MESTRE PÓS GRADUAÇÃO LATO SENSU ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO OBJETIVOS: Trabalho apresentado para conclusão curso Gestão Empresarial, na universida Candido Mens Instituto A Vez do Mestre.

3 AGRADECIMENTOS A todo corpo docente do Institutos a Vez do Mestre.Ao professores Jorge Vieira pelas excelentes aulas marketing e ao professor pela gran força e motivação nas aulas.

4 4 DEDICATÓRIA Dedico este trabalho primeiramente a Jesus, pois sem ele nada é viável e seria muito difícil para eu superar sozinho todas as barreiras que se apresentaram e se apresentam em minha caminhada. Aos meus pais; pelo esforço e a dicação, em todos os momentos, para que eu fosse antes um profissional realizado, fosse uma pessoa bem. A todas as pessoas e tantas outras que contribuíram alguma forma para que eu chegasse até aqui os meus sinceros votos gratidão.

5 5 RESUMO Este trabalho visa gerar um estudo que apresente soluções concretas baseadas no estudo e analise do ambiente tecnologia alinhado com a gestão e mitigação dos riscos que geram impactos na organização e está dividido em partes distintas que tratam referenciais teóricos, estudo caso, molagem do processo original (as is), molagem do processo proposto (to be) e as matrizes risco e controles (as is e to be). Mapear e molar o processo interação com o ambiente tecnologia da Informação do colaborador da Alfa & Omega, intificando os riscos gerados pelos pontos falha em Segurança, propondo a utilização pacotes processos e políticas gestão norteados principalmente pelas normas apresentadas na ISO e ISO 27001: Estes processos serão baseados em análise e necessidas específicas do ambiente Tecnologia, que possam garantir à organização a mitigação e gestão do risco pelo trinômio Confincialida, Integrida e Disponibilida das informações.

6 6 METODOLOGIA Serão utilizadas técnicas molagem processos e matrizes intificação e controle riscos para a realização da analises e proposição valor. Baseado nestes dados serão propostas as políticas para a gestão do risco.este trabalho será implantado em caráter experimental no ambiente da Alfa & Omega valendo-se das entrevistas realizadas forma qualitativa juntos aos steakholrs. Os dados serão coletados a partir observações feitas no ambiente corporativo habilitado por tecnologia da Informação. Estas informações serão insumos básicos para a criação dos senhos processos e das matrizes risco.

7 7 SUMARIO INTRODUÇÃO 8 CAPITILO I CONTEXTUALIZAÇÃO DO PROBLEMA 9 CAPITULO II ANALISE E GESTÃO DE RISCO 16 CAPITULO III TERMOS E DEFINIÇÕES 21 CAPITULO IV 28 APLICAÇÃO ALFA E OMEGA A EMPRESA CONCLUSÃO 39 BIBLIOGRAFIA 42 INTRODUÇÃO

8 8 Segurança da Informação está diretamente relacionada com a proteção um conjunto dados, no sentido preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos confincialida, integrida e disponibilida não sendo esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas armazenamento. O conceito se aplica a todos os aspectos proteção informações e dados. O conceito Segurança Informática ou Segurança Computadores que será abordado neste trabalho está intimamente relacionado com o Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. O conceito Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS A série normas ISO/IEC foram reservadas para tratar padrões Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo consirada formalmente como 17799:2005 para fins históricos. Em muitos casos as medidas para mitigar riscos quebra da segurança da informação não são seguidas como veriam. É muito comum s grans empresas até pequenos usuários adquirirem equipamentos segurança, mas no futuro não se preocupam com atualizações ou até mesmo com seus mais comuns erros configurações. É imprescindível que uma empresa ou até mesmo um usuário doméstico que usa como ferramenta trabalho e/ou diversão internet tenha normas, políticas, procedimentos e ferramentas vidamente configuradas e atualizadas para a garantia da proteção das informações que possua. CAPITULO I

9 9 CONTEXTUALIZAÇÃO DO PROBLEMA A Empresa Alfa & Omega por percepção seus colaboradores, por intermédio sua Gerencia TI e sua diretoria, enten que existe atualmente na organização um ambiente salinhado com as exigências mercado frente à mitigação riscos em questões segurança da informação em níveis pessoais, gerenciais e estratégicos relacionados as praticas e operações no ambiente tecnologia da informação. É fato que este ambiente po propiciar diversos tipos incintes segurança, levando a perdas financeiras, clientes e principalmente da credibilida da organização junto a seus clientes internos e externos. Enten-se que os maiores problemas estão relacionados à falta uma política estruturada segurança da informação, implementada e divulgada forma objetiva aos colaboradores, quanto a normas apresentadas por organizações que regulamentam e certificam os níveis segurança das organizações como são a ISO e algumas sessões da ISO 27001, ambas utilizadas pontualmente como arcabouço para este trabalho 2. Molagem Processos Negócios 2.1 Introdução O Cenário econômico orientado à globalização e o foco na competitivida da empresa, vem levando as organizações a finirem seus processos como sendo um importante fator redução custos e melhoria da qualida operacional e produtiva. Esta visão faz com que as organizações entrem numa busca contínua da otimização e constante rejuvenescimento seus processos, resultando em diferenciais competitivos importantes para o posicionamento da empresa em seu mercado. O conceito BPM surgiu nos Estados Unidos como resposta a um gran vazio quando se tratava gestão processos organizacionais e interorganizacionais e a molagem processo veio agregar um conjunto práticas e soluções que promovem a integração dos processos da organização

10 10 com pessoas e sistemas ntro um fluxo contínuo e transparente informações. 2.2-Business Process Management O Business Process Management (BPM) é, em síntese, um conceito que une gestão negócio e tecnologia da informação voltado à melhoria dos processos negócio das organizações através do uso métodos, técnicas e ferramentas para molar, publicar, controlar e analisar processos operacionais envolvendo humanos, aplicações, documentos e outras fontes informação. 2.3Utilidas do BPM A utilização do BPM, ao longo dos últimos anos, vem crescendo forma bastante significativa, dada a sua utilida e rapiz com que melhora estes processos nas empresas on foi implementado. A sua perspectiva crescimento é muito gran, visto que ainda é um conceito pouco conhecido, principalmente no Brasil. O termo 'processos operacionais' se refere aos processos rotina (repetitivos) sempenhados pelas organizações no seu dia-a-dia, ao contrário 'processos cisão estratégica', os quais são sempenhados pela alta direção. O BPM difere da remolagem processos negócio, uma abordagem sobre gestão bem popular na década 90, cujo enfoque não eram as alterações revolucionárias nos processos negócio, mas a sua melhoria contínua. Adicionalmente, as ferramentas nominadas sistemas gestão processos do negócio (sistemas BPM) monitoram o andamento dos processos uma forma rápida e barata tal que os gestores possam analisar e alterar processos baseado em dados reais e não apenas por intuição. Assim, estas pessoas altos cargos que pom enxergar, por exemplo, on estão os gargalos, quem está atrasando a sua tarefa, o quanto está atrasando e com que frequência isso ocorre, o percentual processos concluídos e em andamento, entre outros. Como conseqüência disto, fatores cruciais para o

11 11 bom sempenho uma empresa pom ser analisados com extrema facilida e rapiz o que geralmente não ocorre com outras ferramentas que não o BPM. Além disso, as pessoas participantes do processo também são beneficiadas: com o BPM, elas têm o seu trabalho facilitado uma vez que recebem tarefas e vem simplesmente executá-las, sem preocupar-se com para on vem enviá-la, por exemplo, dado que o processo já foi senhado e todas as possíveis situações seguimento ste já estão registradas. Além disso, pom enxergar como foi o caminho realizado até a sua ativida e em que status está. Os softwares responsáveis pela automação stas atividas são chamados Business Process Management Suites, ou BPMS. Outra visão sobre BPM: O Business Process Management (BPM), Gestão por processos negócios, tem como objetivo prover o alinhamento dos processos negócios com a estratégia (os processos são a execução da estratégia), os objetivos e a caia valor das organizações. 2.4 O que é um Processo Negócio (Business Process)? Um processo negócio po ser caracterizado como um conjunto tarefas que envolvem pessoas e recursos para que possa se atingir um objetivo previamente traçado. Como resultado ste, é gerado um produto ou serviço que vai ao encontro dos sejos dos clientes. Muitas empresas não dão a importância vida a estes processos, o que se caracteriza em um gran erro, uma vez que estes são cruciais à sua sobrevivência. 2.5 Sistemas BPM Esta tecnologia permite analisar, senvolver, implementar e rever processos negócio garantindo o respeito a prazos e normas. Des empresas serviços até industrias petroquímicas, qualquer negócio po beneficiar com esta solução. Metodologia IBPM 2.6 O papel das pessoas no BPM Uma das vertentes do BPM, tem gran foco voltado para pessoas (humancentric), sendo estas o centro dos processos negócio. Alguns BPMS vêm

12 12 seguindo esta corrente buscando oferecer aos usuários maior facilida e flexibilida no uso, o que torna a experiência mais agradável, com ferramentas simples e intuitivas. 2.7 Automação Processos A automação processos negócio é uma prática extremamente eficaz. Quando se automatiza processos, rapidamente é possível obter-se um controle mais rígido e adaptado às necessidas da empresa. É realizada pelos BPMS (Business Process Management Suites) e têm baixo custo. Algumas empresas comercializam os suites por processos, e não pelo pacote completo, o que torna ainda mais acessível. Através da automação, um serviço melhor é oferecido ao cliente, dada a rapiz e organização que a empresa passará a apresentar. Além disso, terá seus custos reduzidos. 2.8 Molagem A molagem processos é feita no próprio BPMS. Alguns stes seguem a notação mais usada atualmente, o BPMN (Business Process Moling Notation). Esta notação trata-se uma série ícones padrões para o senho processos, o que facilita o entendimento do usuário. A molagem é uma etapa importante da automação pois é nela que os processos são scobertos e senhados. É nela também que po ser feita alguma alteração no percurso do processo visando a sua otimização. 2.9 Simulação Após o senho e o estabelecimento dos usuários responsáveis pela conclusão cada tarefa, po ser feita uma simulação, on po-se testar se as regras pré-estabelecidas estão acordo com o objetivo da empresa e se as tarefas estão sendo encaminhadas para as pessoas corretas Execução A execução do processo ocorre após as etapas anteriores já terem sido realizadas. O BPMS utilizado faz com que as tarefas sejam enviadas para os

13 13 seus vidos responsáveis, controlando o seu tempo execução por pessoa e pelo processo em geral. Pom ser utilizadas também regras negócio (Business Rules) pré-estabelecidas Controle O controle ial BPM é aquele que está presente durante todas as etapas do processo: antes, durante e pois. Des o início da molagem até a análise pós-conclusão da execução, o controle ve ser realizado. Um tipo controle que existe em alguns BPMS são relatórios fluxos em andamento, on é fornecido o status do fluxo, com quem está parado, há quanto tempo está parado, etc. Isso é importante para evitar que os erros sejam encontrados somente quando o processo é concluído. Há também relatórios fluxos concluídos, on se po ter uma noção geral como se senvolveu o processo. Alguns softwares apresentam gráficos e relatórios com bastantes talhes dos processos Otimização A otimização tem crucial importância quando se trata BPM. É essencial para que sejam feitas melhorias nos processos modo a alcançar resultados positivos mais rapidamente, melhorando o serviço aos clientes e, possivelmente, com menores custos. Depen, obviamente, das etapas anteriores, principalmente do controle, on ve haver uma busca pela perfeição. Para acompanhar a implantação um BPM poremos utilizar o BPMS (Business Process Management System) que nada mais é do que softwares que permitem a gestão dos processos. O BPMS possibilita que a organização mapeie, execute e acompanhe processos internos e externos forma automatizada após a sua molagem. O conjunto práticas e soluções que vêm acopladas ao BPM trouxe o conhecimento diversas áreas tecnologia para o mundo da automação processos; tais como: Workflow (automação dos processos)

14 14 Business Process Moling and Analysis (entendimento talhado do processo e o impacto da mudança do processo) Enterprise Application Integration (troca informações entre sistemas) Business Activity (monitoramento dos processos). Em outros tempos os Workflows eram vistos apenas pela área TI por causa da sua complexida e com isso obrigavam que as regras negócios fossem programadas ntro do próprio fluxo do workflow. Com as soluções BPM as regras negócio ficam sob o controle dos analistas processos, fazendo com que a área TI preste apenas consultoria técnica (montagem fluxos mais complexos) e suporte. O BPM é uma solução robusta e finitiva que integra todas as evoluções e conceitos da Gestão Processos. Adapta os processos negócios à tecnologia existente na empresa e ajuda aos usuários a molarem, automatizarem e gerenciarem seus próprios processos BPMS Business Process Management System Os BPMS geralmente são softwares que auxiliam na gestão (mapear, executar e acompanhar) dos processos organizacionais. Esses softwares vem ser capazes gerar grans volumes informações gerenciais sobre os processos executados na organização, possibilitando a intificação gargalos, controle sempenho e seu monitoramento, gerando integração com outros sistemas e com a administração dos processos (tempo real), permitindo que os analistas processos senhem (molem) e configurem os processos negócios via automatização processos utilizando, Workflow, EAI, BI, e outras ferramentas apoio a cisão.

15 BPMN Business Process Moling Notation BPMN é uma notação gráfica que tem por objetivo prover instrumentos para que o processo mapeamento seja realizado maneira padronizada. Deve ser capaz mapear os processos internos e externos da organização. A organização ve ser capaz atualizar seus molos acordo com suas regras e interesses sem prejudicar as especificações anteriores. O BPMN po ser traduzido para padrões técnicos processos como o BPEL que atualmente se tornou o mais popular no mercado. Para cada objeto no BPMN existe um corresponnte em BPEL ou outro código. Essa correspondência entre o padrão visual e o técnico é que irá permitir que os analistas processo molem seus processos e os analistas sistemas interajam em outras ferramentas com o mesmo molo.

16 16 CAPITULO III ANALISE DE RISCO Conforme Vesely (1984), o risco po ser entendido como o perigo, probabilida ou possibilida um infortúnio, insucesso ou resultado insejado. Já a analise e gestão do risco, segundo finição do PMI (PMBOK, 2000), po ser entendida como um processo sistemático intificar, analisar e responr aos riscos do projeto, procurando obter vantagem das oportunidas melhoria sempre que possível. De acordo com duas importantes referências a norma NBR ISO 10006:2000 e o PMBOK (PMI, 2000), a analise e gestão do risco envolve os seguintes processos: Intificação riscos: consiste na terminação quais riscos, internos externos, são mais prováveis afetar um projeto ou organização e quais são os limites aceitáveis para cada um les; Avaliação riscos: análise da probabilida ocorrência e impacto dos riscos intificados, maneira quantitativa e qualitativa; Desenvolvimento reação ao risco: vem ser criados planos contingência para os riscos intificados e avaliados, com a finalida eliminar ou minimizar os impactos causados. É necessário avaliar sempre os efeitos positivos e negativos da implementação dos planos contingência; Controle riscos: estabelecer um processo formal intificação, avaliação e senvolvimento respostas aos riscos do projeto, para que a situação dos riscos associados seja constantemente monitorada e os planos contingência estejam sempre atualizados e prontos para serem implementados. A NBR ISO 10006:2000 cita ainda que todo o processo analise e gestão do risco ve ser formalmente documentado e fazer parte das avaliações progresso do projeto ou da organização.

17 17 As normas Este capítulo aborda as normas para implantação segurança da informação numa empresa e como se dá o processo certificação empresas e pessoas nessa área. A certificação é um documento emitido por uma entida certificadora inpennte garantindo que uma dada empresa implantou corretamente todos os controles finidos na norma certificação. No caso da segurança da informação existe uma norma internacional chamada Brithish Standart 7799 (BS 7799) que foitraduzida no Brasil e nominada NBR ISO/IEC A certificação para segurança da informação é emitida após um procedimento verificação conformida das normas na empresa pela entida certificadora. A certificação faz com que a empresa certificada comprove que a segurança da informação está assegurada forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações segurança, a qual verá ser realizada por pessoal que esteja tecnicamente habilitado a verificar a capacida do sistema em termos dos requisitos segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa o zelo que estas tem com a segurança da informação, reforçando a imagem da empresa junto ao mercado. Depenndo da ativida da empresa, essa certificação po ser essencial para realização certos negócios. 3.2-Normalizações Segurança da Informação Normalizações são documentos que possuem regras que vem ser seguidas conforme scritas, visando o sucesso uma organização em terminado aspecto. No caso da gestão da segurança da informação o objetivo das normas é fornecer recomendações para serem usadas por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas empresas. As normas criadas se adaptam bem a organizações comerciais. Porém, instituições ensino, instituições públicas e outras assemelhadas pom ter

18 18 dificuldas em implantar certos controles da norma vido a seus ambientes serem diferentes dos uma empresa comercial. Apesar disso, qualquer organização po aproveitar gran parte dos controles da norma para implementar segurança da informação em suas instalações. Sabe-se que segurança total não existe, no entanto, a implantação dos controles da norma assegura um bom nível segurança sobre aspectos comohardware, software e pessoas. A implantação uma norma traz vários benefícios internos através da melhoria do gerenciamento da informação. Garante aos sócios e parceiros da empresa uma avaliação competente e imparcial sobre seu sistema segurança da informação, outra vantagem é possibilitar conformida com a legislação nacional na área segurança da informação do país origem, como, por exemplo, ajudar as organizações a cumprirem as exigências leis sobre privacida dados, além dos benefícios externos que adquire frente aos clientes. 3.3 Norma BS 7799 O Brithish Standart 7799 é uma norma segurança da informação criada na Inglaterra. Teve seu senvolvimento iniciado em Divi-se em duas partes, estando a primeira parte homologada s 2000 e, a segunda parte homologado em 2002, segundo Alberto Bastos, consirada o mais completo padrão para o gerenciamento da Segurança da informação no mundo (BASTOS, 2002). A preparação para certificação BS 7799 representa um gran passo para garantir os requisitos segurança dos ativos da informação consirados críticos para o negócio. A primeira parte da norma é composta por recomendações segurança da informação, não sendo objeto certificação. No entanto, é parte muito importante para se alcançar a certificação. Foi planejada como um documento referência para implementar "boas práticas" segurança na empresa. Na segunda parte, que é objeto certificação, é finido o escopo um Sistema gestão Segurança da informação (SGSI). Para isso ve-se fazer um mapeamento da empresa para intificar instalações e processos negócio, sejam eles sistemas, dispositivos físicos, processos e atitus comportamentais. Este trabalho é

19 19 realizado através entrevistas com gestores processos negócio da empresa. Segundo o gerente para senvolvimento novos negócios da DNV, Samuel Andra, são necessárias seis medidas para uma empresa obter certificação BS 7799 (ANDRADE, 2002): 1. Definição da política segurança informação. 2. Definição do escopo do sistema gestão segurança informação (perímetro abrangência). 3. Análise risco (intificação ameaças e vulnerabilida). 4. Gestão do risco. 5. Seleção dos controles. 6. Preparo da claração aplicabilida (quais itens da norma serão aplicáveis). 3.4 Norma NBR ISO/IEC A International Standartization Organization (ISO) trata-se uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividas comerciais, industriais, científicas e tecnológicas. O International Engineering Consortium (IEC) é uma organização voltada para o aprimoramento da indústria da informação. A associação entre as duas instituições tem produzido diversas normas e padronizações internacionais. Após anos trabalhos em torno da BS 7799, percebeu-se que ela poria atenr a organizações todo mundo e não só do Reino Unido. De fato, esta norma foi levada para apreciação da ISO/IEC que homologou um draft da norma que passou a ser nominada ISO No Brasil a norma ISO/IEC correspon basicamente à primeira parte da BS Traz consigo a experiência da prática das maiores organizações diferentes segmentos mercado. É uma padronização dos controles mínimos vendo ser implementada e gerenciada pelas empresas que consiram as suas informações como importância crítica na sua estratégia negócio.

20 20 A aplicação da análise normativa da ISO/IEC po ser aplicada a qualquer organização, não importando o segmento, tamanho ou a tecnologia utilizada na gestão do seu negócio. Já é comum a aplicação dos padrões em setores (ex: financeiro) para pois estenr a toda empresa. A norma provê padrões consistentes para as organizações avaliarem qual o nível segurança aplicado às suas regras negócio em comparação ao mercado internacional. A ISO17799 é bem abrangente, pretenndo contemplar todos os aspectos da segurança da informação. Nesse sentido, a NBR ISO/IEC divi-se em 12 capítulos ou partes (A3 SEG, 2002), cada qual abordando um aspecto da segurança da informação. Os capítulos que compõem a norma são os seguintes: 3.5 Objetivo: É essencial que uma organização intifique as suas necessidas segurança antes implantar qualquer controle. Segundo Marcos Prado, existem três fontes principais a serem analisadas: a) A primeira fonte é obtida a partir da análise risco dos ativos informação. Pela análise risco é que são intificadas as vulnerabilidas e ameaças a que a informação está sujeita, bem como a probabilida ocorrência. Com isso, po-se dimensionar o impacto quando da ocorrência ssas falhas; b) A segunda fonte é a legislação vigente, os estatutos, as regulamentações e as clausulas contratuais que a organização tem que cumprir; c) A terceira fonte é o conjunto particular princípios, objetivos e exigências para processamento da informação que uma organização tem que senvolver para apoiar suas operações. CAPITULO IV TERMOS E DEFINIÇÕES Define a segurança da informação e os termos ligados a tal processo.

21 21 4.1Política segurança: A administração ve estabelecer uma política clara e monstrar apoio e comprometimento com a segurança da informação através da finição e manutenção uma política que verá ser seguida por toda a organização. Este documento ve ser claro. Será dividido em grupos, conforme o enfoque estratégico, tático e operacional. 4.2 Segurança organizacional: Aborda a estrutura uma gerência para segurança da informação, fine as responsabilidas dos usuários pela segurança da informação, incluindo agentes externos e fornecedores serviços. 4.3 Classificação e controle dos ativos informação: Define a classificação, o registro e o controle das informações da organização. 4.4 Segurança em pessoas: Reduz os riscos falha humana, roubo, frau ou uso impróprio das instalações; assegura que os usuários, acordo com seus cargos, estejam cientes das ameaças à segurança da informação. 4.5 Segurança ambiental e física: Segurança das áreas circulação restrita e à necessida se protegerem os equipamentos e a infra estrutura um Ambiente Computacional Complexo. 4.6 Gerenciamento das operações e comunicações: Aborda as principais áreas que vem ser objeto especial atenção da segurança. Dentre estas áreas stacam-se: procedimentos operacionais e respectivas responsabilidas, homologação e implementação sistemas, gerência res, controle e prevenção vírus, controle mudanças, execução e guarda cópias segurança, controle documentação, segurança correio eletrônico etc.

22 Controle acesso: Controla o acesso a informação, prevenindo contra acesso não autorizado a sistemas, equipamentos e re; Define sistemas senhas para monitoramento acesso e uso; assegura a segurança da informação quando usada em notebooks e recursos tele-processamento. 4.8 Desenvolvimento sistemas e manutenção: Aborda os requisitos segurança dos sistemas, senvolvimento, dados e suporte, garantindo a confincialida, autenticida e integrida da informação, assegurando que projetos tecnologia da informação e suporte atividas sejam conduzidos maneira segura. 4.9 Gestão continuida do negócio: Previne para que não ocorram interrupções nas atividas e processos críticos do negócio vido às falhas e sastres, reforça a necessida se ter um plano continuida e contingência senvolvido, implementado, testado e atualizado Conformida: Evita, por parte da organização, as seguintes violações: às leis civis ou criminais; às obrigações legais ou contratuais proprieda intelectual; segurança a sistemas e informações terceiros. Também visa a maximizar a efetivida e minimizar a interferência em sistema auditagem Certificações em Empresas Segundo Alberto Bastos, sócio-fundador e diretor tecnologia Módulo, quando uma empresa certifica seu sistema Gestão Segurança da informação, está reforçando ao mercado seu compromisso com a implementação controles e sua preocupação com a proteção das informações seus clientes (BASTOS, 2002). O número empresas pelo mundo certificadas BS 7799 tem aumentado consiravelmente A constatação está presente no site da ISMS International User Group, que gerencia uma lista atualizada e completa das empresas que obtiveram tal certificado. Atualmente tal lista contempla 202 empresas do mundo. O Reino Unido é o

23 23 país com o maior número organizações certificadas (86), seguido Japão (20), Itália (11), Índia (10), Coréia (9), Alemanha (8), Finlândia (8), Singapura (7), Noruega (6), Hong Kong (6) e outros (31). O Brasil está presente com duas empresas: A Módulo, primeira empresa certificada BS 7799 da América Latina, e a Serasa (A- COMP W). Para que uma empresa se certifique em segurança da informação é necessário que a organização opte por uma norma. No caso do Brasil ve-se optar pela NBR ISO/IEC 17799, que além das etapas previstas na normalização, exige a implementação um sistema gestão segurança da informação. Durante o processo certificação é necessária a presença profissionais especialistas no assunto que tenham conhecimento dos conceitos referendados na norma. Devido a este fato recomenda-se a contratação consultores ou empresas especializadas, como a Módulo e a Symantec, entre outras mais. Depois corrido este processo, é solicitado a visita um profissional, geralmente um auditor, autorizado a emitir o certificado. Ocorrerá um processo auditoria que é dividido em duas etapas: uma visita inicial para revisão da documentação do Sistema Gerenciamento da Segurança da informação para observar se o procedimento da organização está acordo ao solicitado em norma, e o planejamento da próxima visita auditoria. Após a segunda visita se tudo estiver acordo, a empresa é certificada e acompanhada para a permanência. Caso contrario, são colocadas algumas observações procedimentos que não estão acordo com a normalização. A empresa terá que fazer modificações passando pelo processo certificação novamente em data futura para nova tentativa certificação. O custo pen vários fatores, tais como a conscientização da administração da empresa, quanto tempo o responsável pela certificação levará para se convencer sobre a conformida das instalações da empresa com relação à norma, ao tamanho e à complexida da empresa e seus sistemas, em qual nível segurança a organização se encontra, e outros mais. O processo certificação é longo e manda conscientização todos,

24 24 incluindo a alta gerência. Por isso ve ser estudado e analisado sempre antes do seu início forma a se obter um bom planejamento para a implementação dos procedimentos Certificações em Pessoas Nos dias hoje, com o aumento da competitivida do mercado, as organizações foram levadas a buscarem mais eficiência e qualida para seus funcionários. É necessário que os profissionais encarregados da segurança da empresa sejam habilitados e capazes principalmente no que diz respeito às informações que hoje se tornaram um ponto crucial entre concorrentes. Existem vários métodos empregados por empresas certificadoras em pessoas, sendo que cada uma tem a sua forma avaliação gerando a sua própria certificação. Entre as empresas que oferecem certificações em segurança estão a Internet Security Systems (ISS), Check Point, Módulo Security Solutions, Associação Auditoria e Controle Sistemas Informação (ISACA), International Information Systems Security Certification Consortium (ICS), entre outras mais. Devido ao fato ser muitas as empresas certificadoras, também são muitas ascertificações, on pomos encontrar algumas mais valorizadas e populares, ao contrário outras. O Certified Information Systems Security Professional (CISSP) é um dos mais importantes certificados internacionais sendo emitido pelo International Information Systems Security Certification Consortium. Apesar cobiçado, o CISSP é uma certificação muito pouco comum no Brasil. Segundo o site da ISC havia no Brasil apenas 33 profissionais certificados até Este certificado tem o custo aproximado U$450, e além passar em uma prova, o candidato ve atenr aos seguintespré-requisitos (COMPUTER, 2002): 1. Concordar e assinar o código ética do ISC. 2. Ter, no mínimo, três anos experiência profissional em alguns dos 10 domínios conhecimento em segurança da informação testados pela prova certificação.