Qual a visão geral em relação segurança das informações as empresas da região metropolitana de Porto Alegre/RS estão inseridas?

Transcrição

1 Qual a visão geral em relação segurança das informações as empresas da região metropolitana de Porto Alegre/RS estão inseridas? UM BEM CHAMADO INFORMAÇÃO Arlei Vladmir de Souza Resumo: Este artigo apresenta uma visão geral de como está à preocupação e o cuidado em relação à segurança da informação de algumas empresas da região metropolitana de Porto Alegre / RS sendo classificadas conforme o número de funcionários. Também é apresentado o nível de preocupação que os gestores e tomadores de decisões possuem quanto à dependência dos recursos tecnológicos, a influência dos mesmos no faturamento da organização, as penalidades e o nível de importância em relação ao vazamento e roubo da informação. O artigo faz uma síntese sobre o sistema de gestão de segurança da informação, abordando a gestão de riscos, gestão de tratamento de incidentes de segurança e gestão de continuidade do negócio de acordo com os padrões estabelecidos pela NBR ISO/IEC 27001/2005. Palavras-chave: Segurança Informação, Nível Proteção, Gestão Processos. 1 INTRODUÇÃO Qual a visão geral em relação segurança das informações as empresas da região metropolitana de Porto Alegre estão inseridas? Conheceremos através desta pesquisa. As empresas vivem uma verdadeira revolução tecnológica e são bombardeadas com diversas obrigações e informações tanto fiscais como operacionais para manter seu bom relacionamento com clientes, fornecedores e parceiros. Até dois anos atrás as emissões de documentos fiscais podiam ser feitos de forma manual, no entanto tornou-se obrigação o uso de documentos eletrônicos para os mesmos e desta forma o tempo e conhecimento para a convergência das aplicações passaram a ser fatores importantíssimos para o bom funcionamento das operações. Hoje nas organizações, a informação é um ativo que é utilizado para o negócio e investir em segurança da informação é essencial para a operação e reputação do mesmo. As organizações quando se obrigam a proteger suas informações, equipamentos de hardware e softwares ainda permitem-se 'reinventar a roda'. Há empresas que já investiram em grades para proteger os computadores de roubo, como se o bem maior

2 fosse o hardware e não as informações ou processos de negócios vinculados a ele. O modo reativo impera no dia a dia das organizações. O estragou/consertou é uma regra sem questionamento que afeta a proteção dos ativos e das informações neles armazenadas. Quando uma organização possui problemas de ordem jurídica, cabe ao profissional de direito atuar e gerenciar tal fato. Quando a mesma organização possui problemas que afetam a segurança das suas informações e a operação do negócio, geralmente o pessoal mais jovem ou mais 'entendido' em informática da organização é incumbido de resolver o incidente. Somente nestes momentos que as empresas se preocupam com as informações que estão em seu poder e o pânico em perdê-las é estabelecido. A experiência com desastres tais como incêndio, roubo e 'fogo amigo' já foram submetidas a algumas organizações e causaram enormes prejuízos, evidenciando o nível de proteção que possuem quanto a segurança das informações. O objetivo desta pesquisa é conhecer e demonstrar em qual nível de preocupação e cuidado em relação à segurança das informações as empresas pesquisadas enquadram se quanto à norma vigente. Verificar o percentual de absorção quanto à perda das suas informações e o percentual de dependência nos negócios da mesma. A seguir será abordada a gestão de processos, a gestão de riscos de segurança da informação, o tratamento de incidente de segurança da informação e a gestão de continuidade do negócio. Para finalizar será apresentado o resultado da pesquisa sendo o nível encontrado de preocupação e cuidado quanto à segurança da informação, o nível de absorção dos gestores quanto a perdas das informações e o nível de dependência do negócio para com as informações e ativos de tecnologia da informação. 2 METODOLOGIA A pesquisa foi do tipo qualitativa, onde o autor compreendeu e interpretou os dados obtidos das empresas sendo elas da região metropolitana de Porto Alegre, RS, ora representadas pelos seus administradores, presidentes, diretores ou tomadores de decisões. Cabe lembrar que o foco do estudo não está na quantidade de sujeitos pesquisados, mas sim na qualidade das informações obtidas.

3 Os critérios adotados para diferenciar as empresas de pequeno e médio porte respeitou a classificação adotada pelo SEBRAE. O setor da indústria apresentou-se com o número de empregados quando pequena empresa de 20 a 99 funcionários e média empresa de 100 a 499 funcionários. Já no setor de comércio e serviços, a pequena empresa possuía de 10 a 49 funcionários e média empresa possuía de 50 a 99 funcionários. O número total de organizações entrevistadas por este estudo foi de 30 (trinta) sendo feita uma amostra representativa aleatória simples. A pesquisa foi realizada através de um questionário com trinta e cinco perguntas, sendo que as respostas possuiam três opções: SIM, NÃO ou NÃO SE APLICA. Quatro perguntas visavam determinar se a organização necessitava de tecnologia da informação, o seu nível de preocupação quanto à perda das informações e a dependência dos seus ativos para o negócio da mesma. As trinta e uma questões restantes foram elaboradas com o apoio da norma ISO/IEC 27001:2005 com pesos diferenciados. A abordagem que se pretendeu obter foi genérica, uma vez que não se realizou um estudo ou consultoria das políticas, processos e procedimentos adotados por cada organização como proposto por Pederiva (2003) e também não se extraio grande quantidade de informações, indicadores e desempenho. A classificação formulada e adotada leva em consideração 6 níveis de preocupação e cuidado sendo eles: 0. Inexistente: Total falta de processos. A organização não reconhece uma questão a ser trabalhada. 1. Inicial: A organização reconhece que há questões a serem trabalhadas, porem não existem processos padronizados. 2. Repetível: Procedimentos são seguidos por todos, porem intuitivos, não há treinamento formal, erros ainda ocorrem. 3. Definido: Procedimentos padronizados e documentados. Há treinamento, mas os procedimentos não são sofisticados. 4. Gerenciado: Existem boas práticas, ferramentas são utilizadas de forma limitada. A gerência mede e monitora os resultados. 5. Otimizado: Processos são otimizados e as melhores práticas do mercado são aplicadas. A tecnologia é amplamente utilizada e monitora o desempenho da organização. 3 PROCESSOS

4 O termo processo vem do latim procedure, que significa método, sistema ou maneira de fazer, desta forma pode-se dizer que é uma sequência de tarefas a serem realizadas na geração de resultados em um determinado contexto. Processo de negócio segundo De Sordi (2012), são atividades que serão executadas atendendo os requisitos da organização com o intuito de gerar ou agregar valor para o cliente. Já para Baltzam e Phllip (2012), um processo de negócio 'é um conjunto padronizado de atividades que cumprem uma tarefa específica'. As organizações quando operadas por processos protegem suas informações e seus ativos, consequentemente obtêm uma vantagem competitiva, pois conseguem diminuir seus custos eliminando o retrabalho e combinando atividades relacionadas. 4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO A informação é o maior bem que uma organização ou empresa pode possuir pois é ela que faz mover pessoas, economia e negócios gerando riquezas e desenvolvimento. Para Fontes (2006, p.2), 'a informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional.' Em uma organização a informação deve ser tratada com o mesmo nível de atenção que os recursos financeiros e materiais recebem devendo ser protegida por políticas, processos e procedimentos. Proteger a informação é de responsabilidade de cada pessoa, pois ela é o principal fator que move a organização e é evidente que ela é um ativo de valor, é um recurso crítico para a realização do negócio da organização. A ISO/IEC 27001:2005 é um padrão internacional que promove uma abordagem de processos para que se possa estabelecer, implementar, operar, monitorar e analisar criticamente, manter e melhorar o sistema de gestão de segurança da informação de uma organização sendo que pode ser adotada por qualquer tipo de organização seja ela pequena, média ou grande. Um sistema de gestão de segurança da informação ajuda a manter a segurança em conformidade com a estratégia da organização assegurando a seleção de controles de

5 segurança apropriados para proteger os ativos e mantendo a confidencialidade, integridade e disponibilidade da informação. O sistema de gestão de segurança da informação está baseado na abordagem de riscos do negócio e está dividido em quatro fases: planejar, implantar, monitorar e manter. O projeto de elaboração do sistema de gestão de segurança da informação é dividido em cinco processos sendo eles: 1. Obter o apoio e autorização da direção da organização para implantação do Sistema de Gestão de Segurança da Informação. 2. Definir o escopo e a política de segurança da informação. 3. Analisar a organização. 4. Fazer análise e avaliação de riscos como também o plano de tratamento de riscos e incidentes. 5. Executar o projeto do sistema de gestão de segurança da informação. A política de segurança da informação é um conjunto de regras aceitas pela administração da organização que estabelece procedimentos para concepção, implantação, operação e melhorias no sistema de gestão de segurança da informação. Ela define métodos e procedimentos utilizados para manutenção da segurança da informação sendo que pode ser criada antes ou depois da ocorrência de problemas. Conforme Ferreira e Araujo (2008), a política deve ser simples, de fácil compreensão, homologadas e assinadas pela direção, estruturada por fases, alinhada com o negócio da organização, orientada aos riscos, flexível a novas tecnologias, deve proteger os ativos de maior e real importância sendo construtiva e não apenas punitiva. 5 GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO A gestão de riscos é o processo que visa identificar e avaliar os riscos e posteriormente a tomada de decisões para o tratamento dos mesmos. A ISO/IEC 27001/2005 define o risco define-se como a possibilidade de um ativo estar sujeito a vulnerabilidades e incidentes. Outra definição é o potencial que uma ameaça tem de explorar vulnerabilidades, causando perdas ou danos para a organização. O processo de gestão de riscos responde a seguinte pergunta: Até quanto vale o investimento em segurança da informação para proteger o ativo em questão?

6 Desta forma, a organização deve estabelecer até quanto de risco quer correr para obter mais lucros. Conforme o autor Stoneburner, Goguem e Firino (2002), a gestão de riscos é composta por três processos: 1. Avaliação dos riscos 2. Mitigação dos riscos 3. Manutenção da avaliação O processo de avaliação de riscos analisa as ameaças, vulnerabilidades e a probabilidade de concretização das ameaças observando os controles já existentes. Com isso consegue-se determinar o potencial do risco associado ao sistema computacional. Já o processo de mitigação demonstra a que nível de risco a organização esta disposta a aceitar, qual o nível que deve ser tratado ou repassado para terceiros, tais como seguradoras ou fornecedores. A manutenção da análise e avaliação de riscos deve ser revista em intervalos planejados e documentados na política de segurança da informação. Sendo assim a gestão de risco de segurança da informação leva a organização um nível de risco aceitável como também, mantém a organização neste patamar. 6 TRATAMENTO DE INCIDENTE DE SEGURANÇA DA INFORMAÇÃO O processo de tratamento de incidentes de segurança da informação tem como objetivo analisar todas as funcionalidades críticas para o negócio e com isso determinar os requisitos de tempo de restauração dos serviços. Planejar respostas a incidentes é necessário uma vez que os ataques têm sido cada vez mais frequentes o que obriga a organização a sistematizar procedimentos corretos e eficazes. Para Stallings (2008), um ataque é um ato inteligente, uma tentativa deliberada de burlar os serviços de segurança e consequentemente, violar a política de segurança de um sistema. O plano de tratamento de incidentes é fundamental neste sentido e deve observar a cultura empresarial, elegendo membros para a equipe de respostas a incidentes, elegendo quais os serviços que a equipe de respostas deve prover, cabendo escrever políticas específicas para a recuperação de desastres.

7 A ISO/IEC 27001:2005 recomenda que fragilidades e eventos de segurança da informação sejam comunicados para que as ações corretivas possam ser tomadas em tempo hábil como também assegurar que um aspecto realista, concreto e atual seja aplicado à gestão de tratamento de incidentes de segurança da informação. A gestão de pessoas e o treinamento é fundamental em relação a conscientização dos riscos enfrentados somando-se a documentação pós-incidente que permite o aprendizado e as melhorias possíveis, tirando proveito das lições apreendidas com os incidentes tratados. Os relatórios dos acontecimentos com coletas de evidências e logs ajudam em uma possível auditoria ou até mesmo em uma ação judicial, desde que sejam retidos e armazenados em locais seguros. 7 GESTÃO DE CONTINUIDADE DO NEGÓCIO A gestão de continuidade do negócio após os atentados de 11 de setembro de 2001 passou a ser muito importante para a gestão de segurança da informação visto que naquele exato momento muitas organizações foram à falência ou simplesmente deixaram de existir. A organização que deseja alcançar o sucesso e manter sua capacidade operacional a um nível aceitável e pré-definido deve possuir estratégia e tática junto ao seu planejamento com o intuito de responder a incidentes e interrupções do negócio. Com relação à gestão de continuidade do negócio, a ISO/IEC 27001:2005 define como objetivo a não interrupção das atividades do negócio, protegendo os processos críticos contra falhas ou desastres e proporcionando a retomada das operações em tempo hábil. Interrupções conhecidas como incêndio, furacões, terremotos, apagões fazem parte de estatísticas existentes sendo mensuráveis e compreensíveis, porem hoje as organizações convivem também com o cibercrime, a negação ou queda de serviços tecnológicos, os ataques terroristas, a espionagem industrial e até com o dano ao capital humano, visto as epidemias conhecidas. Para implementar um sistema de gestão de continuidade de negócio deve-se levar em consideração as necessidades de negócio com a definição de políticas e objetivos para a continuidade de negócio. Operar e gerenciar os riscos, monitorar e analisar o desempenho do sistema de gestão de continuidade do negócio e obter melhoria continua. A gestão de continuidade de negócio é parceira da organização, pois promove a

8 continuidade das operações em um nível aceitável, garantindo a segurança das informações e a operação do negócio. 8 NÍVEL DE PREOCUPAÇÃO E CUIDADO Após serem analisados os dados coletados com o questionário proposto e efetuada a classificação quanto ao nível de absorção e o nível de preocupação e cuidado com a segurança da informação, os resultados obtidos com a pesquisa foram os seguintes: 77% das organizações responderam que para manter o funcionamento e operação do negócio, a dependência das informações e dos recursos de informática é alta. 13% responderam serem médio e 10% responderam serem baixo, conforme o gráfico abaixo. Quando perguntadas em relação a dependência das informações e dos recursos de informática para manter o faturamento da organização, 56% responderam com o nível Alto, 27% responderam com o nível Médio e 17% responderam que o nível de dependência para o faturamento é Baixo, conforme gráfico abaixo. Em relação ao nível de penalidades fiscais ou de mercado quando perguntadas em relação à falta das informações e dos recursos de informática, 56% responderam com o nível Alto, 27% responderam com o nível Médio e 17% responderam com o nível Baixo, conforme o gráfico abaixo. A preocupação quanto ao roubo, vazamento e a negligência no uso das informações têm para 60% das organizações uma importância Alta, para 23% uma importância Média e para 17% uma importância baixa, conforme o gráfico abaixo. Eis o momento de responder a pergunta deste artigo, ou seja, qual foi a visão geral em relação segurança das informações encontrada nas organizações pesquisadas. 40% das organizações encontram-se no nível de preocupação e cuidado 0. Inexistente, 17% encontram-se no nível de preocupação e cuidado 1. Inicial, 17% encontram-se no nível de preocupação e cuidado 2. Repetível, 13% encontram-se no nível de preocupação e cuidado 3. Definido e 13% encontram-se no nível de preocupação e cuidado 4. Gerenciado, conforme o gráfico abaixo. 74% das organizações estão nos níveis de preocupação e cuidado mais baixos sendo eles: Inexistentes, Inicial e Repetível, enquanto os outros 26% estão nos níveis definido e gerenciado. Nenhuma organização pesquisada obteve pontuação suficiente para ser considerada com o grau 6. Otimizado. Cabe lembrar que as perguntas que compõe o questionário foram elaboradas com o

9 apoio da norma ISO/IEC 27001:2005, anexo A. Sendo assim, quando perguntadas se existe algum processo de descarte de mídias, 100% das organizações responderam com NÃO. Quanto a limitação de horário de conexão aos sistemas da organização, somente 10% do grupo pesquisado implementam esse controle. Em relação à auditoria e monitoramento nos serviços e relatórios de fornecedores ou terceiros, apenas 5% das empresas possuem esse controle ativo. Somente 20% das organizações responderam que possuem política de segurança da informação documentada. 50% informaram que existem comprometimento e apoio da direção da organização com relação à segurança da informação, mas somente 6% dizem que a política é analisada criticamente em intervalos planejados. Quando perguntadas se as atividades de segurança da informação são coordenadas e representadas por diferentes colaboradores, somente 6% das organizações responderam com SIM. Sobre o inventário dos ativos mais importantes e responsabilidade destes ativos, 16% das organizações responderam que implementam esses controles. Quando o controle perguntado foi referente a cópias de segurança, 56% das organizações responderam que possuem uma política de cópia de segurança, porem 40% responderam que as cópias de segurança são efetuadas e testadas regularmente. Há unanimidade em relação à proteção contra vírus, 100% das empresas pesquisas possuem proteção contra códigos maliciosos. 9 CONCLUSÃO Quando uma organização utiliza-se da norma ISO/IEC 27001/2005 ela oferece proteção para as informações em seu poder. Significa dizer que está fazendo o mínimo recomendado para que a integridade, disponibilidade e confidencialidade sejam garantidas. Para que se alcançado esse nível, faz-se uso da gestão de riscos, da gestão de tratamento de incidentes e da gestão de continuidade do negócio, processos fundamentais que se completam, fechando o ciclo na proteção das informações e dos ativos da organização. Nesta pesquisa, verifica-se que existem políticas e processos definidos, porem no dia a dia procedimentos acabam não sendo executados como planejados, cabendo como

10 exemplo o controle de cópias de segurança e seus testes posteriores. Observando os gráficos de número 1, 2, 3, 4, 5 e se levarmos em consideração somente os níveis de preocupação respondidos como Alto nas questões de dependência, faturamento, penalidades fiscais e de mercado, vazamento ou negligência quanto às informações e recursos de informática, na média 62% das empresas mostram preocupação ou conhecimentos das necessidades de proteção das informações e sistemas, porem estão dentro dos 74% das organizações classificadas com os níveis de preocupação e cuidado mais baixos (0. Inexistente, 1. Inicial e 2. Repetível). Alguns controles são unanimidades entre as organizações tais como proteção contra códigos maliciosos e o encerramento das atividades com devolução de ativos, mas foram definidos de forma aleatória, sem nenhuma metodologia comprovando que o modo reativo está presente. De fato quando não há metodologia ou regras para serem cumpridas, a organização coloca em risco o seu bem maior e os pilares da integridade, disponibilidade e confidencialidade são afetados trazendo descrédito para a organização e muito mais para os gestores da informação. Em se tratando de roubo de informação, conforme o gráfico número 4 é preocupante o cenário, pois 100% das organizações não possuem processo de descarte de mídias, mas 60% das organizações responderam com o nível alto de preocupação. A análise do tema, o treinamento e a conscientização sobre a segurança das informações ainda não está evidente para os gestores das empresas classificadas com os níveis de preocupação e cuidado 0- inexistente, 1. inicial e 2. repetível, pois somam 74% do universo pesquisado. Todavia, 50% responderam na pesquisa que a direção apoia e se compromete com a segurança da informação. 77% das organizações responderam como dependência alta dos recursos de TI, mas em contra partida, somente 20% estabeleceram suas políticas de segurança da informação e destas apenas 6% analisam e revisam a mesma em intervalos planejados, o que pode abrir brecha para novos eventos e incidentes. Um dado alarmante é que 40% das organizações estão no nível 0. Inexistente. Isto significa dizer que correm um risco alto para com a perda de suas informações, processos e consequentemente perdas para o negócio, mas o mais intrigante é que ainda não reconheceram o tamanho do problema que podem vir a enfrentar. O grupo pesquisado necessita desprender maior atenção, investimentos e método para poder garantir a proteção de seus dados, informações e ativos. Investir em segurança da informação é preservar o negócio da organização e garantir a

11 continuidade das operações. Desta forma gera-se lucratividade, melhora a imagem da organização e oferece um poder competitivo enorme frente aos concorrentes. O alinhamento estratégico dos serviços de tecnologia da informação com o negócio das organizações é um tema fundamental que ajuda no processo de maturidade da segurança da informação, o qual pode ser explorado em um trabalho futuro. REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27001: tecnologia da informação: técnicas de segurança: sistema de gestão de segurança da informação: requisitos. Rio de Janeiro, BALTZAN, Paige e PHILLIPS, Amy. Sistemas de informação Gestão do conhecimento. Porto Alegre: AMGH, p. FERREIRA, Fernando Nicolou Freitas e ARAUJO, Márcio Tadeu de. Política de Segurança da Informação Guia Prático para Elaboração e Implementação. 2ed. Rio de Janeiro: Ciência Moderna LTDA, p. FONTES, Edison. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, p. PEDERIVA, Andrea. The COBIT Maturity Model in a Vender Evaluation Case. Information Systems Control Journal, v.3, Disponível em < COBITMaturityModel.pdf > SORDI, José Osvaldo de. Gestão de processos: uma abordagem da moderna administração. 3 ed. São Paulo: Saraiva, p. STALLINGS, Willian. Criptografia e segurança de redes. 4 ed. São Paulo: Pearson Education do Brasil, p.