ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO

UNIVERSIDADE CANDIDO MENDES INSTITUTO A VEZ DO MESTRE PÓS GRADUAÇÃO LATO SENSU ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO Prof. Jorge Vieira Rio Janeiro 2010

UNIVERSIDADE CANDIDO MENDES INSTITUTO A VEZ DO MESTRE PÓS GRADUAÇÃO LATO SENSU ANALISES E GESTÃO DO RISCO NA ÁREA DE TECNOLOGIA DA INFORMAÇÃO OBJETIVOS: Trabalho apresentado para conclusão curso Gestão Empresarial, na universida Candido Mens Instituto A Vez do Mestre.

AGRADECIMENTOS A todo corpo docente do Institutos a Vez do Mestre.Ao professores Jorge Vieira pelas excelentes aulas marketing e ao professor pela gran força e motivação nas aulas.

4 DEDICATÓRIA Dedico este trabalho primeiramente a Jesus, pois sem ele nada é viável e seria muito difícil para eu superar sozinho todas as barreiras que se apresentaram e se apresentam em minha caminhada. Aos meus pais; pelo esforço e a dicação, em todos os momentos, para que eu fosse antes um profissional realizado, fosse uma pessoa bem. A todas as pessoas e tantas outras que contribuíram alguma forma para que eu chegasse até aqui os meus sinceros votos gratidão.

5 RESUMO Este trabalho visa gerar um estudo que apresente soluções concretas baseadas no estudo e analise do ambiente tecnologia alinhado com a gestão e mitigação dos riscos que geram impactos na organização e está dividido em partes distintas que tratam referenciais teóricos, estudo caso, molagem do processo original (as is), molagem do processo proposto (to be) e as matrizes risco e controles (as is e to be). Mapear e molar o processo interação com o ambiente tecnologia da Informação do colaborador da Alfa & Omega, intificando os riscos gerados pelos pontos falha em Segurança, propondo a utilização pacotes processos e políticas gestão norteados principalmente pelas normas apresentadas na ISO 17799 e ISO 27001: Estes processos serão baseados em análise e necessidas específicas do ambiente Tecnologia, que possam garantir à organização a mitigação e gestão do risco pelo trinômio Confincialida, Integrida e Disponibilida das informações.

6 METODOLOGIA Serão utilizadas técnicas molagem processos e matrizes intificação e controle riscos para a realização da analises e proposição valor. Baseado nestes dados serão propostas as políticas para a gestão do risco.este trabalho será implantado em caráter experimental no ambiente da Alfa & Omega valendo-se das entrevistas realizadas forma qualitativa juntos aos steakholrs. Os dados serão coletados a partir observações feitas no ambiente corporativo habilitado por tecnologia da Informação. Estas informações serão insumos básicos para a criação dos senhos processos e das matrizes risco.

7 SUMARIO INTRODUÇÃO 8 CAPITILO I CONTEXTUALIZAÇÃO DO PROBLEMA 9 CAPITULO II ANALISE E GESTÃO DE RISCO 16 CAPITULO III TERMOS E DEFINIÇÕES 21 CAPITULO IV 28 APLICAÇÃO ALFA E OMEGA A EMPRESA CONCLUSÃO 39 BIBLIOGRAFIA 42 INTRODUÇÃO

8 Segurança da Informação está diretamente relacionada com a proteção um conjunto dados, no sentido preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos confincialida, integrida e disponibilida não sendo esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas armazenamento. O conceito se aplica a todos os aspectos proteção informações e dados. O conceito Segurança Informática ou Segurança Computadores que será abordado neste trabalho está intimamente relacionado com o Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. O conceito Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série normas ISO/IEC 27000 foram reservadas para tratar padrões Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo consirada formalmente como 17799:2005 para fins históricos. Em muitos casos as medidas para mitigar riscos quebra da segurança da informação não são seguidas como veriam. É muito comum s grans empresas até pequenos usuários adquirirem equipamentos segurança, mas no futuro não se preocupam com atualizações ou até mesmo com seus mais comuns erros configurações. É imprescindível que uma empresa ou até mesmo um usuário doméstico que usa como ferramenta trabalho e/ou diversão internet tenha normas, políticas, procedimentos e ferramentas vidamente configuradas e atualizadas para a garantia da proteção das informações que possua. CAPITULO I

9 CONTEXTUALIZAÇÃO DO PROBLEMA A Empresa Alfa & Omega por percepção seus colaboradores, por intermédio sua Gerencia TI e sua diretoria, enten que existe atualmente na organização um ambiente salinhado com as exigências mercado frente à mitigação riscos em questões segurança da informação em níveis pessoais, gerenciais e estratégicos relacionados as praticas e operações no ambiente tecnologia da informação. É fato que este ambiente po propiciar diversos tipos incintes segurança, levando a perdas financeiras, clientes e principalmente da credibilida da organização junto a seus clientes internos e externos. Enten-se que os maiores problemas estão relacionados à falta uma política estruturada segurança da informação, implementada e divulgada forma objetiva aos colaboradores, quanto a normas apresentadas por organizações que regulamentam e certificam os níveis segurança das organizações como são a ISO 17799 e algumas sessões da ISO 27001, ambas utilizadas pontualmente como arcabouço para este trabalho 2. Molagem Processos Negócios 2.1 Introdução O Cenário econômico orientado à globalização e o foco na competitivida da empresa, vem levando as organizações a finirem seus processos como sendo um importante fator redução custos e melhoria da qualida operacional e produtiva. Esta visão faz com que as organizações entrem numa busca contínua da otimização e constante rejuvenescimento seus processos, resultando em diferenciais competitivos importantes para o posicionamento da empresa em seu mercado. O conceito BPM surgiu nos Estados Unidos como resposta a um gran vazio quando se tratava gestão processos organizacionais e interorganizacionais e a molagem processo veio agregar um conjunto práticas e soluções que promovem a integração dos processos da organização

10 com pessoas e sistemas ntro um fluxo contínuo e transparente informações. 2.2-Business Process Management O Business Process Management (BPM) é, em síntese, um conceito que une gestão negócio e tecnologia da informação voltado à melhoria dos processos negócio das organizações através do uso métodos, técnicas e ferramentas para molar, publicar, controlar e analisar processos operacionais envolvendo humanos, aplicações, documentos e outras fontes informação. 2.3Utilidas do BPM A utilização do BPM, ao longo dos últimos anos, vem crescendo forma bastante significativa, dada a sua utilida e rapiz com que melhora estes processos nas empresas on foi implementado. A sua perspectiva crescimento é muito gran, visto que ainda é um conceito pouco conhecido, principalmente no Brasil. O termo 'processos operacionais' se refere aos processos rotina (repetitivos) sempenhados pelas organizações no seu dia-a-dia, ao contrário 'processos cisão estratégica', os quais são sempenhados pela alta direção. O BPM difere da remolagem processos negócio, uma abordagem sobre gestão bem popular na década 90, cujo enfoque não eram as alterações revolucionárias nos processos negócio, mas a sua melhoria contínua. Adicionalmente, as ferramentas nominadas sistemas gestão processos do negócio (sistemas BPM) monitoram o andamento dos processos uma forma rápida e barata tal que os gestores possam analisar e alterar processos baseado em dados reais e não apenas por intuição. Assim, estas pessoas altos cargos que pom enxergar, por exemplo, on estão os gargalos, quem está atrasando a sua tarefa, o quanto está atrasando e com que frequência isso ocorre, o percentual processos concluídos e em andamento, entre outros. Como conseqüência disto, fatores cruciais para o

11 bom sempenho uma empresa pom ser analisados com extrema facilida e rapiz o que geralmente não ocorre com outras ferramentas que não o BPM. Além disso, as pessoas participantes do processo também são beneficiadas: com o BPM, elas têm o seu trabalho facilitado uma vez que recebem tarefas e vem simplesmente executá-las, sem preocupar-se com para on vem enviá-la, por exemplo, dado que o processo já foi senhado e todas as possíveis situações seguimento ste já estão registradas. Além disso, pom enxergar como foi o caminho realizado até a sua ativida e em que status está. Os softwares responsáveis pela automação stas atividas são chamados Business Process Management Suites, ou BPMS. Outra visão sobre BPM: O Business Process Management (BPM), Gestão por processos negócios, tem como objetivo prover o alinhamento dos processos negócios com a estratégia (os processos são a execução da estratégia), os objetivos e a caia valor das organizações. 2.4 O que é um Processo Negócio (Business Process)? Um processo negócio po ser caracterizado como um conjunto tarefas que envolvem pessoas e recursos para que possa se atingir um objetivo previamente traçado. Como resultado ste, é gerado um produto ou serviço que vai ao encontro dos sejos dos clientes. Muitas empresas não dão a importância vida a estes processos, o que se caracteriza em um gran erro, uma vez que estes são cruciais à sua sobrevivência. 2.5 Sistemas BPM Esta tecnologia permite analisar, senvolver, implementar e rever processos negócio garantindo o respeito a prazos e normas. Des empresas serviços até industrias petroquímicas, qualquer negócio po beneficiar com esta solução. Metodologia IBPM 2.6 O papel das pessoas no BPM Uma das vertentes do BPM, tem gran foco voltado para pessoas (humancentric), sendo estas o centro dos processos negócio. Alguns BPMS vêm

12 seguindo esta corrente buscando oferecer aos usuários maior facilida e flexibilida no uso, o que torna a experiência mais agradável, com ferramentas simples e intuitivas. 2.7 Automação Processos A automação processos negócio é uma prática extremamente eficaz. Quando se automatiza processos, rapidamente é possível obter-se um controle mais rígido e adaptado às necessidas da empresa. É realizada pelos BPMS (Business Process Management Suites) e têm baixo custo. Algumas empresas comercializam os suites por processos, e não pelo pacote completo, o que torna ainda mais acessível. Através da automação, um serviço melhor é oferecido ao cliente, dada a rapiz e organização que a empresa passará a apresentar. Além disso, terá seus custos reduzidos. 2.8 Molagem A molagem processos é feita no próprio BPMS. Alguns stes seguem a notação mais usada atualmente, o BPMN (Business Process Moling Notation). Esta notação trata-se uma série ícones padrões para o senho processos, o que facilita o entendimento do usuário. A molagem é uma etapa importante da automação pois é nela que os processos são scobertos e senhados. É nela também que po ser feita alguma alteração no percurso do processo visando a sua otimização. 2.9 Simulação Após o senho e o estabelecimento dos usuários responsáveis pela conclusão cada tarefa, po ser feita uma simulação, on po-se testar se as regras pré-estabelecidas estão acordo com o objetivo da empresa e se as tarefas estão sendo encaminhadas para as pessoas corretas. 2.9.1 Execução A execução do processo ocorre após as etapas anteriores já terem sido realizadas. O BPMS utilizado faz com que as tarefas sejam enviadas para os

13 seus vidos responsáveis, controlando o seu tempo execução por pessoa e pelo processo em geral. Pom ser utilizadas também regras negócio (Business Rules) pré-estabelecidas. 2.9.2Controle O controle ial BPM é aquele que está presente durante todas as etapas do processo: antes, durante e pois. Des o início da molagem até a análise pós-conclusão da execução, o controle ve ser realizado. Um tipo controle que existe em alguns BPMS são relatórios fluxos em andamento, on é fornecido o status do fluxo, com quem está parado, há quanto tempo está parado, etc. Isso é importante para evitar que os erros sejam encontrados somente quando o processo é concluído. Há também relatórios fluxos concluídos, on se po ter uma noção geral como se senvolveu o processo. Alguns softwares apresentam gráficos e relatórios com bastantes talhes dos processos. 2.9.3 Otimização A otimização tem crucial importância quando se trata BPM. É essencial para que sejam feitas melhorias nos processos modo a alcançar resultados positivos mais rapidamente, melhorando o serviço aos clientes e, possivelmente, com menores custos. Depen, obviamente, das etapas anteriores, principalmente do controle, on ve haver uma busca pela perfeição. Para acompanhar a implantação um BPM poremos utilizar o BPMS (Business Process Management System) que nada mais é do que softwares que permitem a gestão dos processos. O BPMS possibilita que a organização mapeie, execute e acompanhe processos internos e externos forma automatizada após a sua molagem. O conjunto práticas e soluções que vêm acopladas ao BPM trouxe o conhecimento diversas áreas tecnologia para o mundo da automação processos; tais como: Workflow (automação dos processos)

14 Business Process Moling and Analysis (entendimento talhado do processo e o impacto da mudança do processo) Enterprise Application Integration (troca informações entre sistemas) Business Activity (monitoramento dos processos). Em outros tempos os Workflows eram vistos apenas pela área TI por causa da sua complexida e com isso obrigavam que as regras negócios fossem programadas ntro do próprio fluxo do workflow. Com as soluções BPM as regras negócio ficam sob o controle dos analistas processos, fazendo com que a área TI preste apenas consultoria técnica (montagem fluxos mais complexos) e suporte. O BPM é uma solução robusta e finitiva que integra todas as evoluções e conceitos da Gestão Processos. Adapta os processos negócios à tecnologia existente na empresa e ajuda aos usuários a molarem, automatizarem e gerenciarem seus próprios processos. 2.9.4 BPMS Business Process Management System Os BPMS geralmente são softwares que auxiliam na gestão (mapear, executar e acompanhar) dos processos organizacionais. Esses softwares vem ser capazes gerar grans volumes informações gerenciais sobre os processos executados na organização, possibilitando a intificação gargalos, controle sempenho e seu monitoramento, gerando integração com outros sistemas e com a administração dos processos (tempo real), permitindo que os analistas processos senhem (molem) e configurem os processos negócios via automatização processos utilizando, Workflow, EAI, BI, e outras ferramentas apoio a cisão.

15 2.9.5-BPMN Business Process Moling Notation BPMN é uma notação gráfica que tem por objetivo prover instrumentos para que o processo mapeamento seja realizado maneira padronizada. Deve ser capaz mapear os processos internos e externos da organização. A organização ve ser capaz atualizar seus molos acordo com suas regras e interesses sem prejudicar as especificações anteriores. O BPMN po ser traduzido para padrões técnicos processos como o BPEL que atualmente se tornou o mais popular no mercado. Para cada objeto no BPMN existe um corresponnte em BPEL ou outro código. Essa correspondência entre o padrão visual e o técnico é que irá permitir que os analistas processo molem seus processos e os analistas sistemas interajam em outras ferramentas com o mesmo molo.

16 CAPITULO III ANALISE DE RISCO Conforme Vesely (1984), o risco po ser entendido como o perigo, probabilida ou possibilida um infortúnio, insucesso ou resultado insejado. Já a analise e gestão do risco, segundo finição do PMI (PMBOK, 2000), po ser entendida como um processo sistemático intificar, analisar e responr aos riscos do projeto, procurando obter vantagem das oportunidas melhoria sempre que possível. De acordo com duas importantes referências a norma NBR ISO 10006:2000 e o PMBOK (PMI, 2000), a analise e gestão do risco envolve os seguintes processos: Intificação riscos: consiste na terminação quais riscos, internos externos, são mais prováveis afetar um projeto ou organização e quais são os limites aceitáveis para cada um les; Avaliação riscos: análise da probabilida ocorrência e impacto dos riscos intificados, maneira quantitativa e qualitativa; Desenvolvimento reação ao risco: vem ser criados planos contingência para os riscos intificados e avaliados, com a finalida eliminar ou minimizar os impactos causados. É necessário avaliar sempre os efeitos positivos e negativos da implementação dos planos contingência; Controle riscos: estabelecer um processo formal intificação, avaliação e senvolvimento respostas aos riscos do projeto, para que a situação dos riscos associados seja constantemente monitorada e os planos contingência estejam sempre atualizados e prontos para serem implementados. A NBR ISO 10006:2000 cita ainda que todo o processo analise e gestão do risco ve ser formalmente documentado e fazer parte das avaliações progresso do projeto ou da organização.

17 As normas Este capítulo aborda as normas para implantação segurança da informação numa empresa e como se dá o processo certificação empresas e pessoas nessa área. A certificação é um documento emitido por uma entida certificadora inpennte garantindo que uma dada empresa implantou corretamente todos os controles finidos na norma certificação. No caso da segurança da informação existe uma norma internacional chamada Brithish Standart 7799 (BS 7799) que foitraduzida no Brasil e nominada NBR ISO/IEC 17799. A certificação para segurança da informação é emitida após um procedimento verificação conformida das normas na empresa pela entida certificadora. A certificação faz com que a empresa certificada comprove que a segurança da informação está assegurada forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações segurança, a qual verá ser realizada por pessoal que esteja tecnicamente habilitado a verificar a capacida do sistema em termos dos requisitos segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa o zelo que estas tem com a segurança da informação, reforçando a imagem da empresa junto ao mercado. Depenndo da ativida da empresa, essa certificação po ser essencial para realização certos negócios. 3.2-Normalizações Segurança da Informação Normalizações são documentos que possuem regras que vem ser seguidas conforme scritas, visando o sucesso uma organização em terminado aspecto. No caso da gestão da segurança da informação o objetivo das normas é fornecer recomendações para serem usadas por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas empresas. As normas criadas se adaptam bem a organizações comerciais. Porém, instituições ensino, instituições públicas e outras assemelhadas pom ter

18 dificuldas em implantar certos controles da norma vido a seus ambientes serem diferentes dos uma empresa comercial. Apesar disso, qualquer organização po aproveitar gran parte dos controles da norma para implementar segurança da informação em suas instalações. Sabe-se que segurança total não existe, no entanto, a implantação dos controles da norma assegura um bom nível segurança sobre aspectos comohardware, software e pessoas. A implantação uma norma traz vários benefícios internos através da melhoria do gerenciamento da informação. Garante aos sócios e parceiros da empresa uma avaliação competente e imparcial sobre seu sistema segurança da informação, outra vantagem é possibilitar conformida com a legislação nacional na área segurança da informação do país origem, como, por exemplo, ajudar as organizações a cumprirem as exigências leis sobre privacida dados, além dos benefícios externos que adquire frente aos clientes. 3.3 Norma BS 7799 O Brithish Standart 7799 é uma norma segurança da informação criada na Inglaterra. Teve seu senvolvimento iniciado em 1995. Divi-se em duas partes, estando a primeira parte homologada s 2000 e, a segunda parte homologado em 2002, segundo Alberto Bastos, consirada o mais completo padrão para o gerenciamento da Segurança da informação no mundo (BASTOS, 2002). A preparação para certificação BS 7799 representa um gran passo para garantir os requisitos segurança dos ativos da informação consirados críticos para o negócio. A primeira parte da norma é composta por recomendações segurança da informação, não sendo objeto certificação. No entanto, é parte muito importante para se alcançar a certificação. Foi planejada como um documento referência para implementar "boas práticas" segurança na empresa. Na segunda parte, que é objeto certificação, é finido o escopo um Sistema gestão Segurança da informação (SGSI). Para isso ve-se fazer um mapeamento da empresa para intificar instalações e processos negócio, sejam eles sistemas, dispositivos físicos, processos e atitus comportamentais. Este trabalho é

19 realizado através entrevistas com gestores processos negócio da empresa. Segundo o gerente para senvolvimento novos negócios da DNV, Samuel Andra, são necessárias seis medidas para uma empresa obter certificação BS 7799 (ANDRADE, 2002): 1. Definição da política segurança informação. 2. Definição do escopo do sistema gestão segurança informação (perímetro abrangência). 3. Análise risco (intificação ameaças e vulnerabilida). 4. Gestão do risco. 5. Seleção dos controles. 6. Preparo da claração aplicabilida (quais itens da norma serão aplicáveis). 3.4 Norma NBR ISO/IEC 17799 A International Standartization Organization (ISO) trata-se uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividas comerciais, industriais, científicas e tecnológicas. O International Engineering Consortium (IEC) é uma organização voltada para o aprimoramento da indústria da informação. A associação entre as duas instituições tem produzido diversas normas e padronizações internacionais. Após anos trabalhos em torno da BS 7799, percebeu-se que ela poria atenr a organizações todo mundo e não só do Reino Unido. De fato, esta norma foi levada para apreciação da ISO/IEC que homologou um draft da norma que passou a ser nominada ISO 17799. No Brasil a norma ISO/IEC 17799 correspon basicamente à primeira parte da BS 7799. Traz consigo a experiência da prática das maiores organizações diferentes segmentos mercado. É uma padronização dos controles mínimos vendo ser implementada e gerenciada pelas empresas que consiram as suas informações como importância crítica na sua estratégia negócio.

20 A aplicação da análise normativa da ISO/IEC 17799 po ser aplicada a qualquer organização, não importando o segmento, tamanho ou a tecnologia utilizada na gestão do seu negócio. Já é comum a aplicação dos padrões em setores (ex: financeiro) para pois estenr a toda empresa. A norma provê padrões consistentes para as organizações avaliarem qual o nível segurança aplicado às suas regras negócio em comparação ao mercado internacional. A ISO17799 é bem abrangente, pretenndo contemplar todos os aspectos da segurança da informação. Nesse sentido, a NBR ISO/IEC 17799 divi-se em 12 capítulos ou partes (A3 SEG, 2002), cada qual abordando um aspecto da segurança da informação. Os capítulos que compõem a norma são os seguintes: 3.5 Objetivo: É essencial que uma organização intifique as suas necessidas segurança antes implantar qualquer controle. Segundo Marcos Prado, existem três fontes principais a serem analisadas: a) A primeira fonte é obtida a partir da análise risco dos ativos informação. Pela análise risco é que são intificadas as vulnerabilidas e ameaças a que a informação está sujeita, bem como a probabilida ocorrência. Com isso, po-se dimensionar o impacto quando da ocorrência ssas falhas; b) A segunda fonte é a legislação vigente, os estatutos, as regulamentações e as clausulas contratuais que a organização tem que cumprir; c) A terceira fonte é o conjunto particular princípios, objetivos e exigências para processamento da informação que uma organização tem que senvolver para apoiar suas operações. CAPITULO IV TERMOS E DEFINIÇÕES Define a segurança da informação e os termos ligados a tal processo.

21 4.1Política segurança: A administração ve estabelecer uma política clara e monstrar apoio e comprometimento com a segurança da informação através da finição e manutenção uma política que verá ser seguida por toda a organização. Este documento ve ser claro. Será dividido em grupos, conforme o enfoque estratégico, tático e operacional. 4.2 Segurança organizacional: Aborda a estrutura uma gerência para segurança da informação, fine as responsabilidas dos usuários pela segurança da informação, incluindo agentes externos e fornecedores serviços. 4.3 Classificação e controle dos ativos informação: Define a classificação, o registro e o controle das informações da organização. 4.4 Segurança em pessoas: Reduz os riscos falha humana, roubo, frau ou uso impróprio das instalações; assegura que os usuários, acordo com seus cargos, estejam cientes das ameaças à segurança da informação. 4.5 Segurança ambiental e física: Segurança das áreas circulação restrita e à necessida se protegerem os equipamentos e a infra estrutura um Ambiente Computacional Complexo. 4.6 Gerenciamento das operações e comunicações: Aborda as principais áreas que vem ser objeto especial atenção da segurança. Dentre estas áreas stacam-se: procedimentos operacionais e respectivas responsabilidas, homologação e implementação sistemas, gerência res, controle e prevenção vírus, controle mudanças, execução e guarda cópias segurança, controle documentação, segurança correio eletrônico etc.

22 4.7 Controle acesso: Controla o acesso a informação, prevenindo contra acesso não autorizado a sistemas, equipamentos e re; Define sistemas senhas para monitoramento acesso e uso; assegura a segurança da informação quando usada em notebooks e recursos tele-processamento. 4.8 Desenvolvimento sistemas e manutenção: Aborda os requisitos segurança dos sistemas, senvolvimento, dados e suporte, garantindo a confincialida, autenticida e integrida da informação, assegurando que projetos tecnologia da informação e suporte atividas sejam conduzidos maneira segura. 4.9 Gestão continuida do negócio: Previne para que não ocorram interrupções nas atividas e processos críticos do negócio vido às falhas e sastres, reforça a necessida se ter um plano continuida e contingência senvolvido, implementado, testado e atualizado. 4.9.1 Conformida: Evita, por parte da organização, as seguintes violações: às leis civis ou criminais; às obrigações legais ou contratuais proprieda intelectual; segurança a sistemas e informações terceiros. Também visa a maximizar a efetivida e minimizar a interferência em sistema auditagem. 4.9.1 Certificações em Empresas Segundo Alberto Bastos, sócio-fundador e diretor tecnologia Módulo, quando uma empresa certifica seu sistema Gestão Segurança da informação, está reforçando ao mercado seu compromisso com a implementação controles e sua preocupação com a proteção das informações seus clientes (BASTOS, 2002). O número empresas pelo mundo certificadas BS 7799 tem aumentado consiravelmente A constatação está presente no site da ISMS International User Group, que gerencia uma lista atualizada e completa das empresas que obtiveram tal certificado. Atualmente tal lista contempla 202 empresas do mundo. O Reino Unido é o

23 país com o maior número organizações certificadas (86), seguido Japão (20), Itália (11), Índia (10), Coréia (9), Alemanha (8), Finlândia (8), Singapura (7), Noruega (6), Hong Kong (6) e outros (31). O Brasil está presente com duas empresas: A Módulo, primeira empresa certificada BS 7799 da América Latina, e a Serasa (A- COMP W). Para que uma empresa se certifique em segurança da informação é necessário que a organização opte por uma norma. No caso do Brasil ve-se optar pela NBR ISO/IEC 17799, que além das etapas previstas na normalização, exige a implementação um sistema gestão segurança da informação. Durante o processo certificação é necessária a presença profissionais especialistas no assunto que tenham conhecimento dos conceitos referendados na norma. Devido a este fato recomenda-se a contratação consultores ou empresas especializadas, como a Módulo e a Symantec, entre outras mais. Depois corrido este processo, é solicitado a visita um profissional, geralmente um auditor, autorizado a emitir o certificado. Ocorrerá um processo auditoria que é dividido em duas etapas: uma visita inicial para revisão da documentação do Sistema Gerenciamento da Segurança da informação para observar se o procedimento da organização está acordo ao solicitado em norma, e o planejamento da próxima visita auditoria. Após a segunda visita se tudo estiver acordo, a empresa é certificada e acompanhada para a permanência. Caso contrario, são colocadas algumas observações procedimentos que não estão acordo com a normalização. A empresa terá que fazer modificações passando pelo processo certificação novamente em data futura para nova tentativa certificação. O custo pen vários fatores, tais como a conscientização da administração da empresa, quanto tempo o responsável pela certificação levará para se convencer sobre a conformida das instalações da empresa com relação à norma, ao tamanho e à complexida da empresa e seus sistemas, em qual nível segurança a organização se encontra, e outros mais. O processo certificação é longo e manda conscientização todos,

24 incluindo a alta gerência. Por isso ve ser estudado e analisado sempre antes do seu início forma a se obter um bom planejamento para a implementação dos procedimentos. 4.9.2 Certificações em Pessoas Nos dias hoje, com o aumento da competitivida do mercado, as organizações foram levadas a buscarem mais eficiência e qualida para seus funcionários. É necessário que os profissionais encarregados da segurança da empresa sejam habilitados e capazes principalmente no que diz respeito às informações que hoje se tornaram um ponto crucial entre concorrentes. Existem vários métodos empregados por empresas certificadoras em pessoas, sendo que cada uma tem a sua forma avaliação gerando a sua própria certificação. Entre as empresas que oferecem certificações em segurança estão a Internet Security Systems (ISS), Check Point, Módulo Security Solutions, Associação Auditoria e Controle Sistemas Informação (ISACA), International Information Systems Security Certification Consortium (ICS), entre outras mais. Devido ao fato ser muitas as empresas certificadoras, também são muitas ascertificações, on pomos encontrar algumas mais valorizadas e populares, ao contrário outras. O Certified Information Systems Security Professional (CISSP) é um dos mais importantes certificados internacionais sendo emitido pelo International Information Systems Security Certification Consortium. Apesar cobiçado, o CISSP é uma certificação muito pouco comum no Brasil. Segundo o site da ISC havia no Brasil apenas 33 profissionais certificados até 2002. Este certificado tem o custo aproximado U$450, e além passar em uma prova, o candidato ve atenr aos seguintespré-requisitos (COMPUTER, 2002): 1. Concordar e assinar o código ética do ISC. 2. Ter, no mínimo, três anos experiência profissional em alguns dos 10 domínios conhecimento em segurança da informação testados pela prova certificação.

25 3. Ser indicado por outro CISSP, empregador ou outra fonte digna confiança, como objetivo preservar a certificação e diferenciá-la ainda mais das mais certificações. Superado o safio da prova, o CISSP exige do profissional certificado um novo esforço terminando que todos os profissionais certificados ou façam as provas a cada três anos, ou senvolvam um mecanismo educação continuada, através do Continuing Professional Education (CPE). A ISACA introduziu a nova signação Gerente Habilitado em Segurança Informações (Certified Information Security Manager - CISM). O foco da certificação CISM em nível gerencial diferencia-se outras habilitações em segurança TI. Se concentra em aptidões baseadas em profissionais que gerenciam a segurança das informações uma organização e possuem o conhecimento e a experiência para instalar, implementar e dirigir a estrutura segurança com eficácia. Para obterem a signação CISM, os profissionais vem concluir com sucesso o exame, arirem a um código ética e submeterem evidência verificável cinco anos experiência relacionada com trabalho em segurança informações. A Certificação Módulo Certified Security Officer (MCSO), foi criada pela área serviços educacionais da Módulo Security Solutions, especializada em tecnologias para segurança dos dados. O profissional que sejar este certificado po escolher entre fazer um curso ou comprovar dois anos experiência na área segurança da informação. Após esta etapa é submetido a uma prova que procura atestar a capacida dos profissionais em organizar a infra-estrutura responsável pelo tratamento da segurança, planejar investimentos, finir índices e indicadores para análise do retorno investimento e coornar consultorias terceirizadas.

26 CAPITULO IV APLICAÇÃO ALFA & OMEGA A Empresa A empresa possui 50 anos atuação, e é uma organização privada fins não econômicos, que conta com 229 empresas associadas, e tem seu foco na promoção do senvolvimento do setor energia, visando uma indústria competitiva, sustentável, ética e socialmente responsável. Ao longo sse tempo, a Alfa & Omega construiu reconhecida credibilida junto à socieda e ao Governo não apenas por seu singular conhecimento técnico, mas também por fomentar as discussões grans temas afins para a constante estruturação do perfil do setor. A partir 2003, passou por uma profunda reestruturação organizacional para garantir maior sintonia suas atividas e produtos com o setor, sendo estes o resultado do trabalho senvolvido por 42 comissões, subcomissões e comissões ad-hoc, nas quais participam voluntariamente mais 950 profissionais, entre executivos e especialistas da indústria, instituições científicas e acadêmicas, órgãos do Governo e associações congêneres. 5.1 Princípios e Valores - Consistência e embasamento técnico - Orientação ao senvolvimento auto-sustentável - Respeito às opiniões 5.2 Atividas Técnicas As Comissões Técnicas iniciaram suas atividas em 1958, quando foi implantada a Comissão Armazenamento Petróleo. Hoje a organização conta com 15 Comissões Técnicas que discutem temas ligados a toda caia produtiva, s a exploração e produção petróleo até

27 a qualida rivados, passando pelo gás natural, e outros tipos geração energia, logística, meio ambiente e responsabilida social, entre outros temas igual importância. Atuando como "inteligência" da Alfa & Omega, as Comissões Técnicas atuam forma isenta, congregando especialistas instituições pesquisa, universidas, órgãos do governo e da indústria, em fóruns intensa troca experiências. Dada a importância suas atividas para o senvolvimento do setor energético, as Comissões coornam estudos, bates, cursos e eventos, contando com a participação voluntária mais 900 técnicos, escolhidos entre aqueles que mais se stacam em seu campo atuação. 5.3 Atividas Setoriais As comissões setoriais 220 representantes em empresas que atuam nos diferentes segmentos da caia geração energia. Têm como objetivo colaborar com autoridas governamentais no processo regulamentação ssas atividas, oferecendo sugestões para tornar a legislação brasileira aquada, estável e competitiva para a atração investimentos. A seguir relatamos as atividas das comissões : Regulamentação E&P Conselho Consultivo para Política Desenvolvimento do Gás Natural, Comercializadores Gás Natural, Gás Natural Veicular Comissão Transportadores Dutoviários e Refino (esta última em fase reestruturação). A Alfa & Omega organiza anualmente cerca 15 grans eventos relevância anualmente na área energia. Com o objetivo atenr às necessidas da indústria, o Instituto, com a ajuda suas Comissões Técnicas e Setoriais, procura sempre abordar os temas mais atuais em seus eventos, valorizando assuntos natureza técnica e gestão. 1 - MODELAGEM DE PROCESSOS AS IS x TO BE

28 Foram realizadas com a finalida explicitar os processos, seus gaps e pontos melhoria, duas molagens distintas, uma do cenário original (as is) e outra do cenário proposto (to be). A ação foi orientada pelas entrevistas com os colaboradores diretamente ligados a este processo, u origem as duas matrizes risco on mostramse os cenários originais e propostos. Desta forma a organização obtém forma clara uma visão concreta do ambiente, dos riscos que estes estão expostos, dos controles a serem implementados e principalmente dos pontos melhorias. Caia Valores Ficou evinte nas analises que a Alfa & Omega é uma empresa com foco em certificações importantes para o mercado energia, bem como treinamentos e especificações normas para este mercado. Os inputs principais para a caia valor da empresa são exatamente as necessidas constantes treinamento e normatizações ligadas a indústria do petróleo, gás e mas recentemente os bicombustíveis. Alfa & Omega - Caia Valores da Organização GESTÃO FINANCEIRA GESTÃO ADM GERENCIA DE TECNOLOGIA GERENCIA PEDAGOGICA Management processes NECESIDADES DE TREINAMENTOS E PADRÕES PARA EMPRESAS DO SETOR DE ENERGIA CAPTAÇÃO DE ASSOCIADOS ESTUDO DAS NECESSIDADES ADERENCIA AOS PROCESSOS GOVERNAMENTAIS CRIAÇÃO DE NORMAS, TREINAMENTOS E EVENTOS CERTIFICAÇÕES DE PROFISSIONAIS E EMPRESAS CERTIFICAÇÕES, TREINAMENTOS, EVENTOS E NORMAS Primary processes FINANCEIRO RECURSOS HUMANOS SUPORTE DE TI DEPTO. PEDAGÓGICO Supporting processes

29 Molagem Processos Criação e Envio Senhas (as is) Molagem processos Acesso a re corporativa - (as is)

30 Molagem processos Acesso a WEB - (as is) Matriz Risco Indicadores e Métricas Para que a matriz risco e seus controles sejam fieis em retratar os incintes e problemas do ambiente é muito importante que seja mensurada sobre informações consistentes. Utilizou-se alguns parâmetros importantes para esta analise e gerados scores para cada uma e suas variações, Utilizando a formula básica mensuração do risco: RISCO = PROBABILIDADE x IMPACTO Impacto Nível Caracteristicas 1 Insignificante Sem danos, prejuizos. Perda finaceira pequena 2 Mínimo Eventos sgastantes sem impacto no planejamento, tratados com pequenas spesas, com pouco impacto performance.

31 3 Morado Demanda tratamento especializado e significativo spendio financeiro 4 Elevado Gera grans prejuizos operacionais e financeiros 5 Catastrófico Eventos grans proporções que geram impacto no planejamento e comprometem a organização operacionalmente, financeiramente e mercadologicamente. Probabilida Nível Caracteristicas 0,95 Certo Acontecerá em várias circunstancias 0,75 Provável Provavelmente acontecerá 0,50 Possível Em algum momento acontecerá 0,25 Improvável Po acontecer pontualmente 0,10 Raro Po acontecer excepcionalmente Eficácia Nível Caracteristicas 1 Total Mitiga totalmente o risco 2 Controlada Evita o Risco na maior parte dos casos 3 Média Em algum momento acontecerá 4 Regular Acontecerá pontualmente 5 Ineficaz Certamente acontecerá Consequencias - Risco Nível Caracteristicas 1 Baixa De 0,10 à 0,75 2 Média De 0,95 à 1,90 3 Alta De 2,00 á 4,75

32 Matriz Risco - Ambiente Original (as is) Matriz Risco - Ambiente Original Função / Ativida Procedimentos em TI Autor Cesar Paiva Data 25/11/2008 Ativida Evento inicial Consequências Controles existentes Eficacia dos controles existentes Analise Probabilida Impacto Risco Criação e disponibilizaç ão login's e Senhas Envio da senha em papel impresso Utilização aleatórea escolha senha Quebra da confincialida Baixos padrões segurança das senhas Inexistente 5 0,95 3 2,85 Recomendaç ões verbais 4 0,50 3 1,50 Acesso a re corporativa Compartilhament o Login e Senha Quebra do principio pessoalida na re Recomendaç ões verbais 3 0,75 3 2,25 Acessos estações anti-vírus via sem Incintes relacionados problemas software hardware a e Verificações pontuais por parte dos técnicos TI 3 0,75 2 1,50 Acesso ambiente internet ao Infecção do sistema via Trojans e Spy's Perda confincialida e/ou informações estratégicas para a empresa Recomendaç ões verbais 4 0,75 5 3,75 Acessos a Sites improprios ao ambiente corporativo Perda produção, infecção códigos maliciosos perda credibilida corporativa por e Recomendaç ões verbais 5 0,90 2 1,80 Compartilha mento ativos físicos Acesso a documentos pessoais e/ou corporativos sigilosos Instalação códigos maliciosos invasão key logers como Perda confincialida e/ou informações estratégicas para a empresa Captura senhas e quebra sigilo e pessoalida no ambiente Inexistente 5 0,90 4 3,60 Inexistente 5 0,75 4 3,00 Compartilha mento ativos lógicos Alteração invidas e/ou não autorizadas em arquivos pessoais ou corporativos Perda confincialida e/ou informações estratégicas para a empresa Inexistente 5 0,50 3 1,50

33 Alteração invidas e/ou não autorizadas em configurações Incintes relacionados problemas software hardware perda performance paralizações a e ou e Verificações pontuais por parte dos técnicos TI 3 0,50 4 2,00 Rotinas Back-up Não cumprimento das rotinas Back-up Perda dados, capacida recuperação e confiabilida informações operacionais e/ou s estratégicas para a empresa Verificações pontuais por parte dos técnicos TI 3 0,50 5 2,50 Instalações programas (Software) Instalação Captura códigos senhas e quebra maliciosos sigilo e invasão como pessoalida no key logers ambiente Perda produção, Instalação infecção por softwares em não códigos conformida maliciosos e com o ambiente perda operacional credibilida corporativa Incintes Heterogeneida relacionados a impossibilitando problemas um padrão software e visando hardware ou integração dos perda sistemas performance e corporativos paralizações Inexistente 5 0,75 4 3,00 Verificações pontuais por parte dos técnicos TI Verificações pontuais por parte dos técnicos TI 5 0,75 3 2,25 5 0,90 3 2,70 Controle requisitos legais Controle licenças uso Implicações legais quanto a penalizações por uso invido softwares licenciados Verificações pontuais por parte dos técnicos TI 4 0,75 3 2,25

34 Molagem Processos Criação e Envio Login e Senhas (To Be) Molagem processos Acesso a re corporativa - (To Be)

35 Molagem processos Acesso a WEB - (To Be) Matriz Risco - Ambiente Proposto (to be) Matriz Risco - Ambiente Proposto Função / Ativida Procedimentos em TI Autor Cesar Paiva Data 25/11/2008 Ativida Evento inicial Consequências Criação e disponibilizaç ão login's e Senhas Acesso a re corporativa Acesso ambiente internet ao Envio da senha para o e-mail do usuário Criação senha utilizando 4 letras + 1 Número + 1 Caracter especial Quebra da confincialida Baixos padrões segurança das senhas Controles existentes Alerta recebimento Controle aplicado (regra) no sistema Políticas Quebra do Compartilhament seguança principio o Login e assinatura pessoalida na Senha termo re utilização Incintes Políticas Acessos via relacionados a instalação estações sem problemas anti-vírus software e hardware Perda confincialida Políticas Infecção do e/ou instalação sistema via informações Trojans e Spy's estratégicas para a empresa e do e manutenção Anti-Vírus e manutenção Anti-Vírus Eficacia dos controles existentes Analise Probabilida Impacto Risco 2 0,10 3 0,30 1 0,10 3 0,30 2 0,25 3 0,75 1 0,10 2 0,20 1 0,10 5 0,50

36 Compartilha mento ativos físicos Compartilha mento ativos lógicos Acessos a Sites improprios ao ambiente corporativo Acesso a documentos pessoais e/ou corporativos sigilosos Instalação códigos maliciosos invasão key logers como Alteração invidas e/ou não autorizadas em arquivos pessoais ou corporativos Alteração invidas e/ou não autorizadas em configurações Perda produção, infecção códigos maliciosos perda credibilida corporativa por e Controle aplicado (regra) no sistema Controle aplicado (regra) no sistema + Perda confincialida e/ou Políticas informações seguança estratégicas para a empresa assinatura termo utilização e do Controle aplicado (regra) no sistema + Captura senhas e quebra Políticas sigilo e seguança pessoalida no assinatura ambiente termo utilização e do Controle aplicado (regra) no sistema + Perda confincialida e/ou Políticas informações seguança e estratégicas para a empresa assinatura termo do utilização Incintes Controle relacionados a aplicado (regra) problemas no sistema + software e Políticas hardware ou seguança e perda assinatura do performance e termo paralizações utilização 1 0,10 2 0,20 1 0,10 4 0,40 1 0,10 4 0,40 1 0,25 3 0,75 1 0,10 4 0,40 Rotinas Back-up Não cumprimento das rotinas Back-up Perda dados, capacida recuperação e confiabilida informações operacionais e/ou s estratégicas para a empresa Controle aplicado (regra) no sistema, software controle back-up 1 0,10 5 0,50 Instalações programas (Software) Controle aplicado (regra) Instalação Captura no sistema + códigos senhas e quebra Políticas maliciosos sigilo e seguança e invasão como pessoalida no assinatura do key logers ambiente termo 1 0,10 4 0,40 utilização Perda produção, Instalação Políticas infecção por softwares em não seguança e códigos conformida assinatura do maliciosos e com o ambiente termo perda operacional utilização credibilida 2 0,25 3 0,75 corporativa Heterogeneida impossibilitando Incintes relacionados a um padrão problemas Política visando software e paronização 2 0,50 3 1,50 integração dos hardware ou aplicações sistemas perda corporativos performance e

37 paralizações Controle requisitos legais Controle licenças uso Implicações legais quanto a penalizações por uso invido softwares licenciados Controle aplicado (regra) no sistema + Políticas seguança e assinatura do termo utilização 2 0,25 3 0,75 Case ALFA & OMEGA A Empresa Alfa & Omega é a centralizadora uma gran associação que se relaciona com as maiores organizações ligada à área energia em território nacional e em países on estas empresas senvolvem projetos. Por conta sta característica se faz necessário a adoção processos e regras bem finidas gestão do risco em contextos segurança da informação. A empresa enten que atualmente seus níveis segurança da informação e a gestão do risco proveniente Problema Foi tectado pela diretoria da ALFA & OMEGA uma gran vulnerabilida nos sistemas e acessos em relação à segurança da informação da empresa, levando todos os gestores a direcionar uma atenção maior para este fato. Após este movimento foram tectadas diversas falhas na segurança informações e dados, s simples trocas arquivos lógicos até acessos invidos a áreas servidores on estão armazenadas informações confinciais e estratégicas da organização. Sugestões Com base nas informações adquiridas junto a empresa foi proposto um projeto revisão dos processos, analisados e senhados pelo viés da gestão risco utilizando como base consulta e molo referência a norma ISO/IEC 17799:2005.

38 CONCLUSÃO A apresentação do projeto Segurança da Informação a ALFA & OMEGA contribui para colocar a organização em um patamar maturida on a empresa, colaboradores e fornecedores passam a estar se relacionando em um ambiente mais seguro e assim com menos possibilidas incintes e problemas que afetem a operação ou mesmo a relação entre as partes envolvidas. A matriz risco e a molagem dos eventos mais críticos porão direcionar as ações realizadas pela área tecnologia para o conjunto confincialida, integrida e disponibilida. Foi cisivo para o senvolvimento idéias e molos aqui apresentados o envolvimento dos gestores TI e RH, fornecendo os molos utilizados sem restrições nas informações que são nossa matéria prima principal para o sucesso finitivo ste trabalho. Dada a baixa maturida dos processos e a quase inexistência controles risco aliados a impossibilida realizar entrevistas mais estruturadas com os colaboradores e fornecedores, foi necessário realizar um projeto que atensse forma mais generalista e menos especifica para cada área gerando segurança mais superficial e menos apurada, para um ambiente on não existiam quaisquer controles e/ou políticas segurança e controle do risco. Ficou claro para a Alfa & Omega que entenr sua área tecnológica e os riscos que se precipitam sobre ela pelo viés processos, gerou uma maior credibilida para a área e maior maturida para a organização como um todo. Os avanços operacionais e gestão, inseridos na empresa por meio stas técnicas acabaram se refletindo para outras áreas. Quase que instintivamente, uns partamentos mais e outros menos passaram também a ter maior interesse por elevarem seus níveis maturida corporativa, acabando por integrar toda a empresa numa gran movimentação orientada a processos que com certeza terá como maior reflexo positivo posicionar a Alfa & Omega num status empresa morna e alinhada

39 com as melhores praticas mercado, gerando um percepção valor mais alta para colaboradores, fornecedores e clientes. BIBLIOGRAFIA

40 ABREU, Aline frança Rezen, DENIS Alcis, Tecnologia da Informação Aplicada a Sistema Informação Empresariais- Atlas, São Paulo,6ª Ed. 2009. ALBERTIN, Rosa Maria De Moura, Estratégias Governaça Tecnologia Informação, Campus, 2001. BATISTA, Emerson O.- Sistemas Informação- O uso Consciente da tecnologia para gerenciamento, São Paulo, Saraiva,2000. BARROS, Daniela Melaré Vieira,Guia Pratico Sobre as Tecnologias da Comunicação e Informação, Viera e Lent, São Paulo, 2002. BRITO,Osias, Gestão Risco Uma Abordagem Orientada a Riscos Operacionais, Atlas, São Paulo,2005. CARR, Nicholas G.- Será que ti É Tudo?Repensando o Papel da Tecnologia da informação, Rio Janeiro, 2005. COIMBRA, Fabio, Riscos Operacionais- Estrutura para Gestão em Bancos, Rio Janeiro, Saint Paul,1999. DAMODARAN, Aswath, Gestão estratégica risco- referencia para a Tomada Riscos Empresariais, São Paulo, Bookman,1999. FOINA, Paulo Rogerio, tecnologia informação Planejamento e gestão -, SP Atlas,2ª Ed.2006. JUNIOR, Antonio M.Duarte, Gestão Riscos Para Fundos Investimentos, São Paulo, Premntice Hall, 2000 NOGUEIRA, Marcelo, Engenharia Software- Um framework para a gestão Riscos em Projetos Software,São Paulo, Ciencia Morna, 2003. OLIVEIRA, Alexandre Martins Silva, Contabilida gestão Risco, Governança Corporativa, Rio Janeiro, Atlas,2000 PRADO, Darcie, Gerencia Projetos em Tecnologia da informação Volume 5. São Paulo,Atlas, 1997. POTTER, R. Governaça TI- Tecnologia da Informação.São Paulo,M.books, 2001.

41 REZENDE, Denis Alcis, Tecnologia da Informação e Planejamento Estrategico, São Paulo Brasport, 2004. SILVA, Jose Pereira Gestão e Analise risco Credito- São paulo Atlas, 5ª Ed.2008. STAUFFER, Davi e GRIGGS, Michal, Tecnologia e Gestão da Informação,Rioo Janeiro, Campus 2003. WEILL, Peter, ROSS, Jeanne W. Administração da Tecnologia da Informação, São Paulo, Campus 2000.