InfoSec Council

  • Aumentar tamanho da fonte
  • Tamanho da fonte padrão
  • Diminuir tamanho da fonte
Home Edison Fontes PESI - Aspectos tecnológicos, humanos e financeiros

PESI - Aspectos tecnológicos, humanos e financeiros

Sáb, 27 de Março de 2010 14:22 Edison Fontes
Imprimir

Planejamento Estratégico da Segurança da Informação

Capítulo 4 - Aspectos tecnológicos, humanos e financeiros *

Edison Fontes

Neste capítulo, destacamos um aspecto que deve ser considerado no Planejamento Estratégico da Segurança da Informação (PESI) nas organizações, independente do seu porte ou tipo do negócio. Trata-se do aspecto humano, que é tão importante quanto a questão técnica e a financeira. Acreditamos que o balanceamento adequado destes três elementos possibilita o sucesso do planejamento e da execução do processo de segurança da informação.

1. Introdução

A segurança em sistemas de informação deve contemplar não apenas os aspectos técnicos. As particularidades sociais referentes ao ambiente da organização e às pessoas também têm sua importância e devem ser consideradas. Pelo fato de, historicamente, a segurança da informação ter início a partir da área técnica de processamento de dados, os aspectos sociais da organização e das pessoas têm sido deixados de lado ou têm tido uma menor prioridade ou, em caso extremos, têm sido completamente esquecidos. Este fato pode ser uma boa explicação para muitas empresas, mas, com certeza, não justifica as atitudes de muitas organizações pelo desinteresse ou não consideração dos aspectos relativos às pessoas, seja considerando os indivíduos isoladamente ou o ambiente social da organização.

 

Precisamos de regras explícitas, rígidas o suficiente para que sejam cumpridas por todos. Porém, mais do que isso, precisamos de pessoas que entendam o porquê das regras de proteção da informação e as sigam não por medo, mas por alinhamento com a organização em termos de proteção do negócio e de que o sucesso do negócio é o sucesso de todos. Isto não quer dizer que todos concordarão com todas as regras, normas e políticas, mas que todos terão uma postura profissional perante a segurança da informação.

Em relação aos aspectos técnicos, chamamos a atenção para o fato de muitas vezes o profissional de segurança da informação focar-se apenas na proteção do recurso, sem se preocupar com os fatores gerenciais e outros que permitam um planejamento adequado e uma execução do processo de segurança da informação com mais chances de sucesso. O profissional de segurança da informação deve ter uma visão ampla de tudo que contribui para o sucesso do processo de Segurança da Informação (bem como o que pode prejudicar), começando pelo planejamento e se cristalizando na sua implantação.

O terceiro aspecto fundamental a ser contemplado no processo de segurança da informação é a questão financeira, que possibilita a viabilização do uso dos bens de informação e dos recursos de proteção.

2. Definições

2.1. Aspectos sociais

São os aspectos relacionados às pessoas e ao ambiente em que as elas vivem e trabalham.

2. 2. Aspectos técnicos

São os aspectos relacionados à tecnologia e aos seus recursos.

3. Planejamento da segurança da informação

A elaboração de um planejamento é primordial para a implantação de um processo de segurança da informação. Abaixo, consideramos os principais itens que devem ser observados em uma ação de planejamento neste sentido.

A segurança da informação é rica em atividades operacionais. Em função de fraquezas existentes, somos levados a começar imediatamente pelas ações técnicas que são importantes. Porém, o perigo reside em ficarmos limitados às atividades operacionais. Por ser um elemento importante para a organização, é fundamental a existência de um elaborado planejamento estratégico, que deve ser validado com a alta administração da organização e que orienta o direcionamento dos caminhos que os projetos e atividades devem seguir. Em sua montagem, o PESI deve ter orientações básicas que devem proteger a estratégia a ser adotada.

Entre elas, consideramos:

a) Alinhamento com a legislação e políticas da organização – todas as ações voltadas à segurança da informação devem respeitar a legislação vigente do país e não devem ir de encontro às políticas organizacionais.

b) Consideração às iniciativas de negócio – realização dos negócios é a ação mais importante, afinal, dela depende a sobrevivência da organização. A segurança deve garantir que o uso da informação nas diversas iniciativas esteja acontecendo de forma adequada, assim como uma proteção extremada pode acabar inviabilizando a realização de negócios.

c) Definição da estrutura e forma de atuação da área de segurança – esta questão deve definir alguns pontos, como abaixo:

• Se a área de segurança da informação irá utilizar recursos humanos próprios ou de outras áreas para os projetos;

• Qual será a posição organizacional da área de segurança da informação;

• Qual será o escopo de atuação da área de segurança da informação.

d) Definição de onde virão os recursos financeiros – é durante o planejamento do processo de segurança da informação que se deve definir estrategicamente de onde virão os recursos financeiros para viabilizar a execução dos diversos projetos, bem como a utilização pela organização de vários recursos de informação. Neste momento, também se deve esclarecer as responsabilidades (em relação aos recursos financeiros) para as áreas usuárias, técnicas e para a de segurança da informação.

e) Arquitetura de segurança da informação – o processo de segurança da informação deve seguir uma arquitetura e é importante que seja algo possível de ser implantado. Afinal, ela possibilita a visão completa da abordagem da proteção. Em meu livro Vivendo a segurança da informação, sugiro uma arquitetura prática.

f) Ser humano – o comprometimento do usuário é um pilar para que a segurança da informação seja efetiva para a organização. É necessário que este usuário receba treinamento específico para:

• Conscientização em segurança;

• Conhecimento das políticas, normas e procedimentos;

• Conhecimento técnico, relativo às questões que lhe afetam.

g) Tecnologia para ações de proteção – o uso da tecnologia é necessário para a proteção no ambiente computacional. A organização, por meio da área de segurança, deve utilizar todos os recursos disponíveis para a proteção da informação; evidentemente, de forma profissional e compatível e com os seus recursos financeiros.

Muitas vezes, o profissional de segurança da informação, pressionado pela situação da organização, foca apenas neste aspecto das soluções tecnológicas para a proteção da informação. Situações deste tipo podem existir, mas de forma temporária, pontual. Para implantar um processo efetivo de segurança da informação é necessário não ficar focado neste aspecto.

4. Aspectos sociais

4.1. Regulamentos

Os regulamentos (políticas, normas e procedimentos) proporcionam a construção e explicitação dos pontos considerados como “padrão de conduta”. As pessoas devem seguir estes regulamentos; caso contrário, estarão quebrando regras de convivência com a organização.

Para melhor compreensão, é importante que estes documentos sejam objetivos, claros e transmitam o essencial. Isto é, quando falamos em política, significa a cultura da organização em relação ao tema segurança da informação. Ela deve ter poucas páginas e dizer explicitamente o que se quer. Não precisa entrar em detalhes do como fazer, já que nas normas e procedimentos teremos este detalhamento.

É importante para o aspecto social que a política principal da organização para a segurança da informação seja assinada pelo presidente. As pessoas, ao lerem a política e identificarem que a mesma foi assinada pelo presidente da organização, entenderão mais facilmente a importância da segurança da informação para o negócio.

Os regulamentos sobre a segurança da informação devem ser sempre lembrados aos usuários nos treinamentos periódicos. Eles devem ser de fácil acesso, tipo intranet da organização. Evidentemente, junto com a existência destes documentos, é fundamental que as regras descritas sejam seguidas por todos, inclusive pelo presidente. As pessoas precisam entender que as regras são para cumprimento profissional por todos da organização.

4.2. Cultura organizacional

Esse aspecto social é construído ao longo do tempo. Quando implantamos um processo de segurança da informação devemos considerar a cultura da organização. Na medida do possível, devemos definir os controles de segurança respeitando esta cultura. Não quer dizer que este processo vá se curvar e deixar de fazer a devida proteção de um recurso por que isto vai contra a cultura. Quer dizer que, ao implantar um controle, devemos considerar seu impacto sobre as pessoas e a cultura organizacional existente. A implantação de um processo de segurança da informação em órgão do governo é bem diferente de uma empresa de publicidade, por exemplo. Contudo, ambas as implantações buscam proteger adequadamente a informação necessária ao sucesso do negócio e/ou alcance dos objetivos da organização.

Mas, cultura organizacional também se cria. Normalmente, para que o processo de segurança da informação aconteça de forma adequada é necessário que os requisitos de segurança sejam considerados no início do desenvolvimento de sistemas. Na vida prática das organizações, muitas vezes esta área é envolvida em novos sistemas na fase de implantação do sistema em produção. Neste caso, tem de haver uma mudança na cultura organizacional no que diz respeito ao processo de desenvolvimento de sistemas para que os requisitos de segurança sejam discutidos e a sua utilização seja validada na especificação técnica do desenvolvimento de sistemas.

Sendo assim, considerar a cultura organização é uma estrada de duas vias. A segurança considera as características da organização, que deve desejar que a segurança proteja adequadamente a informação, mesmo que (na verdade, quase sempre) este fato acarrete um custo de tempo e de esforço nos processos.

4.3. Clima organizacional

O clima organizacional é o ar virtual de todos os pensamentos e sentimentos em relação à organização que as pessoas inspiram e expiram. Quanto melhor o clima organizacional, mais chances de sucesso o processo de segurança da informação terá. Este aspecto é fundamental e será um acelerador ou um impedimento para que a informação tenha a proteção adequada. Isto não quer dizer que organizações que possuam um clima organizacional em baixa não possam implantar um processo de segurança da informação. Podem e devem. Porém, o profissional da área deve estar atento, pois será uma tarefa mais difícil.

Mais importante do que o nível do clima organizacional, entretanto, é a sua causa. Seu nível é apenas uma foto. Precisamos estar cientes e acompanhando a causa. Se uma organização será adquirida por outra ou se está deixando de atuar no país, evidentemente, o clima será tenso e a alegria não será o forte.

Esta situação é bem diferente de uma organização que possui historicamente um programa de “busca o culpado”, “caça às bruxas”, altíssima rigidez (não compatível com o negócio) em relação a atitudes do funcionário ou terceiros e outras situações equivalentes.

Uma organização que possui funcionários e prestadores de serviço satisfeitos com o trabalho, orgulhosos das conquistas de todos e desejosos de continuarem neste ambiente nos próximos cinco anos, tem facilitada a implantação do processo de segurança da informação. Isto não quer dizer que todos acharão uma maravilha estas ações. Significa que todos terão uma atitude profissional perante às políticas, normas e procedimentos de proteção da informação.

Concluindo, ambiente de não-confiança entre as pessoas, clima de inimizades, revolta contra a organização e outros problemas não impedem a implantação de um processo de segurança, mas dificultam em muito.

4.4. Processo contínuo de treinamento

Quando uma organização possui um processo de treinamento contínuo, é mais fácil desenvolver um processo de conscientização em segurança da informação, que, por sua vez, contribui para que o ambiente de trabalho das pessoas esteja constantemente possibilitando o crescimento profissional e como ser humano do funcionário ou prestador de serviço. À medida que a pessoa se sente considerada para treinamentos e outras ações, o ambiente social torna-se mais positivo. É necessário que todos, ao entrarem na organização, recebam um treinamento inicial em segurança da informação e, ao longo da sua permanência na empresa, recebam treinamento periódico sobre o assunto, tanto com foco de conscientização quanto com uma abordagem mais técnica.

A realização de campanhas de segurança é recomendável, mas elas devem fazer parte de um conjunto de medidas praticadas por toda a vida da organização. Hoje, já há elementos que ajudam neste processo: palestras, livros, teatro corporativo, entre outros.

4.5. Profissionalismo

Muitas organizações ainda possuem um clima amador nas relações com seus funcionários e entre eles. Um processo de segurança da informação será mais bem-sucedido quando o ambiente é pautado pelo profissionalismo. O amadorismo / informalismo profissional em questões empresariais aparece mais nas empresas médias e nas familiares (independente do tamanho) e este elemento está intimamente ligado com a questão das políticas, normas e procedimentos. Organizações pautadas pelo profissionalismo desenvolvem e implantam mais facilmente regulamentos deste tipo.

5. Aspectos técnicos

5.1. Atualização da tecnologia

Estamos em um mundo que tem uma fantástica rapidez na mudança e aprimoramento da tecnologia, fazendo com que o negócio utilize cada vez mais estes novos recursos. Desta forma, a segurança da informação tem de alcançar esta nova tecnologia e definir quais serão os novos controles. Esse fato, muitas vezes, faz com que a questão esteja (considerando o cronograma) atrás das iniciativas do negócio. O que devemos garantir é que esta diferença seja aceitável e não ponha em risco o negócio.

Precisamos considerar como a área de segurança da informação se manterá atualizada em termos de tecnologia. Para isso, as formas variam desde uma solução interna até a utilização de um parceiro competente. O que é importante é que o responsável pela área de segurança da informação tenha isso esclarecido.

5.2. O fornecedor da solução

Quando uma organização adota uma solução ou um fornecedor de tecnologia, de uma maneira mais ou menos forte, ele fica refém desta solução ou do provedor de recurso. Sendo assim, é muito importante que sempre seja considerada a continuidade da solução (ou do fornecedor). Nos últimos anos, mesmo empresas sólidas foram adquiridas por outras organizações que simplesmente congelavam uma solução da primeira, obrigando os clientes mudar para a solução da organização compradora.

Porém, estes acontecimentos não devem impedir a utilização de parceiros. “Homem algum é uma ilha”, já dizia um pensador. Organização alguma sobrevive sozinha, é a nossa realidade. Precisamos de parceiros e teremos parceiros sempre. É necessário termos uma visão profissional que nos permita analisar e gerenciar o risco que estes relacionamentos e dependências trazem para a organização.

5.3. Requisitos de segurança devem ser mantidos

Não é pelo fato de estarmos utilizando uma nova tecnologia ou solução que os requisitos de segurança devem ser deixados de lado. Identificação individual, registro dos acessos realizados, controle de acesso, cópias de segurança, continuidade de negócio etc. são aspectos da segurança da informação que sempre devem ser considerados, independente da solução ou tecnologia. Todo profissional da área deve ter claro os seus principais requisitos, que são válidos há séculos e continuarão assim por muitos outros.

Em alguns momentos, a tecnologia disponível não facilita; em outras vezes, ela torna possível e facilita a implantação de requisitos específicos. Não devemos confundir os requisitos de segurança com as facilidades que a tecnologia nos disponibiliza para implantar estes requisitos.

6. Aspectos financeiros

O planejamento e implantação do processo de segurança da informação necessitam de recursos financeiros para a sua execução. Pessoalmente, sou da opinião de que todas as organizações têm condições de planejar, implantar e manter um processo de segurança da informação. Todas têm recursos financeiros suficientes para ter uma proteção da informação compatível com o porte e seu negócio/objetivo.

O que se precisa é identificar como o recurso financeiro realizará o processo de segurança. Isto é, de quem será a verba financeira para o processo de segurança. Por exemplo: a compra de equipamentos tipo firewall e os respectivos produtos serão pagos pela área de tecnologia ou pela área de segurança da informação?

É necessário que este aspecto esteja explícito para que o planejamento do recurso financeiro esteja sincronizado com o cronograma do planejamento, desenvolvimento e manutenção do processo de segurança da informação.

7. Conclusão

A segurança para sistemas de informação não é uma atividade trivial, pois deve considerar tanto os aspectos técnicos quanto os do ambiente da pessoa e do ambiente da organização. Cada um dos aspectos apresentados pode (e deve) ser subdividido. O importante é que você entenda este conceito e aplique quando da implantação e manutenção do processo de segurança da informação em uma organização.

 

* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.

 

Principal

Membros do InfoSec

Apoio

  • An Image Slideshow
  • An Image Slideshow

Entidades

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Em cartaz

Slideshow Image 1
Slideshow Image 2
Slideshow Image 3
Slideshow Image 4

Veja

Slideshow Image 1
Slideshow Image 2

Artigos Recentes:

NewsFlash:

 
 

 
 
 
 
 
 
 
 
  • O índice de notícias apresenta links sobre segurança da informação, direito eletrônico, forense computacional e muito mais.