InfoSec Council

  • Aumentar tamanho da fonte
  • Tamanho da fonte padrão
  • Diminuir tamanho da fonte
Home Valmir Schreiber
Valmir Schreiber
MEMBRO DO INFOSEC COUNCIL
Profissional com mais de 25 anos nos segmentos de informática e segurança da informação. Atualmente é Chief Security Officer (CSO) do Banco BNP Paribas Brasil. Graduado em matemática e pós-graduado em segurança da informação; possui certificado Certified Information Security Manager (CISM) pela Information System Audit and Control Association (ISACA); certificado em Information Technology Infrastructure Library (ITIL Foundation); representante da Associação Brasileira de Bancos Internacionais (ABBI) no Banco Central para o grupo de trabalho de segurança do Sistema de Pagamento Brasileiro (SPB); membro do InfoSec Council do Brasil; premiado em 2004, 2005, 2006 e 2007 entre os 50 mais influentes Security Officer pela revista IT Intelligence Magazine. Foi Presidente da ISACA capítulo São Paulo nos anos de 2005, 2006 e 2007. Atua no mercado em palestras sobre gestão de riscos tecnológicos, governança de TI e conscientização da segurança da informação.

PESI Melhores Práticas

Sáb, 27 de Março de 2010 14:22 Valmir Schreiber e André Pitkowski
Imprimir

Planejamento Estratégico da Segurança da Informação

Capítulo 7 - Melhores Práticas 

Valmir Schreiber

André Pitkowski

1. Introdução

Um dos maiores desafios da área de TI nos dias de hoje é estruturar os esforços para obter a conformidade com os critérios da SOX (Sarbanes-Oxley), circulares governamentais ou até mesmo as contratuais, PCI (Payment Card Industry). De modo geral, a maioria das empresas entende que precisam manter estruturas de proteção e segurança para seus sistemas e dados, mas tem dificuldade em entender quanto detalhadamente ou amplamente estes requerimentos devem ser interpretados. Neste ponto, as estruturas de controles inter-nos como o CobiT (Control Objectives for Information and Related Technology), ITIL (Information Technology Infrastructure Library) ou a ISO 27001 (padrão relacionado à segurança da informação) podem ajudar o pro-fissional.

Estruturas de controle e governança como o CobiT, ITIL ou catálogos de práticas como a ISO 27001 podem

ajudar as empresa de três formas distintas:

  • Explicitando as dimensões dos requerimentos de segurança e governança;
  • Demonstrando as várias opões para se atingir estes requerimentos; e
  • Estruturando um programa de conformidade.

1.1. As dimensões

Fácil pensar nos aspectos de conformidade como sendo o mesmo que um dos mecanismos que podem ajudar o profissional de TI a atingir suas metas de segurança. Por exemplo, seria o mesmo que os profissionais de segurança pensarem em seus firewalls, autenticação e mecanismos de autorização quando considerarem como sua informação deve ser protegida.

Uma forma mais produtiva é ver a segurança sob a perspectiva do que e como a organização costuma se proteger. Estruturas de controle exigem uma avaliação de riscos e a classificação de informações e ativos a serem protegidos antes de decidir como protegê-los. Ao considerar os riscos associados a uma atividade de conformidade, a avaliação de riscos irá forçar a organização a perceber quais das suas informações e processos irão impactar a precisão, transparência e responsabilidade final sobre os seus relatórios financeiros. A identificação e o processo de avaliação de riscos permitem à organização definir o escopo das atividades de conformidade e os riscos que deverão ser mitigados.

As estruturas de controle como o CobiT e ITIL expõem o fato de que segurança é mais do que simplesmente controles sobre sistemas e aplicativos. O escopo total da segurança inclui como uma organização está estruturada corporativamente – os checklists elaborados para desenvolver, manter e auditar os processos de negócio que estão contidos no escopo do Compliance. Inclua neste escopo mais do que as atividades internas, mas as externas, como os provedores de serviços e contratos com terceiros, por exemplo.

1.2. Os mecanismos

As estruturas de controle ajudam na identificação das ofertas de mecanismos, serviços e metodologias que as organizações podem fazer uso para mitigar riscos. Enquanto os tecnólogos tendem a estabelecer soluções técnicas, os padrões do CobiT, ITIL e da ISO enfatizam a necessidade de políticas e procedimentos baseados em processos de negócios corretamente estruturados para gerenciar riscos.

Por exemplo, existem momentos em que os mecanismos mais efetivos para garantir que somente os usuários apropriados obtenham acesso às informações financeiras da organização são envolver as pessoas corretas na aprovação e certificação destes controles de acesso. Algumas organizações podem passar ao largo da necessidade de mecanismos de segurança simplesmente configurando políticas que declarem qual informação sensível para o negócio deve estar contida em determinados ambientes de processamento de dados apropriadamente protegidos e devem ser transmitidas de forma particular. Esta medida compensatória simplifica tremendamente a tarefa de conformidade.

2. CobiT

Uma parte importante a ser considerada no texto de um documento de compliance deve ser a dedicada ao processo de continuidade de melhoria do próprio compliance, que, com qualquer regulamentação, contrato ou padrão, requer uma abordagem cíclica e estruturada para que se atinjam as metas. O CobiT apresenta e descreve os seguintes processos, que podem ser encontrados também em outras estruturas de controle:

  • Definir as metas específicas para o contexto do negócio e da organização da empresa;
  • Seleção dos controles para atender estas metas;
  • Organizar e implementar estes controles;
  • Avaliar a efetividade dos controles;
  • Repetir o processo.

Na medida em que o negócio evolui e se adequa ao mercado, o ambiente de trabalho acompanha estas mudanças. Cresce, encolhe, oferece novos produtos, instala novos processos ou se torna exposto a novas ameaças. Se os riscos mudam, os controles acompanham estas mudanças.

Há de se considerar, também, que uma prática considerada boa hoje poderá não mais atender às demandas de mercado amanhã. Em outras palavras, faz-se necessário um processo que se adapte e reconheça mudanças do negócio para as atividades de compliance, isto é: de uma estrutura de controle.

O público-alvo do CobiT é a alta administração das organizações, como também diretores e gerentes de IT e auditores em geral. O CobiT consiste em quatro seções:

  • Avaliação executiva;
  • Estrutura;
  • Conteúdo principal (objetivos de controle, guia de gerenciamento e modelos de maturidade);
  • Apêndices (mapas, referências e glossário).

A seção conteúdo principal é dividida em 34 processos, nos quais em cada um deles está descrito em quatro subseções de cerca de uma página cada. Cada subseção contempla:

• Visão geral dos objetivos de controle, que incluí um resumo das metas do processo, métricas e práticas;

  • Uma descrição dos objetivos e um mapeamento do processo e seus domínios, critérios de informação e recursos de TI;
  • Objetivos detalhados dos controles dos processos, que provê um total de 214 indicadores divididos entre os 34 processos;
    • Guias de gerenciamento, que incluem as entradas e saídas do processo, a tabela RACI (responsible, accountable, consulted, and informed), metas e métricas;
      • Modelo de maturidade para o processo, que orientada à ação. Este material tem como objetivo ajudar às organizações a responder perguntas gerenciais, tais como:
      • Quanto a empresa pretende investir? Os custos são justificados pelos benefícios?
      • Quais são os indicadores que medem boas performances?
      • Quais são os fatores críticos de sucesso?
      • Quais são os riscos se os objetivos da organização não forem alcançados?
      • O que outras organizações iguais à minha estão fazendo? E como elas fazem para medir e comparar?

2.1. Um modelo unificado

O CobiT contempla os modelos estabelecidos, como o CMM (Capability Maturity Model, ou Modelo de Maturidade de Capacidade) do Instituto de Engenharia de Software, ISO 9000, ITIL e ISO 27001 (modelo de segurança padrão, agora ISO 27001). Na realidade, 13 dos 34 objetivos de controle de alto nível são derivados diretamente do ITIL Service Support e Service Delivery.

Em função da sua larga abrangência e também porque está baseado em muitas práticas existentes, o CobiT pode agir como um integrador que traz práticas dispersas debaixo de um modelo único, ajudando a alinhar atividades com os objetivos do negócio.

Orientado para governança de TI, provê um modelo amplo e genérico, o que o torna aplicável na maioria das organizações. Podem ser usados outros padrões que cubram áreas específicas com mais detalhe, como ITIL e ISO 27001, e que, em conjunto com o CobiT, permitem criar uma melhor orientação a resultados.

3. ITIL

O ITIL provê diretrizes para melhores práticas de processos de ITSM (ou gerenciamento de serviços de TI) para melhor alinhar a TI aos negócios. O CobiT ajuda a organização a moldar os processos de ITIL às suas necessidades e metas, além de ajudar a estabelecer um ponto de início e um para o fim; ou seja, avalia onde a organização está agora e onde ela quer chegar. Sabendo-se estas metas, então, criar ou desenvolver as atividades para atingir esse objetivo.

3.1. ITIL – visão geral

O ITIL pode ser definido como um guia para as melhores práticas dos processos de TI. Desenvolvido na década de 1980 pela OGC (Office of Government Commerce), uma agência do governo britânico, o ITIL define processos em alto nível, deixando para as organizações a tarefa de implantar os processos da maneira mais satisfatória às suas necessidades.

O ITIL tem se tornado um padrão mundial de fato, desde que milhares de organizações adotaram este guia como modelo de gestão de TI. A principal contribuição do ITIL é promover o alinhamento de TI ao negócio. O ITIL define qualidade de serviço como objetivo e promove o alinhamento entre os serviços a serem entregues e as necessidades atuais do negócio. Organizações que queiram certificar suas áreas de TI em gestão de processo poderão fazê-lo por meio do ISO 20000, baseado no ITIL.

Embora o ITIL tenha uma cobertura abrangente, seu foco principal é o ITSM. O ITIL provê um modelo compreensivo, consistente e coerente de melhores práticas para o ITSM e seus processos relacionados, promovendo foco na qualidade, visando alcançar efetividade empresarial e eficiência no uso de sistemas de informação.

4. CobiT e ITIL agregando resultados

4.1. Combinando ITIL e CobiT para atingir os desafios dos negócios

As áreas de TI estão cada vez mais sob crescente pressão para alinhar-se às metas empresariais de suas organizações. Desafio que pode estar sob a pressão de atender a regulamentações como a lei SOX e Basiléia II. Obter esta conformidade requer forte capacidade de governança, com evidências claras para auditores externos. Em virtude de representar um papel tão importante para os negócios, a área de TI se vê cada vez mais comprometida a prover os meios de demonstrar essa capacidade de responder a estes desafios. Para tal, confiam em diretrizes como o ITIL e o CobiT para ajudar a entender e endereçar estes desafios.

Este tópico discute como ITIL e CobiT podem ser usados em conjunto com uma breve avaliação sobre ambos e uma análise de sua complementaridade. Tanto ITIL quanto CobiT permitem que as organizações alcancem três objetivos:

  • Por meio do uso de melhores práticas, prover gerenciamento por processos além de gerenciar TI por meio de uma perspectiva empresarial focada em resultado e conformidade;
  • Foco em processos com metas claras, baseado nos objetivos de negócios da organização e provendo recursos que permitam a medição deste progresso;
  • Assegurar governança efetiva de TI ao nível de controle de processos e permitindo à TI demonstrar que atende ou excede os requisitos estipulados pela área de negócios ou por regras externas à TI.

Porém, há certa confusão nas áreas de TI sobre estes modelos. Alguns pensam que eles são duas alternativas para uma mesma meta, enquanto outros pensam que eles são mutuamente exclusivos. Na realidade, eles são altamente complementares e juntos provêem muito mais valor do que se usados separadamente. O CobiT esboça o que você precisa fazer para enfrentar estes desafios, enquanto o ITIL mostra como chegar lá.

4.2. Combinação de modelos

Organizações que querem adotar o ITIL precisam estruturar um modelo para a governança efetiva de TI. O CobiT provê um modelo amplo de governança, que inclui diretrizes para ajudar a estruturar a área de TI para as exigências organizacionais. O CobiT também provê um mecanismo para medir a capacidade da atividade (pessoas, processos e tecnologia) para alcançar um resultado que satisfaça as exigências organizacionais, por medir seu desempenho.

Embora o CobiT seja orientado a processos de TI, não inclui as atividades ou etapas de processos. Focaliza sobre o que a organização precisa fazer em lugar de como fazer isto. É focado nas exigências empresariais e provê orientação do que é necessário para satisfazer estas exigências. Por outro lado, o ITIL define as melhores práticas dos processos para o ITSM e como chegar lá. Focaliza em métodos e define um jogo mais inclusivo de processos que o CobiT, provendo um guia para a construção destes processos.

CobiT e ITIL provêem uma excelente combinação para ajudar às organizações a gerenciar TI a partir de uma perspectiva de negócios, em um modelo conhecido como Gerenciamento de Serviços de Negócios (Business Service Management, ou BSM).

Repetindo: o ITIL provê diretrizes para melhores práticas de processos de ITSM para melhor alinhar TI com os negócios. O CobiT ajuda a organização a moldar os processos de ITIL às suas necessidades e metas. Ajuda a organização a estabelecer um ponto de início e um para o fim; ou seja, avaliando onde a organização se encontra e onde quer chegar. Sabendo-se estas metas, criar ou desenvolver as atividades para atingir esse objetivo.

O CobiT também provê um mecanismo efetivo para gerenciar e medir o progresso da implantação dos processos do ITIL, ajudando a organização a entender seus objetivos, além de medir o progresso para atingi-los, em melhoria contínua – uma das maiores contribuições de projetos baseados no ITIL. Para maior proveito, é sugerido, inclusive, o uso do documento “Alinhando CobiT, ITIL, ISO 2000 e ISO 27001 para Gerenciamento dos Negócios” (Aligning CobiT, ITIL, ISO 20000, and ISO 27001 for Business Benefit Management Summary), criado pelas entidades ITGI (IT Governance Institute), OGC (Office of Government Commerce), itSMF (IT Service Management Forum) e BSI (British Standards Institution), que apresenta um guia sobre como implementar melhor a combinação do CobiT, ITIL e série ISO 27000.

5. COSO

Há mais de uma década, o COSO (Committee of Sponsoring Organizations of the Treadway Commission) publicou a obra Internal Control – Integrated Framework para ajudar às organizações a avaliar e aperfeiçoar seus sistemas de controles internos. Desde então, a referida estrutura foi incorporada em políticas, normas e regulamentos adotados por milhares de organizações para controlar melhor suas atividades, visando o cumprimento dos objetivos de negócio estabelecidos.

Nos últimos anos, intensificou-se o foco e a preocupação com a gestão de riscos e tornou-se cada vez mais clara a necessidade de uma estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em 2001,

o COSO iniciou um projeto com esta finalidade e solicitou à PricewaterhouseCoopers que desenvolvesse uma estratégia de fácil aceitação e utilização pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos. O período de desenvolvimento desta estrutura foi marcado por uma série de escândalos e quebras de negócios, de grande repercussão, que gerou prejuízos significativos a investidores, empregados e outras partes interessadas. Na esteira destes eventos, vieram solicitações de melhoria dos processos de governança corporativa e gestão de riscos, por meio de novas leis, regulamentos e de padrões a serem seguidos. Tornou-se ainda mais necessária uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os princípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação claros. O COSO é de opinião que o documento “Gerenciamento de Riscos Corporativos – Estrutura Integrada” vem para preencher esta lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizações, bem como por todas as partes interessadas. Nos Estados Unidos, entre as consequências, destacam-se a Lei SOX, de 2002, e a legislação semelhante que está sendo promulgada ou analisada em outros países. Esta lei amplia a exigência de que as companhias que negociam ações em bolsas de valores norte-americanas mantenham sistemas de controles internos, demandem a certificação da administração e contratem os serviços de auditores independentes para atestar a eficácia dos referidos sistemas. A obra Internal Control – Integrated Framework, que vem sendo submetida ao teste do tempo, serve como norma de ampla aceitação para o atendimento dos requisitos de comunicação.

A obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema, mais abrangente, de gestão de riscos corporativos, cuja estrutura proposta, embora não tenha por meta substituir a estrutura de controles internos das organizações, incorpora a estrutura de controles internos em seu conteúdo. Além disso, poderá ser por elas utilizada, tanto para atender às suas necessidades de controles internos quanto para adotar um processo completo de gestão de riscos.

A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas (donos, acionistas, investidores e controladores). Todas as organizações enfrentam as incertezas do mercado onde atuam e o desafio de seus administradores é determinar até que ponto pode aceitar esta incerteza e definir como ela pode interferir no esforço para gerar valor às partes interessadas. As incertezas representam os riscos e as oportunidades de negócio, com potencial para destruir ou agregar valor. A gestão de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, isto é, os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.

O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos, considerando os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização.

O gerenciamento de riscos corporativos tem por finalidade:

  • Alinhar o “apetite” a risco com a estratégia adotada: os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar estes riscos;
  • Fortalecer as decisões em resposta aos riscos: o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos;
  • Reduzir as surpresas e prejuízos operacionais: as organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados;
  • Identificar e administrar riscos múltiplos e entre empreendimentos: todo empreendimento enfrenta uma variedade de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos interrelacionados e, também, respostas integradas aos diversos riscos;
  • Aproveitar oportunidades: pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa;
  • Otimizar o capital: a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação deste capital.

Estas qualidades, inerentes à gestão de riscos corporativos, ajudam os administradores a atingir as metas de desempenho e de lucratividade da organização, evitando a perda de recursos. A gestão de riscos corporativos contribui para assegurar comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas consequências.

6. CBK

O CBK (Common Body Of Knowledge) é uma compilação feita pela ISC2 (International Information Systems Security Certification Consortium) do conhecimento relativo à área de segurança da informação em dez domínios distintos, que compreendem desde a segurança física até a análise de risco. A ISC criou também um programa de treinamento e certificação do profissional de segurança, chamado CISSP (Certified Information Systems Security Professional).

7. Associações

7.1. ISACA

A ISACA® (Information Systems Audit and Control Association) é uma associação internacional formada por profissionais que atuam nas áreas de auditoria de sistemas, segurança da informação e, principalmente, governança de TI. Iniciou suas atividades em 1967, com um pequeno grupo de auditores que atuavam em organizações nas quais os sistemas informatizados começavam a cada vez mais desempenhar operações críticas.

Os associados da ISACA (mais de 86 mil em todo o mundo) são caracterizados por sua diversidade. Estes membros vivem e atuam em mais de 160 países e em diferentes posições relativas à tecnologia da informação (auditores de sistemas, consultores, profissionais de segurança da informação, CIO’s, professores e pesquisadores, dentre outros).

É importante notar que a maioria dos associados desempenha suas funções em organizações de todos os segmentos econômicos – indústria, comércio, finanças e governo. Esta é, positivamente, a origem da força e expressividade da ISACA (www.isaca.org). As experiências adquiridas e trocadas entre os associados é o fator mais importante da associação, que possui uma base de conhecimento muito rica e diversificada disponível aos associados.

Esta representatividade da ISACA também reside na sua abrangência global com mais de 175 capítulos estabelecidos em mais de 70 países. Estes capítulos provêem às suas comunidades oportunidades de treinamentos, compartilhamento de recursos, suporte, network profissional e facilidade de interagir pelos cinco continentes e uma série de benefícios em nível local e internacional.

Mundialmente, a ISACA organiza, patrocina e controla a certificação para profissionais que atuam nas áreas de auditoria de sistemas (CISA® – Certified Information Systems Auditor), de segurança da informação (CISM® – Certified Information Security Manager) e de Governança de TI (CGEIT® – Certified in the Governance of Enterprise IT). Estas certificações são internacionais, reconhecidas e altamente valorizadas no mundo inteiro, constituindo hoje uma comunidade de mais de 38 mil profissionais certificados.

No Brasil, a ISACA (www.isaca.org.br) possui capítulos em São Paulo, Rio de Janeiro, Brasília e em formação em outras regiões, com uma rede de mais de 450 associados e em ascensão.

7.2. ISSA®

A ISSA (Information Systems Security Association) é uma associação de profissionais de segurança da informação presente hoje em 24 países, com mais de 13 mil associados. Seu objetivo é estimular o relacionamento entre os associados e trazer benefícios a estes por meio de parcerias, eventos, treinamentos e conteúdo. Uma de suas características é ser focada especificamente em segurança da informação, embora a associação possua programas diversificados que beneficiam desde o técnico iniciante até o executivo tomador de decisões das organizações.

Da ISSA nasceu a ISC2, responsável pela certificação de Profissionais SSCP (Systems Security Certified Practitioner), voltada à certificação técnica de profissionais de segurança e CISSP® (Certified Information Systems Security Professional), uma das mais respeitadas certificações de segurança no mundo, baseada nos dez domínios do CBK, que cobrem praticamente todos os tópicos referentes à segurança da informação.

Para obter a certificação CISSP, é necessário comprovar experiência em pelo menos um dos domínios e realizar uma prova com 250 questões sobre os dez domínios em um prazo máximo de seis horas.

No Brasil, a ISSA possui um capítulo regional que pode ser acessado pelo endereço www.issabrasil.org e a ISC2 pode ser acessada pelo endereço www.isc2.org.

* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.

 


Principal

Membros do InfoSec

Apoio

  • An Image Slideshow
  • An Image Slideshow

Entidades

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Em cartaz

Slideshow Image 1
Slideshow Image 2
Slideshow Image 3
Slideshow Image 4

Itens Relacionados

Veja

Slideshow Image 1
Slideshow Image 2

Artigos Recentes:

NewsFlash:

 
 

 
 
 
 
 
 
 
 
  • O índice de notícias apresenta links sobre segurança da informação, direito eletrônico, forense computacional e muito mais.