Veículo: IT4CIO – Integrando CIOs e gerando conhecimento
Participação: Edison Fontes
Data: 02/04/2012
Pauta: Política de Segurança da Informação
Publicação original: clique aqui!
PSI: “As organizações ainda pensam que segurança da informação é apenas implantar um antivírus”, afirma especialista.
Estudos apontam que riscos e fraudes na segurança de computadores e redes corporativas estão crescendo consideravelmente no Brasil e no mundo. Estima-se um aumento de 44% de ciberataques bem sucedidos às empresas, entre 2010 e 2011, o que significa uma média de mais de um ciberataque por semana. Além disso, acredita-se que no Brasil as instituições começam a se preocupar com medidas preventivas aos impactos de ciberataques apenas depois de uma ocorrência significativa. Esse tipo de ataque pode prejudicar desde o funcionamento básico de um site como também provocar o desligamento de redes e o roubo de informações.
O Portal IT4CIO convidou o consultor Edison Fontes, da Núcleo Consultoria, para falar sobre o assunto. Mestre em Tecnologia, Fontes se dedica ao tema Política de Segurança da Informação desde 1989. Em entrevista exclusiva, o consultor fala sobre a forma como as empresas administram a segurança da informação e qual o melhor caminho para elaborar uma Política de Segurança da Informação eficiente.
Portal IT4CIO – Pesquisas apontam que riscos e fraudes na segurança de computadores e redes corporativas estão crescendo consideravelmente no Brasil. Qual a explicação para esse cenário?
Edison Fontes – A explicação direta é que o ambiente computacional está sendo cada vez mais usados nas organizações. Mas, esta explicação precisa ser complementada com uma verdade que a maioria das organizações não quer enxergar: o ambiente computacional está sendo cada vez mais usado e as organizações não têm investido em segurança da informação de uma maneira compatível e adequada com seu porte e com seu tipo de negócio. As organizações dependem das informações armazenadas e processadas no ambiente computacional, mas não desenvolvem controles de proteção da informação considerando pessoas, processos e tecnologia. É um processo estruturado e que precisa ter uma abordagem profissional.
As organizações ainda pensam que segurança da informação é apenas implantar um antivírus. É muito mais que isto. É necessário desenvolver um processo de proteção da informação para o ambiente computacional e para o ambiente convencional. Temos que proteger a informação do computador ao lixo.
IT4CIO – Estudos mostram também que no Brasil as instituições começam a se preocupar com medidas preventivas aos impactos de ciberataques apenas depois de uma ocorrência significativa. Isso se deve a fatores econômicos ou culturais?
EF – Não tenho a menor dúvida: por questões culturais. As organizações, isto é, os gestores e executivos que comandam as organizações e são os responsáveis pela existência dos processos acham que sua organização nunca será vitima de um ataque cibernético. Eles justificam indicando que nunca aconteceu ou que a organização não é nenhuma NASA.
A questão é que neste ambiente não podemos usar o “achômetro”. Precisamos tratar o assunto profissionalmente. Fazer uma adequada gestão de riscos e planejar e priorizar as ações de proteção da informação. A organização precisa ter um processo de proteção da informação funcionando.
Em relação à questão econômica eu afirmo também sem ter dúvidas: todas as organizações, todas mesmo, podem ter uma proteção da informação compatível com o seu porte e com o seu tipo de negócio. É tão mais barato aprender com o erro dos outros, mas mesmo assim, alguns gestores somente aprendem quando acontece com a sua organização. Sai caro e em algumas vezes, é um impacto terrível.
IT4CIO – Para melhorar esse cenário, o que os gerentes de TI podem fazer?
EF – Primeiramente, gostaria de fazer um aprimoramento na pergunta: o que o gestor de segurança da informação pode fazer? Evidentemente, TI é um ambiente crítico para a organização. Atualmente, na prática, as informações da organização estão armazenadas e são processadas no ambiente de TI. O Gerente de TI deve participar do processo de segurança da informação com o Gerente-Gestor de Segurança, porque a proteção é uma demanda para proteger um recurso crítico para a organização: a informação. A informação e seus recursos de informação. Temos que ter cuidado para que a TI não faça a proteção por fazer. Deveria ser uma demanda do negócio. Nisto, a função do Gestor da Segurança da Informação é fundamental, pois ele deve garantir a existência de uma gestão de risco, apresentar a direção da organização e validar as prioridades. E neste caso, com certeza, a proteção do ambiente de TI será priorizada.
Algumas vezes, me perguntam: Edison, concordo com você, mas, na minha organização não dá para fazer como você recomenda. Não tem uma área de segurança da informação e a direção não quer saber de ter que decidir. Se a área de TI não fizer nada no ambiente de tecnologia, ninguém vai fazer. O que eu faço?
Eu respondo tranquilamente: meu caro, você trouxe o mundo real em que você vive. Considerando suas limitações, acho que no curto prazo a TI deve proteger o ambiente de tecnologia por conta própria, mas, em paralelo, é necessário fazer um trabalho com a direção para que ela assuma seus compromissos com a segurança da informação. A Norma NBR ISO/IEC 27002:2005 cita 55 diretrizes onde a Direção ou a Área de Negócio da Organização deve ser envolvida nas definições da segurança da informação. Talvez na sua organização você não consiga fazer como gostaria, mas tenha em mente qual o caminho correto e busque conseguir.
IT4CIO – Qual o caminho para elaborar uma Política de Segurança da Informação eficiente?
EF – É uma longa resposta, mas vou tentar resumir. Primeiramente, o Gestor de Segurança da Informação deve conhecer muito bem o assunto segurança. Tanto no referencial teórico (Familia de Normas ISO/IEC 27000, COBIT, ITIL) quanto na prática. Conhecendo isto, o gestor deve identificar uma estrutura de políticas e normas. Quantos níveis serão e como será a divisão do assunto. Depois, deve conversar com todas as áreas envolvidas (TI, Negócio, RH, Jurídica, Administração) para demonstrar que as políticas e normas devem representar verdadeiramente como a organização quer tratar a sua informação, considerando suas características, sua boa cultura, suas limitações e outros fatores.
O Gestor de Segurança vai levantar os itens que devem ser definidos pela organização, o nível da sua rigidez. Por exemplo: um estagiário terá (ou não) um email corporativo da organização? Ele poderá (ou não) enviar mensagens para fora da organização? E se for um terceiro que fica dedicado 100% à organização, ele terá conta de correio eletrônico? Mas, Edison, existe o risco de passivo trabalhista! Mas eu respondo: passivo trabalhista não é responsabilidade de segurança da informação! É responsabilidade de RH e Jurídico. Sendo assim, Senhores e Senhoras do RH e Jurídico definam para a política de segurança da informação da Organização se estagiário e terceiros terão conta de correio eletrônico corporativo.
Isto dá trabalho. Mas, quem disse que segurança da informação é grátis? Exige recursos: tempo, dinheiro, interação com outras áreas. Gestor de Segurança, não caia na armadilha de ficar responsável por assuntos que são de responsabilidade de outras áreas. É furada.
Considerando isto, entendo que na maioria das vezes este trabalho possa ser feito com mais foco, quando é feito por um consultor externo. O consultor externo vem com uma missão e vai exigir das áreas posicionamento. Já fiz um trabalho onde a Área de RH se recusava a ter que enviar para a Área de TI a relação dos funcionários demitidos. Um absurdo! Mas, real. Após várias discussões, eu coloquei que o assunto teria que subir para o presidente para que ele definisse se a organização iria ficar sem este controle (corte de acesso de funcionários que foram demitidos) ou indicasse outra área para dar esta informação para a TI. Diante desta minha posição, a Área de RH achou que não tem outra área e deveria ser realmente ela. Seria muito ridículo este assunto chegar ao presidente para ele definir como seria a regra da organização.
IT4CIO – Quais são as principais dificuldades dos CIOs em relação à Política de Segurança da Informação e como minimizá-las?
EF – Eu entendo que a maior dificuldade é que o assunto não é devidamente explicado pelo Gestor da Segurança (ou porque não sabe ou porque tem outras prioridades). Coincidentemente, nos últimos anos tenho feito vários trabalhos sobre políticas e normas de segurança da informação. Quando decidi pelo Mestrado, decidi fazer neste tema e concluí com sucesso a dissertação: “Política de Segurança da Informação: uma contribuição para o estabelecimento de um padrão mínimo.”
A Norma ISO/IEC27002:2005 possui 133 controles. Mas, ela não indica uma priorização. Nem deveria. Então surgiu minha pergunta-problema: É possível identificar um padrão mínimo de controles para aquelas organizações que querem iniciar (e tem dificuldade) o processo de segurança da informação, começarem por um padrão mínimo? Fiz uma pesquisa com dez grandes organizações, de nove segmentos, e identifiquei que existem 30% de controles que são usados por 70% das organizações. Este conjunto de controles formou o meu padrão mínimo. Ele ajuda a organização que está iniciando em segurança da informação.
Outra dificuldade é que a Norma 27002 inica que é para ter política, mas não diz como. Sentido esta dificuldade das organizações e dos novos profissionais, escrevi meu próximo livro que será lançado até agosto deste ano, pela Editora Brasport, o qual traz uma parte prática onde eu apresento trinta exemplos de políticas e normas.
Em uma mensagem final eu diria que o processo de segurança da informação, incluindo aí a elaboração de politicas e normas, terá mais chances de sucesso na medida em que ele for tratado mais profissionalmente. O assunto é sério e exige tratamento profissional, sério, focado e dedicado.