fatores que influenciam na adoção de práticas de gestão de ... · baixa adoção de práticas...
TRANSCRIPT
1
Fatores que Influenciam na Adoção de Práticas de Gestão de Segurança da Informação
na Administração Pública Federal
Autoria: Luisa Helena Franco, Carlos Denner dos Santos Jr.
Resumo Apesar da proteção às informações mantidas pelo Estado ser exigida em lei, há
baixa adoção de práticas de segurança da informação na Administração Pública Federal (APF), o que representa risco para a sociedade brasileira.
Este estudo observou, por meio de avaliação estatística de relações, fatores que podem aumentar a adoção dessas práticas na APF.
Os resultados mostraram que a definição de diretrizes pela alta administração, a gestão de riscos e continuidade de negócios e a adoção do modelo ITIL (Information Technology Infrastructure Library) para gestão de serviços de TI podem melhorar a gestão da segurança da informação na APF.
2
1) Introdução A importância da segurança da informação na Administração Pública Federal
(APF) se justifica pela necessidade de adequada proteção às informações produzidas e custodiadas pelo Estado, materializada por exigências legais e infralegais. Como ilustração deste arcabouço normativo, é possível citar os incisos X e XIV do art. 5º da Constituição Federal/88, que tratam respectivamente do respeito à intimidade e vida privada e do direito ao acesso a informações para exercício profissional. Recentemente também, a Lei de Acesso à Informação (nº 12.527/2011), ao mesmo tempo em que estabelece a publicidade das informações produzidas ou custodiadas pelo Estado como a regra, determina claramente a necessidade de proteção à integridade, disponibilidade e autenticidade das informações, além de imputar a cada organização da APF a responsabilidade por garantir a proteção do sigilo a toda informação para a qual for necessária a restrição de acesso. Além dessas, outros normativos tratam de temas e segmentos mais específicos, como a Lei Complementar nº 105/2001 (sigilo fiscal), a Lei nº 9.507/1997 (habeas data), a Sarbanes-Oxley e Basiléia II.
Já o Decreto nº 3505/2000 estabelece as diretrizes de uma Política de Segurança da Informação para todo o Executivo, enquanto o Gabinete de Segurança Institucional estabelece alguns padrões de política para cada organização, por meio da IN-GSI/PR nº 1 de 2008 e suas normas complementares. Este último conjunto normativo baseia-se nas recomendações da norma ABNT ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação para a orientação quanto a requisitos de gestão da segurança da informação (ABNT, 2005).
Apesar de todo esse aparato e da evidente necessidade de proteção das informações, estudos mostram que na APF ainda há pouca adesão às boas práticas de segurança da informação. No recente relatório do Tribunal de Contas da União (TCU) que sintetiza resultados coletados ao longo dos últimos seis anos (de 2007 a 2012) sobre práticas de governança, os dados sobre segurança são qualificados como "preocupantes", já que houve ligeira melhora em alguns aspectos (como a prática de classificação da informação, provavelmente alavancada pela Lei de Acesso à Informação) e piora em outros (como gestão de incidentes de segurança), representando riscos para as instituições e para a sociedade (TCU, 2012b).
Para além da APF, a situação não é muito diferente. Em pesquisa de âmbito nacional, quase a metade das empresas pesquisadas afirmou que conhece pouco sobre as normas e leis para segurança da informação ou, mesmo conhecendo algumas, não toma nenhuma providência para executar as medidas de proteção (MODULO, 2007). Pesquisa global aponta que, entre os respondentes brasileiros, mesmo quando há planejamento de segurança, as práticas não são de fato executadas pelas organizações, o que resulta numa percepção de ineficácia estratégica da segurança da informação para a organização (PWC, 2012). Além disso, outras pesquisas informam que a maioria das áreas de segurança das organizações ainda estão vinculadas à área de tecnologia da informação e isso se reflete em menos efetividade e alinhamento entre segurança e negócio (SHOLTZ, 2012; TEMPONI, 2010).
No que diz respeito à busca de soluções sobre o tema, instituições reconhecidas internacionalmente por sua atuação na área de segurança e de tecnologia da informação, como o ITGI/ISACA (IT Governance Institute/Information Systems Audit and Control Association), o CGTF/NCSP (Corporate Governance Task Force of the National Cyber Security Partnership), o NIST (National Institute of Standards and Technology) e o CERT/SEI (Software Engineering Institute, Carnegie Mellon University), alertam para a necessidade da segurança da informação ser vista como um "problema de negócio"
3
(ITGI, 2006) e, com o intuito de apoiar uma visão mais estratégica, desenvolveram frameworks de Governança de Segurança da Informação, nos quais organizam as principais práticas para uma boa gestão, alinhamento e entrega de valor da segurança da informação nas organizações.
Com o foco na realidade brasileira, alguns autores abordam o tema (ALVES, 2006; BEAL, 2005; SEMOLA, 2003; XAVIER, 2010) e apontam para a necessidade de conscientização sobre a natureza transversal da segurança da informação nas organizações, incluindo pessoas, processos e tecnologias. Já Temponi (2010) e Britto (2011) realizaram pesquisas exploratórias com conclusões semelhantes sobre o desconhecimento dos executivos e a pouca maturidade do tema no país. Marciano (2006), ao estudar sob o enfoque do usuário, confirma a visão excessivamente focada nos aspectos tecnológicos, presente na maioria das atuais políticas de segurança da informação, o que as torna ineficazes.
Diante da carência de estudos empíricos que possam orientar a mudança desse cenário e da visão de que a segurança da informação, para ser mais efetiva, deve se voltar para além das tecnologias e se alinhar às necessidades da organização, este trabalho se propôs a buscar possíveis fatores externos à própria área técnica de segurança mas que influenciem a adoção de práticas de segurança da informação na APF. Formula-se, então, a pergunta de pesquisa:
Que fatores impactam positivamente na adoção de práticas gestão de segurança da informação na APF?
Para desenvolver o tema, é apresentado breve referencial teórico sobre práticas de gestão de segurança da informação e sobre os fatores que foram avaliados: o direcionamento e apoio da alta administração; a execução de auditorias de TI; a gestão de riscos e continuidade de negócio; a adoção de práticas ITIL (Information Technology Infrastructure Library) para gestão de serviços de TI. Ao final do referencial teórico, é apresentado o modelo conceitual que orienta o estudo. No terceiro tópico deste documento, é descrito o método utilizado para elaboração dos construtos a partir dos itens coletados e para o teste das hipóteses estudadas. Como fonte, foram utilizados os dados coletados no levantamento "PerfilGovTI 2012", realizado pelo TCU em mais de 300 instituições da APF, sobre os quais foram feitas análises usando técnicas estatísticas de correlação e regressão linear. No quarto tópico, são apresentados os resultados obtidos e, por fim, na conclusão são feitos comentários sobre as relações verificadas e indicações para aprofundamento em trabalhos futuros.
2) Referencial Teórico e Modelo Conceitual 2.1) Práticas de gestão da segurança da informação Para Beal (2005) e Sêmola (2003), segurança da informação é um conjunto de
processos que visam a proteção das informações da organização contra as ameaças à sua integridade, disponibilidade e confidencialidade. De maneira mais ampla e complementar, na ABNT ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, declara-se que a segurança da informação é obtida a partir da execução de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (ABNT, 2005). Nessa norma, que pertence a uma família de normas internacionais de segurança (família 27000), baseiam-se várias recomendações do TCU1, além da IN nº 1 Gabinete de Segurança Institucional da Presidência (GSI/PR)2.
Ainda na visão da ABNT (2005), a proteção da informação deve garantir que os objetivos do negócio e de segurança da organização sejam atendidos, embutindo em
4
sua definição o alinhamento aos objetivos e estratégias da organização. A partir daí, são listados um conjunto de processos, denominados práticas, que visam, como argumenta Beal (2005), gerenciar da melhor maneira os recursos de segurança da informação para proteger adequadamente as informações importantes para a organização.
O GSI/PR, por sua vez, elegeu um conjunto mínimo de práticas que deve ser atendido por toda a APF, e listou-as na IN nº 1/2008, dentre as quais podemos citar: adotar uma política de segurança e aprová-la (bem como eventuais normas complementares), nomear um gestor de segurança da informação, implementar equipe de tratamento de incidentes e instituir comitê de segurança da informação.
A formalização do documento da política de segurança da informação é uma das primeiras ações na organização de uma área de segurança da informação. O manual de apoio à implementação da segurança da informação produzido pelo do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) especifica que a política deve considerar a natureza e a finalidade do órgão ou entidade da APF, alinhando-se à sua missão e ao seu planejamento estratégico (SISP, s.d). Para maior efetividade, a política deve ser aprovada pela alta direção e estabelecer princípios, normas, requisitos e responsabilidades na gestão da segurança da informação da organização (ABNT, 2005).
Marciano (2006) acrescenta que na política de segurança se deve ter em vista tanto o componente humano quanto os recursos de processamento das informações, e equilibrar funcionalidade e segurança para atingir os objetivos organizacionais. Por tudo isso, pode-se considerar que a declaração e formalização de uma política de segurança da informação em moldes corporativos e que delineie as diretrizes da organização constitui-se uma importante prática de gestão de segurança da informação.
Outra importante prática de gestão é a definição de responsabilidades pela segurança da informação na organização, começando pela organização de uma área de segurança e incluindo a constituição de um comitê de segurança da informação (ABNT, 2005). Nesse ponto, frameworks que se preocupam com uma visão mais estratégica da segurança, como os que tratam de governança reforçam a necessidade de um responsável pela segurança, normalmente chamado Chief Security Officer (CSO) que, além de coordenar a gestão da segurança, deve ser capaz de se comunicar adequadamente com outras áreas e níveis da organização, a fim de garantir parcerias e apoio à segurança, bem como o alinhamento das ações aos objetivos organizacionais (ITGI, 2008; GARTNER, 2012; NIST, 2010). Complementarmente, O’Bryan (2006) aponta para a necessidade de que exista um comitê de segurança da informação, que deve ser composto por representantes de toda a organização.
Um aspecto importante na efetividade da gestão da segurança é a capacidade da organização de gerenciar incidentes de segurança da informação (CERT, 2003). Tal capacidade está ligada tanto à definição de um processo de gestão de incidentes quanto de uma equipe para receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança (CERT, 2003). Uma organização, em especial uma organização governamental, precisa ser capaz de responder adequadamente a incidentes de segurança, sob pena de ter comprometidas suas operações e sua imagem (SEMOLA, 2003).
Já a classificação das informações, segundo Beal (2005), é uma importante prática de segurança para garantir que os controles adequados sejam aplicados a cada conjunto de informações, a fim de garantir-lhe a integridade, confidencialidade e disponibilidade. De fato, como os controles são caros, convém organizar as informações em classes e definir controles para essas classes, em função do sigilo e do valor
5
daquelas informações para a organização (ABNT, 2005). A recente entrada em vigor, no Brasil, da Lei nº 12.527/2011 trouxe o tema à tona, por estabelecer que toda informação da APF que não seja explicitamente classificada com restrição de acesso, deverá ser considerada pública, e a ela deve ser dado acesso livre. Ao mesmo tempo, imputa responsabilidade às organizações por eventuais acessos indevidos. A prática de classificar e atribuir controles às classes de informação tornou-se, atualmente, uma premência nas organizações da APF.
Por fim, vale também à pena mencionar a importância da análise de risco de segurança da informação para uma efetiva definição de controles. Na família 27000 de normas internacionais de segurança, a norma 27005 trata, especificamente, da gestão de riscos de segurança da informação, tal o destaque que é dado ao tema. Observa-se que a gestão dos riscos de segurança deve ser um processo contínuo que inclui não apenas a análise da probabilidade de uma ameaça causar dano a um ativo de informação, mas também a consideração o impacto que a concretização de tal ameaça teria sobre a organização e a prescrição dos controles de segurança adequados (ABNT, 2008). Por isso, esta prática é apontada como uma forte ferramenta para alinhamento da gestão da segurança com as necessidades de negócio da organização.
Por todo o exposto até aqui, argumenta-se que o nível de gestão da segurança da informação de uma organização possa ser avaliado pela adoção das práticas de gestão de segurança aqui mencionadas, especialmente aquelas exigidas por leis e recomendadas em normas técnicas. Evidentemente, o nível de gestão aumenta quanto mais práticas são adotadas, e também quanto maior a qualidade dessas práticas, ou seja, sua aderência às normas e efetividade quanto às necessidades de segurança da organização.
2.2) Definições corporativas para gestão da informação, da segurança e do conhecimento
A importância de uma gestão estratégica da informação e do conhecimento para a manutenção de um fluxo de informações eficiente e eficaz, garantindo o alinhamento estratégico da organização e a obtenção de vantagens competitivas é reportada por diversos autores (McGEE & PRUSAK, 1994; DAVENPORT, 2001; BEAL, 2004; TAKEUCHI & NONAKA, 2004; SIQUEIRA, 2005). Davenport(2001) e Siqueira (2005) chamam atenção para a diferença entre tecnologia da informação e informação, defendendo que uma política de gestão da informação deve contemplar todo o seu ciclo de vida, independente do meio em que resida, visando facilitar seu uso e garantir sua proteção. Sobre a proteção, Siqueira (2005) reforça que os requisitos de segurança variam de uma organização para outra e, para serem eficientes, devem ser implementados na exata medida de sua necessidade.
De fato, uma informação crítica para a estratégia de uma organização deve ser protegida adequadamente e, por isso, as práticas da segurança da informação são parte do mecanismo pelo qual a informação adequada estará disponível na hora certa e para a pessoa que poderá tomar a melhor decisão estratégica (LAUREANO & MORAES, 2005). Beal (2004), por exemplo, lembra que uma das práticas de segurança da informação - a classificação da informação quanto à sua criticidade, sua confidencialidade e sua disponibilidade - é um importante mecanismo para que os controles de gestão das informações sejam adequados ao seu valor e uso pela organização. Vê-se, então, que a gestão da segurança da informação é uma parte importante da gestão da informação e do conhecimento.
Por outro lado, Mintzberg (2003) lembra que, independente dos arranjos organizacionais, os principais responsáveis pela formulação da estratégia e seu
6
desdobramento em uma série de "decisões organizacionais" são os executivos da alta administração ou "cúpula estratégica". Assumir essa responsabilidade pelas políticas globais da organização é parte da missão da cúpula estratégica e é um fator crítico para a efetiva implantação dessas políticas (p. 24-25). Outros autores acrescentam que a adequada comunicação dessas políticas estratégicas da organização é fundamental para o alinhamento organizacional (DE HAES & VAN GREMBERGEN, 2009; HENDERSON & VENKATRAMAN, 1993; LUFTMAN, 2000; BRODBECK, 2005). Já Solms e Solms (2004) e Beal (2004) informam que a materialização dessas decisões em políticas claras é essencial para que sejam compreendidas e possam ser adotadas também em todos os níveis da organização, enquanto Temponi (2010) relata que uma das causas atribuídas pelos gerentes para o baixo nível de adesão às praticas mais efetivas e estratégicas de segurança da informação foi a falta de envolvimento da alta gestão e sua omissão em definir os requisitos para a segurança.
Por todo o exposto, pode-se concluir que a gestão da segurança da informação é uma parte da gestão de informação e do conhecimento organizacionais, pois as necessidades informacionais da organização definem os requisitos de segurança da informação. Além disso, é importante que a alta administração das organizações assuma a responsabilidade pela definição desses requisitos, desdobrando a estratégia corporativa em decisões organizacionais coerentes. Assim, formula-se a hipótese:
H1: O comprometimento da alta administração com a definição de diretrizes corporativas para a gestão da informação, da segurança e do conhecimento impacta positivamente na adoção de práticas de gestão de segurança da informação.
2.3) Análise de risco e continuidade de negócio A análise e gestão de riscos corporativos possibilita aos administradores tratar
com eficácia os riscos e as oportunidades aos negócios, a fim de melhorar a capacidade da organização de gerar valor, e está profundamente ligada à governança corporativa. De acordo com o disposto na norma ISO 31000, embora o risco corporativo diga respeito aos objetivos estratégicos da organização, as etapas do processo de gestão de risco podem (e devem) ser aplicadas aos diversos níveis da organização (estratégico, tático e operacional) em sucessivas iterações (ABNT, 2009). Tal recomendação vem ao encontro do disposto na norma ABNT ISO/IEC 27005, que trata da gestão de riscos de segurança da informação e estabelece que tal gestão deve estar alinhada ao processo maior de gestão de riscos corporativos (ABNT, 2008). A norma continua, apontando que uma sistemática gestão de riscos de segurança3 permite identificar os controles necessários e criar um sistema de segurança efetivo (ABNT, 2008). Fica evidente, assim, que, embora não tenham o mesmo objeto, há uma relação estreita entre a gestão de risco corporativa, a gestão de risco de segurança da informação e a efetividade da própria segurança da informação.
Já no que diz respeito à continuidade, o princípio básico da gestão de continuidade de negócios é a manutenção da capacidade mínima de operação de uma organização mesmo em situações de desastre, bem como garantir o seu retorno à normalidade (GUINDANE, 2011; ISO, 2012). Trata-se de um processo que identifica as potenciais ameaças para uma organização e o impacto para as operações, caso essas ameaças se contretizem, promovendo ações de prevenção e um consequente aumento da sua resiliência (ISO, 2012). Esse processo, portanto, tem como disciplina obrigatória a gestão de riscos de continuidade de operações e, integrado com a gestão de risco corporativa4, se torna capaz de apoiar a continuidade da organização em si (BCI, 2009; COSO, 2004; DRII, 2012).
7
Alguns autores também relacionam risco e continuidade de negócio com segurança. Para Van der Haar e Von Solms (2003), por exemplo, as características de uma organização devem determinar as metas e os níveis da segurança, que por sua vez devem ser traduzidos em controles que incluem gestão de risco e plano de recuperação de desastres. Já Guidane (2011), informa que, no Brasil, as instituições em que os principais processos de negócios são muito dependentes de TI possuem a percepção de que somente uma adequada gestão de riscos e continuidade pode gerar medidas de segurança capazes de mitigar a perda de dados e os prejuízos tangíveis (faturamento) e intangíveis (clientes). Adicionalmente, Britto (2011) inclui, em sua proposta de modelo de governança da segurança da informação, o resultado da Business Impact Analysis (BIA), que é uma das etapas obrigatórias da gestão de risco e continuidade (DRII, 2012).
Portanto, é razoável pensar que, por essas relações entre risco e continuidade de negócios e segurança da informação, em uma organização em que tais processos sejam executados de maneira corporativa, mesmo com forte enfoque em TI, a área de segurança da informação será especialmente demandada, pois deverá implementar e gerenciar controles para garantir a integridade, a disponibilidade e a confidencialidade das informações críticas à organização, mesmo em caso de disrupções e incidentes. Por isso, formula-se a hipótese:
H2: A gestão de risco e continuidade de negócio em uma organização impacta positivamente na adoção de práticas de gestão de segurança da informação.
2.4) Auditorias de TI Segundo Hanashiro (2007), proporcionalmente à crescente importância da TI
para as organizações da APF, faz-se cada vez mais necessária a realização de auditorias de TI, para garantir que a tecnologia esteja colaborando para os objetivos organizacionais com confiabilidade, integridade, confidencialidade (quando for o caso), disponibilidade e conformidade das informações (p. 30). A autora compila, também, os diversos campos da auditoria de TI, utilizando principalmente as definições do Control Objectives for Information and related Technology (COBIT) e os organiza em seis principais: auditoria de dados (que tipicamente verifica se regras de negócio estão adequadamente aplicadas em bases de dados); auditoria de infraestrutura (que verifica a adequada gestão da infraestrutura tecnológica); auditoria de gestão de TI (análise das atividades de planejamento, execução e controle da própria unidade de TI); auditoria de segurança (com foco na segurança dos processos, sistemas e informações); auditoria de contratações (que analisa conformidade e efetividade na gestão de contratos) e auditoria de aplicativos (análise dos softwares, tanto do ponto de vista operacional quanto legal) (HANASHIRO, 2007, p. 31).
A despeito desses diversos campos, tradicionalmente, a auditoria de TI se ocupa, em boa parte, da auditoria de segurança da informação, como se pode depreender do domínio de práticas de auditoria exigida de um Certified Information System Auditor (CISA). CISA é uma respeitada certificação de auditoria de TI, no qual 30% do aprendizado de práticas destina-se a habilitar o auditor a garantir que, em suas auditorias, verifique se as políticas, padrões, procedimentos e controles da organização são capazes de garantir a segurança dos ativos de informação (ISACA, n.d). Assim, por exemplo, mesmo quando se trata de uma auditoria de infraestrutura ou aplicativo, há uma preocupação em verificar se essa infraestrutura é capaz de prover a segurança das informações que opera. Sendo assim, é de se esperar que a realização periódica de
8
auditorias de TI em uma organização impacte a qualidade das práticas de segurança da informação daquela organização.
Adicionalmente, um dos resultados da pesquisa de Temponi (2010) é que a percepção, por parte dos executivos, de um forte apoio da auditoria interna e externa é ponto em comum entre organizações com maior maturidade nas suas áreas de segurança (p.128). Também o framework de governança e gestão da segurança da informação do ITGI (2008), apresenta o monitoramento contínuo, por meio de controles e auditorias internas e externas, como importante fator na efetividade e alinhamento da segurança da informação das organizações.
Esta visão, que combina as auditorias de TI a uma melhoria da gestão da segurança da informação, tornando-a inclusive mais alinhada aos objetivos da organização, nos leva à hipótese:
H3: A execução de auditorias de TI em uma organização impacta positivamente na adoção de práticas de gestão de segurança da informação.
2.5) Práticas ITIL Information Technology Infrastructure Library (ITIL) é um conjunto de boas
práticas de gestão de serviços de TI para serem aplicadas na infraestrutura, operação e manutenção desses serviços. Foi desenvolvido no final dos anos 1980 pela CCTA (Central Computer and Telecommunications Agency), hoje OGC (Office for Government Commerce) da Inglaterra e atualmente está em sua versão 3 (ITPRENEURS, 2008).
As recomendações do ITIL V3 consideram o ciclo de vida dos serviços de TI, organizando-o em definição de estratégia, desenho, transição, operação e melhoricia contínua. Incorpora, nessas etapas, recomendações de segurança de TI fortemente baseadas na ABNT ISO/IEC 27002 e na ISO/IEC 20000 (ITPRENEURS, 2008).
É um framework bastante utilizado e há estudos que mostram que ITIL tem sido combinado com COBIT e a família ISO 27000 entre instituições mais maduras em segurança da informação, resultando em gestão mais eficiente da segurança (McKNIGHT & OLTSIK, 2008; HEAD & SHOLTZ, 2011; McMILLAN, 2013). Por estar muito focado na qualidade dos serviços de TI e ao incorporar a segurança em TI como um dos serviços a serem gerenciados e ofertados ao cliente, é razoável pensar que sua adoção realmente incremente a segurança da informação (pelo menos no âmbito da TI). Dessa forma, elabora-se a hipótese:
H4: A gestão de serivços de TI utilizando as práticas recomendadas pelo modelo ITIL impacta positivamente na adoção de práticas de gestão de segurança da informação A partir dessas hipóteses, formula-se modelo conceitual representado na Fig. 1. Figura 1 : Modelo Conceitual e Hipóteses. Fonte: a pesquisa
Diretrizes corporativas para Segurança, Informação e
Conhecimento
H1 H3
Auditorias de TI
Nível de Adoção de Práticas de Gestão da Segur. da Informação
Gestão de risco e continuidade de negócio
H2 H4 Nível de gestão ITIL para serviços de TI
9
3) Métodos 3.1) Sobre a fonte dos dados O Perfil de Governança de TI (PerfilGovTI) é um levantamento feito pelo TCU para avaliar o grau de adoção de práticas de governança corporativa e de TI na APF. A importância do tema reside tanto nos gastos em TI (estimados em mais de R$ 12,5 bilhões em 2010), quanto em função do uso de TI na condução de políticas públicas suportadas por orçamento federal de mais de R$ 1,86 trilhão5. Os dados do perfil foram obtidos por meio de questionário, disponibilizado para download por organizações da APF previamente notificadas, tendo como critério principal a representatividade no orçamento da União e a autonomia de governança de TI dessas organizações. Os itens do questionário, organizado em oito grandes grupos, são baseados principalmente nos princípios do COBIT (Control Objectives for Information and Related Technology) e da Gespública6. Também vale ressaltar que junto ao questionário foi disponibilizado um glossário dos termos utilizados, fazendo referência a definições contidas em frameworks de governança corporativa e de TI, além de normas técnicas (TCU, 2012a). O questionário abrange itens relacionados a orçamento, pessoal, práticas de planejamento estratégico, governança corporativa, governança e gestão de TI, bem como questões relacionadas à segurança da informação. As respostas são auto-declarativas, mas sujeitas à verificação de veracidade por parte do TCU (TCU, 2012b). As respostas dos questionários submetidos à APF em 2012 foram armazenadas em planilha eletrônica, e um subconjunto delas foi acessado para este estudo. Ressalte-se que nenhum dado que informasse ou permitisse inferir a identidade de quaisquer dos respondentes foi fornecido para esta pesquisa. Os questionários aplicados no PerfilGovTI têm características interessantes como fonte de pesquisa: além de serem resposta oficial a um questionamento de órgão competente, assinados pelo dirigente máximo da cada organização, também constituem amostra representativa da administração pública federal, abrangendo 350 instituições. 3.2) Composição das variáveis Neste trabalho, foram selecionadas, dentre todas as questões que compõem o levantamento, aquelas relacionadas ao tema em estudo, isto é, gestão da segurança da informação e as práticas que podem influenciar na sua adoção, conforme descrito no item 2 deste documento. O questionário completo com as perguntas feitas às organizações pode ser obtido no portal do TCU7. A partir dele, as questões consideradas como indicadores de uma prática ou resultado a ser avaliado foram agrupadas nas variáveis que compõem o modelo (a composição das variáveis foi omita por restrição de espaço). 3.3) Avaliação das hipóteses As cinco variáveis que compõem o modelo conceitual da Figura 1 foram mapeadas na Tabela1 e, a partir daí, foram feitas correlações para verificar a significância estatística. Para testar as hipóteses, a variável "Nível de Adoção de Práticas de Gestão em Segurança da Informação" foi considerada variável dependente e foi feita regressão linear com as outras quatro independentes: "Auditoria de Controles Internos e de TI", “Nível de Gestão de Serviços ITIL", "Gestão de risco e continuidade de negócio", "Diretrizes Corporativas para Segurança, Informação e Conhecimento".
as andifernão hpara ident refersocieRecujuntorespo do qseguramosgestãperce55% quest
Tabel
Dados
DistriExecuEexcuJudiciLegisMinisOutro
AdoçãInvenClassiAnáliGestãGestoComitEquipPolíticPolític
4) Res4.1) DesA amost
nálises destrença em relhaviam sido
as quais tificadas. A
Na distririu-se a insedades de ecursos de Info ao TCU. Dondentes, nã
A lista cquestionáriorança da instra. Já o grão de segueber que a m
situa-se attionadas, co
a 2 Estatística
s da amostra (
ibuição por cautivo-empresautivo-Sisp iário lativo
stério Público os
ão de cada prántário dos ativoificação da infse de risco de
ão dos incidenor ou unidade tê de seguranç
pe de resposta ca de seguranca de controle
sultados crição da atra final do e estudo tolação às 350o transferida
foi concedTabela 1 re
ibuição porstituições dconomia miformação e Devido à aão foram obcom a adoção, que compnformação",ráfico most
urança da imaior parte té nível 3; ontra 17% q
a descritiva. F
(n=334 institu
ategorias; as
ática de gestãoos de informaformação segurança tes de seg. de segurança ça a incidentes ça da informa
e de acesso
amostra levantamen
otalizou 3340 respondenas para a badida restriçesume algumr categorias
do executivoista (19%) eInformátic
assimetria dbtidos resultão de cada põe a variá, detalhandotra a distribuinformação"das institui
menos de que não imp
Fonte: a pesqu
uições)
19% 53% 23% 1% 2% 2%
o de segurançação 22
15 8 16 49 46 24
ação 45 24 0
1020304050607080
nto PerfilGo4 instituiçõentes é creditase de dadosção especiamas estatísts, observa-so (72%), ee as instituia (53%). E
da amostra etados por gruma das prável "nível o o total peuição da va" para o toições (22%)1% implem
plementam n
uisa
VariávNivelSDiretriRiscoCAuditoITIL
a 2% 5% 8% 6% 9% 6% 4% 5% 4%
Nível dX quan
000000000
nível de
ovTI à quales da admintada a institus até o momal às inforicas descriti
se que a maentre as emições do Sisssa distribue a exigêncrupos de insráticas de se
de adoçãoercentual deariável "nívotal das or) possui nív
mentam todanenhuma de
veis Medidas Seg zAltaAdm
ContinuidadeoriasTI
de gestão de sntidade de inst
gestão de segu
l foi concednistração púuições cujas
mento deste rmações, mivas da amoaior parte d
mpresas púbstema de Aduição foi obcia de não istituições. egurança reo de práticae cada práti
vel de adoçãrganizaçõesvel 1, sendoas as práticelas.
Média 2,55 1,34 0,16 0,82 4,81
eg. da informtituições
urança
n
1
2
3
4
5
6
7
8
t
dido acessoública feders respostas estudo e aq
mesmo queostra. das organizblicas federdministraçãbtida diretamidentificaçã
esume o itemas de gestãica de gestãão de prátics, onde se o que um totcas de segu
Variância 4,55 0,70 0,22 1,79 26,9
mação
10
nenhuma
1
2
3
4
5
6
7
8
odas
o para ral. A ainda
quelas e não
ações rais e ão dos mente o dos
m 5.3 ão de ão da
cas de pode
tal de urança
11
4.2) Análise de Correlações e Regressão Linear A fim de verificar as hipóteses do modelo conceitual da fig. 1, inicialmente buscou-se as correlações entre as variáveis do modelo par a par, utilizando o software estatístico R para cálculo do produto-momento de Pearson. O resultado está resumido na tabela 2. Tabela 2 Correlação entre variáveis do modelo. Fonte: a pesquisa
NívelSeg RiscoContinuidade AuditoriasTI Diretrizes AltaAdm
ITIL
NivelSeg 1
RiscoContinuidade 0,36*** 1
AuditoriasTI 0,35*** 0,30*** 1
DiretrizesAltaAdm 0,54*** 0,31*** 0,30*** 1
ITIL 0,57*** 0,34*** 0,38*** 0,37*** 1
Obs.: N=334; ***p< 0,001
Seguindo o estabelecido por Bussab (1986), observa-se que todas as correlações das variáveis independentes com a variável dependente foram estatisticamente significativas, com p<0,001. Além disso, vemos que as correlações das variáveis independentes entre si não foram desprezíveis, mas foram sempre menores do que entre a variável dependente. Tal situação permite a modelagem em uma regressão linear, embora possa haver um erro mais significativo do que se não houvesse correlação entre as variáveis independentes. A partir daí, foi realizada regressão linear tendo NivelSeg como a variável dependente, e todas as outras quatro variáveis como independentes, explicativas do comportamento de NivelSeg. O resultado é mostrado na Tabela 3. Tabela 4 Regressão Linear. Fonte: a pesquisa
Coeficientes para cálculo de NivelSeg
Coeficiente valor-p
DiretrizesAltaAdm 0,88*** 0,00***
RiscoContinuidade 0,52* 0,01*
AuditoriasTI 0,08 0,19
ITIL 0,16*** 0,00***
R2: 0.4691 R2 ajustado: 0.4627
Obs.: N=334; ***p< 0,001; ** p<0,01 ; * p<0,05
Observa-se que apenas a variável AuditoriasTI não obteve coeficiente estatisticamente significativo e, portanto, a hipótese H3 não pôde ser confirmada. As outras hipóteses foram confirmadas, destacando-se DiretrizesAltaAdm (H1) como aquela variável de mais alto impacto, dentre as estudadas, sobre a variável NivelSeg.
12
Adicionalmente, pode-se dizer que, pelo valor de R2, aproximadamente 46% do comportamento da variável NivelSeg pode ser explicado pelas variáveis do modelo. Figura 2: Modelo Conceitual, hipóteses e coeficientes da correlação. Fonte: a pesquisa
Diretrizes corporativas para Segurança, Informação e
Conhecimento
não confirmada H1 (0,88) H3
Auditorias de TI
Nível de Adoção de Práticas de Gestão da Segur. da Informação
Gestão de risco e continuidade de negócio
H2 (0,52) H4 (0,16) Nível de gestão ITIL para serviços de TI
5) Conclusões
Este estudo se propôs a avaliar fatores que impactam na adoção de práticas de gestão de segurança da informação na APF. A partir da revisão teórica, foram identificados quatro fatores candidatos a gerar tal impacto: a execução de auditorias de TI, a adoção de práticas ITIL para gestão de serviços de TI, a gestão de risco e continuidade de negócio, a definição de diretrizes corporativas para gestão de segurança, informação e conhecimento. Tais fatores foram organizados em quatro variáveis independentes, e a adoção de práticas de gestão de segurança da informação compôs a variável "nível de gestão de segurança". Foram utilizados para a análise empírica os dados coletados no levantamento de governança corporativa e de TI feito pelo TCU em 2012 em mais de 300 instituições da APF. Foram aplicadas técnicas de correlação e regressão linear sobre as variáveis do modelo e verificou-se que a adoção de práticas ITIL para gestão de serviços de TI, a gestão de risco e continuidade de negócio e a definição de diretrizes corporativas para gestão de segurança, informação e conhecimento impactam positivamente na adoção de práticas de gestão de segurança da informação na amostra estudada (334 instituições da APF), com destaque para a definição de diretrizes corporativas. O impacto da execução de auditorias de TI, no entanto, não pôde ser verificado empiricamente, já que os resultados obtidos na regressão linear não foram estatisticamente significativos para a amostra estudada, e devem ser melhor analisados em estudos posteriores. A partir dos dados confirmados, pode-se concluir que: a) conforme previsto amplamente na literatura (McGEE & PRUSAK, 1994; DAVENPORT, 2001; BEAL, 2004; TAKEUCHI & NONAKA, 2004; SIQUEIRA, 2005; LAUREANO & MORAES, 2005), a existência de um direcionamento claro, por parte da alta administração, para um processo de gestão corporativa da segurança da informação, bem como para a própria gestão da informação e do conhecimento organizacionais, interfere diretamente na melhoria da gestão da segurança da informação nas organizações. Tal posicionamento corporativo ilustra maturidade em relação à gestão estratégica da informação, que se reflete em uma segurança da informação mais efetiva e, possivelmente, mais alinhada e mais capaz de entregar valor à organização; b) outra prática de organizações maduras é a gestão de riscos e continuidade de negócios (ABNT, 2009; BCI, 2009; COSO, 2004; DRII, 2012; GUINDANE, 2011). A gestão dos riscos e oportunidades corporativas permite uma melhor avaliação do valor das informações para a organização, enquanto a identificação das atividades cuja
13
interrupção compromete o cumprimento dos objetivos institucionais acaba por exigir um melhor resultado da área de segurança da informação, o que se reflete em maior adoção de práticas de gestão de segurança. A própria ABNT ISO/IEC 27002:2005 recomenda expressamente que a segurança da informação seja uma parte do processo corporativo de risco e continuidade de negócio, permitindo a incorporação de controles que viabilizem a proteção adequada das informações e sua recuperação, no caso da concretização de ameaças mapeadas e na ocorrência de desastres (ABNT, 2005); c) a visão da TI como uma provedora de serviços de informação e a consequente adoção de boas práticas de gestão de serviços ITIL inclui a preocupação com a qualidade e segurança das informações (ITPRENEURS, 2008; McKNIGHT & OLTSIK, 2008; HEAD & SHOLTZ, 2011; McMILLAN, 2013) e, assim, pode estimular a adoção de práticas de gestão de segurança da informação na organização. Uma importante conclusão deste estudo é a confirmação da característica transversal da segurança da informação nas organizações, já que a adoção de suas práticas é influenciada tanto por ações da alta administração quanto por práticas de gestão de dentro da TI, passando pela gestão de risco e continuidade corporativos. Isto alerta os responsáveis pelas áreas de segurança para a necessidade de interação com as diversas áreas da organização, a fim de obter uma gestão da segurança mais efetiva, alinhada e capaz de entregar valor à organização. Também informa que duas importantes áreas que são boas candidatas a parceiras da segurança: a área de planejamento estratégico, onde são definidas as políticas corporativas, e a área de risco, que pode servir de elo de ligação entre o executivo de negócio e a área de segurança da informação, por meio de uma linguagem comum que traduza riscos e oportunidades de negócio em controles estratégicos que agreguem valor à organização. Uma das principais limitações desse estudo foi a dificuldade em avaliar os diferentes graus de maturidade das práticas de gestão de segurança adotadas, e mesmo dos fatores cuja influência foi medida. Isto porque as respostas do questionário utilizado com fonte são, em sua maioria, do tipo "sim ou não". Nesse caso temos que supor que a resposta representa a execução completa da prática, da maneira recomendada pela norma de referência e pela literatura. No entanto, é possível que haja diferentes graus de execução de cada prática. Por um lado, pode-se inferir que, quando uma organização é capaz de implementar várias práticas, também deve ser capaz de implementar mais qualidade em cada prática em si, já que desenvolve maturidade no tema; por outro lado, também faz sentido pensar que a realidade das organizações inclua práticas com implementação parcial, em andamento e, até mesmo, não adequadas do ponto de vista do alinhamento. Por isso, estudos posteriores podem buscar aprofundar as relações entre os fatores e as práticas por meio do uso de respostas com escala do tipo likert, ao invés de respostas do tipo "sim" ou "não". Com isso, é possível até mesmo que seja verificada relação significativa entre as práticas de segurança e a auditoria de TI, que não foi confirmada nesse estudo. Além disso, para melhor precisão dos dados coletados pelo TCU, o próprio questionário do levantamento, sempre que adequado, pode usar escala desse tipo, informando níveis de atendimento às questões. Outra limitação foi o requisito de não identificação dos respondentes, inclusive para a pesquisadora. Por ser um requisito imprescindível para o acesso às bases de dados, não foi fornecida nenhuma informação que permitisse a dedução da identidade de qualquer respondente, tais como dados orçamentários, de pessoal ou qualquer detalhe único (tais como URL´s onde são encontrados documentos declarados ou valores muito discrepantes e próprios de uma dada instituição). Isso impediu a formulação de hipóteses nessas áreas. Também resultou na impossibilidade de cruzar dados de outras
14
fontes, complementares a esses. Estudos futuros sem essas limitações podem obter informações complementares, como o impacto da destinação de recursos humanos e orçamentários para a adoção de práticas de gestão de segurança, ou a verificação do conteúdo dos documentos de políticas de segurança e sua aderência às boas práticas.
6) Bibliografia ABNT - Associação Brasileira de Normas Técnicas. Tecnologia da Informação -
Código de prática para a gestão da segurança da informação:ABNT NBR ISO/IEC 27002:2005. 2a. ed. Rio de Janeiro, 2005.
---. Tecnologia da Informação - Gestão de riscos de segurança da informação: ABNT NBR ISO/IEC 27005:2008. 1a. ed . Rio de Janeiro, 2008.
---. Gestão de Riscos – Princípios de Diretrizes. ABNT NBR ISO 31000:2009. 1a.ed. Rio de Janeiro, 2009.
ALVES, Gustavo. Segurança da Informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência Moderna, 2006.
BEAL, Adriana. Gestão Estratégica da Informação. . São Paulo: Atlas, 2004 ---. Segurança da Informação: princípios e melhores práticas para a proteção dos
ativos de informação nas organizações. São Paulo: Atlas, 2005. BCI - Business Continuity Institute. “Risk Management is Dead... Long Live Risk
Management”. BCIPapers, 2009. Disponível em http://www.bcifiles.com/BCICorporateGovernanceDiscussionPaperFINAL2.pdf. Acesso em: 05/04/2013.
BRITTO, Thiago Dalpoz. Levantamento e diagnóstico da Maturidade da Governança da Segurança da Informação na Administração Direta Federal Brasileira. Dissertação (Mestrado) - Universidade Católica de Brasília, Brasília, 2011. Acesso em 10/09/2012. Disponivel em http://www.bdtd.ucb.br/tede/tde_arquivos/3/TDE-2011-08-31T074321Z-1207/Publico/Thiago Dalpoz e Britto.pdf
BRODBECK, Ângela F; HOPPEN, Norberto. Alinhamento estratégico entre os planos de negócio e de tecnologia de informação: um modelo operacional para implementação XXIX ENANPAD, Setembro de 2005. Disponível em: http://dx.doi.org/10.1590/S1415-65552003000300002. Acesso em 30/08/2012.
BUSSAB, Wilton de Oliveira. Análise de Variância e Regressão. São Paulo: Atual, 1986.
CERT/CC - Computer Emergengy Response Team. Handbook for Computer Security Incident Response Teams (CSIRTs). CMU/SEI, 2003. Disponível em: www.cert.org/archive/pdf/csirt-handbook.pdf. Acesso em: 19/02/2013.
DAVENPORT, Thomas H. Ecologia da Informação: por que só a tecnologia não basta para o sucesso na era da informação. São Paulo: Futura, 2001
DE HAES, Steven; VAN GREMBERGEN, Wim. An Exploratory Study into IT Governance Implementations and its Impact on Business/IT AlignmenT. In Information Systems Management, nº 26, 2009. Pp 123–137.
DRII - Disaster Recover Institute International. Professional Practices for Business Continuity Practitioners. DRIPP, June 1, 2012. Version 1. Disponível em: https://www.drii.org/docs/professionprac.pdf. Acesso em 04/02/2013.
GUINDANE, Alexandre. Deus é Brasileiro: o guia da gestão de continuidade dos negócios. Rio de Janeiro: Ciência Moderna, 2011.
HANASHIRO, Maira. Metodologia para desenvolvimento de Procedimentos e Planejamento de Auditorias de TI aplicada á Administração Pública Federal. Dissertação de Mestrado (Engenharia Elétrica). Brasília, UnB, 2007.
15
HEAD, Ian; SHOLTZ, Tom. ITIL and Security: Reducing Risk and Increasing Effectiveness Through Integration and Collaboration. Gartner Executive Programs, 22 november 2011.
HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging information technology for transforming organizations. IBM Systems Journal, v. 32, n. 1, p. 4-16, 1993.
ISACA - Information Systems Audit and Control Association. CISA Job Practice Areas. Disponível em: http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Job-Practice-Areas/Pages/2011-CISA-Job-Practice-Areas.asp. Acessado em: 17/01/2013.
ITGI. Information Security Governance: Guidance for Board of Directors and Executive Management, Second Edition. 2006. Disponível em www.itgi.org. Acessado em 25/06/2012
ITPRENEURS. ITIL V3 Foundation Course. Versão 1.0. ITPreneurs Nederland B.V, 2008.
ISO - International Standard Organization. Societal Security - Business Continuity Management Systems. ISO 22302:2012.
LAUREANO, Marcos A. P.; MORAES, Paulo E. S. Segurança como Estratégia de Gestão da Informação. In Revista Economia e Tecnologia, vol. 8, fascículo 3, pp 38-44. PUCPR, 2005.
LUFTMAN, J. Assessing Business-IT alignment Maturity In Communications of AIS, 2000.
McKNIGHT, John; OLTSIK, Jon. Research Brief: ISO, ITIL, and COBIT Triple Play Fosters Optimal Security Management Execution. ESG - Enterprise Strategy Group, 2008.
McMILLAN, Rob. The Security Processes You Must Get Right. Gartner Executive Programs, 23 january 2013
MARCIANO, João Luiz; LIMA-MARQUES, Mamede. O enfoque social da segurança da informação In Ciência da Informação. vol. 35, nº 3, Brasília, 2006. Disponível em http://dx.doi.org/10.1590/S0100-19652006000300009. Acesso em: 21/10/2012.
McGEE, James; PRUSAK, Laurence. Gerenciamento Estratégico da Informação. Rio de Janeiro: Campus, 1994.
MINTZBERG, Henry. Criando Organizações Eficazes. São Paulo: Atlas, 2003. MODULO. 10a. Pesquisa Nacional de Segurança da Informação. In Security Review,
2007. NIST - National Institute of Standards and Technology. Guide for Applying the Risk
Management Framework to Federal Information Systems: A Security Life Cycle Approach. NIST Special Publication 800-37, 2010. Disponível em: http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf. Acesso em 19/11/2012.
O´BRYAN, Sharon K., Critical elements of information security program sucess, In Information Systems Control Journal, 2006. Disponível em www.itgi.org. Acesso em em 25/06/2012.
PWC - PricewaterhouseCoopers. Pesquisa Global de Segurança da Informação 2012. Disponível em: http://www.pwc.com.br/pt_BR/br/estudos-pesquisas/assets/pwc-pesquisa-global-de-seguranca-da-informacao-2012.pdf. Acesso em: 31/01/2013.
SHOLTZ, Tom. Survey Analysis: Information Security Governance, 2012. Gartner Inc. 30 April 2012. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – Rio de Janeiro: Campus, 2003.
16
SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação: como transformar o conteúdo informacional em conhecimento valioso. Rio de Janeiro: Brasport, 2005.
SISP. FAQ para Política de Segurança da Informação e Comunicações. Disponível em http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=13971979#13971998. Acesso em 28/09/2012.
SOLMS, Basie von; SOLMS, Rossouw von. The 10 deadly sins of information security management. In Computers & Security nº 23, p. 371 a 376. South Africa: Elsevier, 2004. Disponível em: www.sciencedirect.com. Acesso em: 17/01/2013.
TEMPONI, Francisco Paulo. O Comportamento do nível de maturidade em Governança de Segurança da Informação. Dissertação (Mestrado) - Universidade FUMEC/FACE, Belo Horizonte, 2010. Disponível em http://www.fumec.br/anexos/cursos/mestrado/dissertacoes/completa/francisco_paulo_temponi.pdf. Acesso em 11/09/2012.
TCU - Tribunal de Contas da União. Questionário PerfilGovTI 2012. Disponível em http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_governanca/PerfilGovTI2012_Questionario.pdf. Acesso em: 28/09/2012.
---. Acórdão 2.585/2012-TCU - Plenário. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_governanca/D500BE942EEF7793E040010A89001367. Acesso em: 6/11/2012.
VAN DER HAAR, H.; VON SOLMS, R. A model for deriving information security control attribute profiles. In Computers & Security, v. 22, n. 3, p. 233–244, 2003.
XAVIER, Maria Betânia Gonçalves. Mensuração da Maturidade da Governança de TI na Administração Publica Federal Brasileira. Dissertação (Mestrado) - Universidade Católica de Brasília. Brasilia, 2010. Disponível em: http://www.bdtd.ucb.br/tede/tde_busca/arquivo.php?codArquivo=1333. Acesso em: 10/09/2012. 1 Dentre os mais conhecidos, pode‐se citar os de nº 1603/2008, nº 2308/2010 e nº 2585/2012.
2 Disponível em http://www.governoeletronico.gov.br/anexos/instrucao‐normativa‐no‐01‐2009‐gsi
3 Risco de segurança da informação é definido como a possibilidade de uma ameaça explorar vulnerabilidades de um ativo de informação (isto é, um meio de armazenamento, transporte ou proteção de informação) e prejudicar a organização. É medido tanto em função da probabilidade quanto da consequência do evento. (ABNT, 2008).
4 A gestão de risco corporativa, conhecida como enterprise risk management (ERM), tipicamente envolve a identificação de eventos ou circunstâncias, sejam riscos ou oportunidades, relevantes para os objetivos da organização (COSO, 2004).
5 Fonte: dados do SIDOR ‐ Sistema Integrado de Dados Orçamentários, coletados via aplicação "Observatório de TI", disponível para acesso pela rede interna do TCU.
6 Gespublica é um programa federal, estabelecido pelo Decreto n° 5.378/2005, que estabelece modelo de excelência em gestão pública e fixa parâmetros e critérios para avaliação e melhoria da qualidade da gestão pública.
7 O questionário completo utilizado no levantamento do perfil de governança 2012 está disponível em http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_governanca/PerfilGovTI2012_Questionario.pdf