o gerenciamento de riscos de seguranÇa nas …as gerências de riscos, sejam elas de segurança da...
TRANSCRIPT
UNIVERSIDADE CÂNDIDO MENDES
PÓS-GRADUAÇÃO “LATU SENSO”
PROJETO A VEZ DO MESTRE
O GERENCIAMENTO DE RISCOS DE SEGURANÇA NAS GRANDES
EMPRESAS
Por: Ione Vasconcelos Rodrigues
Orientador:
Prof. Ana Cláudia Morrissy
Rio de Janeiro
2010
2
UNIVERSIDADE CÂNDIDO MENDES
PÓS-GRADUAÇÃO “LATU-SENSO”
PROJETO A VEZ DO MESTRE
O GERENCIAMENTO DE RISCOS DE SEGURANÇA NAS GRANDES
EMPRESAS
Apresentação de Monografia à Universidade
Cândido Mendes como requisito para obtenção do
grau de especialista em Finanças e Gestão
Corporativa.
Por: Ione Vasconcelos Rodrigues
3
AGRADECIMENTOS
Primeiramente a Deus. A meu filho
Jonathan, a Claudia Grieco e João
Filgueiras pelo apoio e orientação e
a todos aqueles que de alguma
forma contribuíram para execução
dessa Monografia.
4
DEDICATÓRIA
Dedico ao meu filho e familiares.
5
RESUMO
O tema desta monografia é O Gerenciamento de riscos de segurança nas
grandes empresas.
A questão central deste estudo é analisar se a garantia da segurança de infra-
estruturas de tecnologia da informação nas grandes empresas é a chave para
o sucesso. O tema sugerido é de fundamental relevância, pois a maioria das
organizações reconhece o importante papel que a tecnologia da informação
desempenha para o cumprimento de seus objetivos de negócios. São, portanto
os objetivos desta pesquisa mostrar que investir em processo de
gerenciamento de riscos – baseado em um método de trabalho sólido, funções
e responsabilidades bem definidas – prepara a organização para que possa
determinar suas prioridades, atenua ameaças e cria uma estratégica de
resposta a futuras ameaças ou vulnerabilidades aos negócios.
6
METODOLOGIA
Os critérios aqui apresentados para este estudo foram elaborados através de
dados bibliográficos que tratam do assunto, pesquisados basicamente na
internet, em artigos de revistas e jornais que tratam do tema.
7
SUMÁRIO
INTRODUÇÃO 8
CAPÍTULO I
SEGURANÇA EM INFORMÁTICA 10
CAPÍTULO II
GERÊNCIA DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 13
CAPÍTULO III
GERENCIAMENTO DE RISCO – UMA EVOLUÇÃO 22
CONCLUSÃO 27
BIBLIOGRAFIA 31
ÍNDICE 32
8
INTRODUÇÃO
A questão da segurança da informação tornou-se nos dias de hoje um tema
importante, pois a informação é um ativo, e como qualquer outro ativo tem um
valor e necessita ser protegido, não somente aquelas empresas de médio e
grande porte, mas também aquele comércio pequeno que possua somente um
computador e utilize a internet, todos tem o direito que os dados que estão
gravados na máquina se mantenham intactos e acessíveis somente ás
pessoas autorizadas.
Sabe-se que de acordo com o código penal, acessar, roubar, manipular e
modificar informações alheias é um crime, e como todo crime, passível de
punição. Mas, não é em todo caso que o infrator tem objetivo de ganho
financeiro, muitas vezes é a vontade e a curiosidade que estimula um indivíduo
a quebrar os padrões de segurança.
Cada vez mais, as organizações, sejam elas públicas ou privadas, tem sido
incentivadas, e por vezes forçadas, a adotar métodos e planos para melhorar o
rendimento de seus sistemas de informação. Nesse contexto, o controle que se
tem sobre esses sistemas e os processos a ela inerentes são partes
diretamente responsáveis por obter essas melhoras de desempenho e
rendimento.
Sabendo da importância que tem a informação dentro de uma organização,
faz-se extremamente necessária a definição de uma política e de uma estrutura
que a proteja de eventuais ameaças, ou seja, que garanta a segurança da
informação.
A gerência de riscos de segurança da informação se apresenta então como
uma das medidas mais eficazes a serem adotadas, visto que por meio da
mesma, pode-se administrar de forma estruturada as ameaças às quais as
informações da organização, e seus ativos correlacionados, estão vulneráveis.
9
Administrar os riscos de segurança da informação aos quais à organização
está sujeita contribui de maneira significativa para o sucesso da organização e
de seus negócios.
As gerências de riscos, sejam elas de segurança da informação ou de outro
tipo de ativo, tem o intuito de administrar os eventos incertos que possam vim a
afetar as metas, objetivos ou recursos de um sistema. Na prática da gerência
de riscos, além da segurança da informação, o risco não é visto somente como
algo negativo, como se denota na vida cotidiana, mas também como a chance
de algo acontecer e vir a interferir positivamente nas metas/objetivos de uma
corporação.
Para uma melhor abordagem ao tema, o trabalho no capitulo I enfoca a
Segurança em Informática.
Já nos capítulos subseqüentes, mostra a importância da gerência de riscos de
segurança da informação na empresa e a evolução desta gerência.
10
CAPITULO I
SEGURANÇA EM INFORMÁTICA
A segurança é um dos aspectos mais discutidos no âmbito da
administração de sistemas, isso é especialmente importante, porque é preciso
proteger informações valiosas e manter um rígido controle sobre as permissões
de acesso a essas informações.
Sendo assim os projetos de Tecnologia de Informação possuem
características marcantes, que os diferencia dos demais – são projetos onde o
controle sobre as incertezas e as indefinições é um forte fator de determinação
do sucesso ou do fracasso do empreendimento. Os projetos de TI iniciam-se
com vagas idéias do que se deseja pouco conhecimento do processo e quase
nenhuma visão dos resultados. Este é um cenário normalmente encontrado,
que requer grande esforço da equipe de TI e, principalmente, muita atenção do
Gerente do Projeto para transformar desejos dos usuários em um ferramental
que torne os seus clientes mais competitivos para o mercado. Gerenciar este
ambiente desconhecido é o propósito que as novas técnicas de gestão buscam
resolver, entre elas está o Gerenciamento de Risco.
A indústria de Tecnologia de Informação está evoluindo e
desenvolvendo metodologias, técnicas e instrumentos para que os projetos de
TI sejam mais previsíveis e que alcancem seus resultados no prazo, dentro do
orçamento e com a qualidade previamente especificada. O Gerenciamento de
Risco é uma técnica recente e ainda é muito pouco empregada, mas
representa um grande instrumento para o Gerente do Projeto.
11
Vamos entender o significado do Risco. O Risco não é um problema,
mas sim a possibilidade de algo que poderá ocorrer no futuro. O Risco é
tratado como uma probabilidade de um fato vir a acontecer e qual seu efeito
sobre o projeto. Os resultados podem ser negativos, como aumento dos
custos, ou positivos, como atraso de cronograma que propiciou a chegada de
uma nova tecnologia mais eficiente e barata. O Risco é parte de qualquer
atividade e não pode ser eliminado. Nem todos os riscos são conhecidos e a
sua existência pode proporcionar momentos de aprendizagem e de
desenvolvimento de novas soluções. As principais fontes de riscos em projetos
de TI são a tecnologia, o hardware, o software, as pessoas (clientes e
fornecedores; usuários e equipe de TI), os prazos e os custos.
MATERIAL E MÉTODOS
Para tal analise observamos aspectos como o quadro abaixo:
Identificação do Risco; Quantificação; Desenvolvimento da Resposta e
Controle das Respostas.
IdentificaçãoIdentificaçãodo Riscodo Risco
QuantificaçãoQuantificaçãodo Riscodo Risco
DesenvolvimentoDesenvolvimentoda Respostada Resposta
ControleControledas Respostasdas Respostas
Gerenciamento do Risco Gerenciamento do Risco em Projetosem Projetos
Modelo do PMI para Gerenciamento de Risco
12
A identificação do risco consiste em determinar quais riscos são
relevantes e podem afetar ao projeto e em documentar as características de
cada um. A identificação ocorre ao longo de todo o projeto e verifica riscos
internos e externos. Uma lista de verificação de riscos possíveis é uma boa
orientação para o Gerente de Projeto iniciar esta tarefa, mas não se deve
esquecer que nem todos os riscos são conhecidos.
A quantificação dos riscos envolve uma avaliação do risco e sua
interação com os resultados do projeto. A cada situação de risco pode ser
analisado os valores pertinentes ao projeto, levando-se em conta as
probabilidades do risco ocorrer e do que pode representar em termos de
alteração de custos e de prazos. Algumas técnicas matemáticas de simulação
são usadas, a mais comum é a análise de Monte Carlo, um algoritmo iterativo.
Cálculos estatísticos e árvore de decisão também são úteis, dependendo do
projeto e de seus riscos. Os números apresentados são indicadores, mas a
análise de um especialista experiente é fundamental para uma correta
interpretação e entendimento dos riscos e suas conseqüências. Os programas
@Risk (www.palisade.com), Risk+(www.projectgear.com) e Primavera’s Monte
Carlo (www.primavera.com) são os mais conhecidos para a quantificação dos
riscos.
O desenvolvimento da resposta ao risco são os tratamentos dados às
etapas e às ações para minimizar os efeitos do risco negativo e para aproveitar
melhor os riscos positivos.
O controle das respostas ao risco é o acompanhamento dos
resultados. Sempre que um risco se tornar fato real, o controle re-alimentará os
processos para novos riscos, em função das mudanças ocorridas.
13
CAPÍTULO II
GERÊ$CIA DE RISCOS DE SEGURA$ÇA DA
I$FORMAÇÃO
O gerenciamento de riscos de segurança da informação, assim como qualquer
Gestão de riscos, é uma gestão interativa cuja implementação tem o intuito de
melhorar continuamente o desempenho e a tomada de decisões de uma
organização maximizando as possibilidades de ganho, ao mesmo tempo em
que minimiza as possibilidades de perda.
A gerência de riscos será tanto mais eficaz, quanto mais presente e
incorporada estiver na cultura organizacional da empresa. Ou seja, quanto
mais importância for dada a gestão de riscos nas atividades da corporação e
na forma em que estas atividades são executadas, mais qualidade e resultados
serão resultantes da mesma. A gerência de riscos pode ser aplicada nas mais
variadas esferas de uma empresa, seja nela como um todo, ou apenas em um
projeto desenvolvido por ela. Em qualquer situação esse ambiente onde a
mesma será desenvolvida deve ser bem definido, de modo a permitir as
decisões específicas e corretas que impliquem em ações eficientes nesses
processos. Ou seja, o escopo de aplicação da gestão de riscos deve ser
transparente e delineado. A estipulação de onde ou em que será implantada a
gerência de riscos de segurança da informação é um dos itens mais
importantes no que tange ao princípio de estabelecer uma base para um
processo de gestão contínuo definido.
14A gestão de riscos caracteriza-se como parte imprescindível em uma boa
governança corporativa, pois organizações que conseguem com êxito cuidar
dos riscos aos quais estão propensas, tendem a atingir seus objetivos e a fazê-
lo com um menor custo global.
A gestão de riscos promove maior transparência, ao informar aos investidores
e ao público em geral os riscos aos quais a organização está sujeita, as
políticas adotadas para sua mitigação, bem como a eficácia das mesmas, além
de melhorar os padrões de governança, mediante a explicitação do perfil de
riscos adotado, em consonância com o posicionamento dos acionistas e a
cultura da organização. Adicionalmente, a gestão de riscos introduz uma
uniformidade conceitual em todos os níveis da organização, seu conselho de
administração e acionistas.
No âmbito das empresas, qualquer que seja ela, sempre existe a
potencialidade de um evento ser uma oportunidade para êxito da mesma ou
uma ameaça a uma execução eficiente. Nesse processo, o risco é visto como
um evento ou condição incerta, algo que pode, ou não, acontecer, que se
acontecer terá um impacto negativo ou positivo sobre as metas e objetivos da
organização. Resumidamente como, risco é a combinação da probabilidade de
um evento acontecer e suas conseqüências nos objetivos da empresa.
Chamamos de oportunidade um possível evento que se acontecer acarrete em
impactos vistos como positivos para a corporação, ou seja, um risco de algo
que se vir a se concretizar trará benefícios para as metas da empresa.
Os riscos podem ser divididos por natureza e/ou por origem. Quanto à natureza
os riscos podem ser categorizados em estratégicos, operacionais e financeiros,
podendo ter naturezas distintas, como também, ter várias naturezas
concomitantemente.
• Riscos de natureza estratégica são aqueles ligados à tomada de decisão da
alta administração e que podem vir a gerar perdas substanciais no valor
econômico da organização, quedas nos valores de suas ações.
15• Riscos de natureza operacional são aqueles ligados à possibilidade de
ocorrência de perdas (de produção, de ativos, de clientes, de receitas)
resultantes de falhas, deficiências ou inadequação de processos internos,
pessoas e sistemas, assim como de eventos externos como catástrofes
naturais, fraudes, greves e atos terroristas.
• Riscos de natureza financeira são aqueles ligados à exposição das operações
financeiras da organização. São os riscos de que os fluxos de caixa não sejam
administrados de forma efetiva não possibilitando a maximização da geração
de caixa operacional, o gerenciamento dos riscos e os retornos específicos das
transações financeiras, e a captação e aplicação dos recursos financeiros de
acordo com as políticas estabelecidas.
À origens dos eventos podem ser de dois tipos, externas e internas:
• Riscos externos são aqueles eventos que têm ligação com o ambiente
macroeconômico, político, social, natural ou setorial em que a organização
opera, ou seja, estão ligados à sua atuação e geralmente não podem ser
tratados diretamente pela organização.
• Riscos Internos são aqueles eventos que se originam no âmbito da própria
organização, pelos seus processos, seu quadro de pessoal ou de seu ambiente
de tecnologia, ou seja, são aqueles que são inerentes às atividades da
organização e que, em geral, podem ser tratados com ações pró-ativas por
parte da instituição.
2.1 – Princípios da Gerência de riscos de Segurança da Informação
Quando da implementação de uma gerência de riscos de segurança da
informação, deve-se garantir o respeito de alguns princípios, princípios esses
que moldam a natureza da gerência de riscos, que podem ser agrupados em
três áreas: avaliação de riscos de segurança da informação, gerência de riscos,
e organização e cultura.
16• Princípios de avaliação de riscos de segurança da informação:
São os princípios que constituem o alicerce para um processo de avaliação de
riscos de segurança da informação eficaz.
– Auto-direcionamento - refere-se ao ato de gerenciar e direcionar a avaliação
de riscos de segurança da informação para a organização. As pessoas que o
fazem são responsáveis por gerenciar as atividades de gerência de riscos e
pela tomada de decisões no que diz respeito aos esforços da organização na
manutenção dessa segurança.
– Medidas adaptáveis - refere-se à necessidade de se estabelecer um
processo de avaliação flexível, visto que a segurança da informação e a
tecnologia de informação mudam muito rápido. Para que isso seja possível,
são necessários catálogos correntes de informações, que definem as práticas
de segurança aceitas, as fontes e tratamentos conhecidos, assim como suas
vulnerabilidades.
– Processos definidos - programas de avaliação de segurança da informação
devem depender de processos e procedimentos definidos e padronizados, que
ajudem a organização a institucionalizar o processo, atribuindo assim coerência
na aplicação da avaliação. Para isso é necessária a distribuição de
responsabilidades para a execução dessa avaliação, a definição de todas as
atividades de avaliação requeridas (assim como as ferramentas e materiais por
elas utilizados) e a criação de um formato comum para documentar os
resultados da avaliação.
– Base para um processo contínuo - objetivando o incremento de sua postura
de segurança ao longo do tempo, as organizações devem implementar práticas
de segurança com base em estratégias e planos. Adotando essa perspectiva, a
organização acaba por institucionalizar esse processo, tornando-o parte da
forma como a organização realiza rotineiramente suas atividades.
17• Princípios de gerência de riscos
São os princípios básicos para uma prática efetiva da gerência de riscos.
Os princípios aqui encontrados são extensíveis a todas as categorias de riscos,
não só aos de segurança da informação.
– Perspectiva de visão futura - refere-se à necessidade de se planejar não só
o presente, o cotidiano, mas o amanhã da organização, ou seja, deve-se tentar
preestabelecer ações para eventuais acontecimentos futuros. Esse tipo de
visão futura é centrado no gerenciamento da incerteza.
– Foco nos pontos críticos - a organização deve concentrar-se nas questões
mais críticas de segurança de informação. Para isso é necessário que a
mesma use uma coleção de dados direcionados para a coleta de informação
sobre riscos de segurança e identifique os ativos mais críticos para que possa
selecionar as práticas de segurança para sua proteção.
– Gestão integrada - refere-se à necessidade de que as políticas e estratégias
de segurança sejam coerentes com as políticas e estratégias organizacionais
.
• Princípios organizacionais e culturais
Os princípios organizacionais e culturais ajudam a criar uma cultura
organizacional favorável a uma gestão de riscos efetiva. A não-observação a
esses princípios pode fazer que questões importantes para a organização
passem despercebidas pela gestão de riscos, além de acarretar em um falta de
compromisso e empenho para com esse gerenciamento, por parte das pessoas
que constituem a organização. O respeito a esses princípios é extremamente
importante para que seja possível a criação de um ambiente em que a troca
aberta de idéias seja incentivada.
– Comunicação aberta - Este é um dos mais importantes princípios a serem
aplicados, bem como se constitui o mais difícil de se estabelecer. O êxito da
gestão de riscos de segurança da informação está diretamente ligado a uma
comunicação aberta dentro da organização, pois não se solucionaria um risco
de segurança da informação se o mesmo não fosse comunicado e entendido
18
pelas partes envolvidas. Para sua aplicação, pode-se valer de atividades de
avaliação que são desenvolvidas por meio de colaboração e incentivo ao
intercâmbio de informações sobre riscos de segurança entre todos os níveis de
uma organização.
– Perspectiva global - refere-se à necessidade, por parte dos membros da
organização, de se chegar a um consenso sobre o que é mais importante para
a organização. São diagnosticadas as opiniões individuais e posteriormente as
mesmas são consolidadas, dando origem a um quadro global de riscos de
segurança da informação com o qual a empresa tem de lidar.
– Trabalho de equipe - refere-se à necessidade de que os indivíduos membros
da organização se unam, formando equipes interdisciplinares, objetivando o
entendimento das questões relacionadas à segurança da informação. São
questões fundamentais relacionadas à criação e manutenção dessas equipes
interdisciplinares: a sua criação para conduzir a avaliação dos riscos, inclusões
oportunas de novas perspectivas para essa avaliação, trabalho em equipe para
o sucesso dessa avaliação e o impulsionamento às habilidades e capacidades
de seus membros.
Esses princípios baseiam as atividades de avaliação de riscos de segurança da
informação. As etapas e processos por meio dos quais se implementará a
gerência de riscos de segurança da informação na organização já citada são
definidas no próximo capítulo.
2.2 Processos que compõem a gerência de riscos
Existem vários padrões de fato e de direito, que explanam sobre gerência de
riscos:
Princípios de gerenciamento de riscos de segurança da informação de acordo
com C. Alberts; Dorofee Audrey riscos de segurança da informação
especificamente e sobre os processos que as compõem, definindo-as em
conjuntos de sub-processos/atividades. Para uma análise menos holística e
mais detalhista, adotar-se-ão os processos definidos: definição de contexto,
19análise/avaliação dos riscos, tratamento dos riscos e aceitação dos riscos,
além de um monitoramento e revisão de riscos, e das comunicações e
consultas às partes interessadas, em todas essas etapas.
Cada um desses processos deve ter seus resultados, métodos, fonte de dados
e análises registrados, pois esses registros são um dos requisitos para uma
boa governança corporativa, levando-se em conta a necessidade de ser criar e
manter esses registros, os custos envolvidos em tal manutenção e as
vantagens que serão obtidas por meio de tais.
2.3 Definição de contexto
Quando da decisão da implementação de uma gerência de riscos, faz-se
extremamente necessário o estabelecimento de um contexto bem definido, que
serão os parâmetros básicos para que possa ser diagnosticado com excelência
o escopo dos riscos que serão considerados. Esse contexto além de detalhar o
ambiente interno e externo da organização, se estende a definir o propósito da
aplicação da gerência de riscos de segurança da informação, o seu
ambiente,seus objetivos, suas estratégias, os critérios utilizados em cada um
dos processos que a compõem e a elaboração de uma estrutura lógica de
seguimento para o restante do processo de gestão.
• Definição de contexto interno e do contexto externo:
Um dos primeiros passos, quando é decidido implantar uma gerência de riscos,
é mapear a organização onde a mesma será aplicada, ou seja, é dá um “chão
para que se possa traçar as trilhas dos riscos”. É preciso entender onde se
dará essa gestão, pois assim essa gerência ocupará uma posição de destaque
nas metas da organização, visto que alguns riscos específicos de algumas
áreas só serão diagnosticados dessa maneira. Partindo dessa consideração é
preciso identificar a cultura e a estrutura organizacional, as partes internas
interessadas (os intervenientes da organização, ou seja, os seus
colaboradores), os objetivos e metas, traçando os planos estratégicos e as
demandas necessárias (pessoas, sistemas, processos, capital, etc.) para
alcançar tais objetivos e metas.
20Além do contexto interno, este processo também prescreve um detalhamento
do contexto externo com o qual a organização interage, como: seus negócios,
sua cultura comercial, competitividade e sua área financeira. É preciso mapear
seus pontos fortes e fracos, e não se esquecer dos intervenientes externos,
cuja opinião tem grande peso nessa implementação e deve ser levada em
conta em todo o processo de gestão, como parte inerente a todas as etapas.
• Definição de contexto imediato da gerência de riscos de segurança da
informação: escopo e limites Quando é diagnosticado o ambiente
organizacional de aplicação da gerência de riscos, além das fronteiras que
delimitam a mesma, é preciso dar as coordenadas específicas da área onde
esse processo de gestão será aplicado, ou seja, é preciso detalhar os
objetivos, estratégias, metas, escopo e parâmetros da atividade fim. É nesse
momento que devem ser analisados os benefícios, os custos e as
oportunidades, além de enumerar e definir os recursos e os registros
necessários à sua execução. Inicialmente define-se o lócus dessa
implementação: a empresa, um de seus processos, um de seus projetos ou
uma de suas atividades, juntamente com as suas respectivas metas e
objetivos, não deixando de explicitar a relação do escopo escolhido com outros
processos ou ramos da organização. Na identificação desse escopo, muitas
das vezes são necessários estudos para um maior detalhamento, estudos
esses que também devem ser prévia e cuidadosamente planejados visto que é
preciso uma visão transparente de quais resultados deseja-se obter com os
mesmos.
Nessa etapa, faz-se necessário também um mapeamento mais específico dos
processos de negócio dessa organização, de seus objetivos estratégicos, suas
políticas, sua missão, seus valores, seus ativos e principalmente as restrições
que afetam a organização e o escopo definido.
Tendo o cenário de atuação esboçado, estuda-se minuciosamente donde
originam as decisões que devem ser tomadas para viabilizar a atuação em tal e
aquelas que podem vir a influenciá-lo, além de estimar a abrangência dessas
decisões. A definição de responsabilidades e papéis aqui é muito importante,
21pois integra e mostra aos colaboradores, internos e externos, que todos têm
tarefas a serem cumpridas para uma execução bem sucedida da gerência de
riscos proposta.
• Definição dos critérios de riscos
A definição de quais critérios serão utilizados na avaliação dos riscos, deve ser
também uma das prioridades iniciais. É preciso estabelecer quais os tipos de
decisões serão tomadas no tratamento dos riscos, se de ordem financeira,
legal, técnica, gerencial, etc; e se a organização tem os recursos disponíveis
para tais ações. Tais critérios não são definidos aleatoriamente. Eles devem
convergir para o mesmo horizonte para o qual converge todo o contexto dos
riscos e da organização, interna e externamente. É nessa etapa que se
definem também os critérios básicos relativos aos riscos de segurança da
informação, que se referem às suas avaliações, aos seus impactos e às suas
aceitações.
• Definição da estrutura geral da gerência de riscos de segurança da
informação
A gerência de riscos de segurança da informação é um macro-processo,
constituído de outros processos, que por sua vez são divididos em etapas
menores. Quanto mais próximo de unívoca puder se definir uma atividade,
mais propenso a bons resultados estará esse gerenciamento. Essa divisão em
etapas possibilita a criação de um quadro lógico de passos a seguir que
ajudarão a não deixar de lado riscos de segurança da informação significativos.
Uma boa opção para detalhamento e diagramação dessa estrutura é a
elaboração de um plano de gerenciamento de riscos, onde serão
estabelecidas todas as condições sob as quais se darão as execuções dos
processos que compõem essa gestão: atribuição de funções e
responsabilidades, metodologia, previsão de custos, tempos, prazos, as
categorias de risco (se de ordem técnica, organizacional ou gerencial, se
externo, etc.), definição das probabilidades de ocorrências, possíveis impactos
(mensurando e diagnosticando as prioridades de atuação) e a forma que será
feita o registro e a análise das informações obtidas.
22
CAPÍTULO III
GERE$CIAME$TO DE RISCOS - UMA EVOLUÇÃO
O termo “Gerenciamento de Riscos” somente tornou-se comumente utilizado
recentemente. Tradicionalmente, costumamos associá-los aos riscos
relacionados aos ativos financeiros (seguros, créditos, taxas de câmbio,
empréstimos, etc). Atualmente, este enfoque modificou-se. Passou-se a discutir
e avaliar também os riscos operacionais, bastante associados à Tecnologia da
Informação.
A medida que os negócios e até mesmo seus clientes vêem crescer dia após
dia sua dependência em relação à internet e aos sistemas de TI, os riscos de
infra-estrutura tornam-se mais visíveis e significantes. Violações ou falhas em
sistemas de informação causam sérias crises de negócio – danos à reputação
causados por roubo de identidade, vazamento de informações confidenciais em
função de falhas de sistemas e o surgimento de restrições regulatórias em
função da procura por conformidade.
Recentes manchetes em publicações de áreas diversas destacaram com
grande ênfase numerosos problemas relacionados aos riscos tecnológicos:
roubo de mídias de backup, processos litigiosos resultantes de produção e/ou
preservação imprópria de registros eletrônicos, roubo de identidade e quebras
de propriedades intelectuais.
Hoje é facilmente perceptível entender porque os quadros executivos das
corporações mundiais buscam incansávelmente respostas para a pergunta:
Como mitigar dramaticamente os riscos e melhorar o retorno sobre os
investimentos em sistemas de informação?
Enquanto disciplina, o Gerenciamento de Riscos de TI é bastante novo. No
passado, os riscos associados a TI estavam limitados a aspectos como
23segurança e continuidade dos negócios. Hoje, o conceito sobre riscos de TI
evoluiu e tornou-se clara a visão de que os riscos de TI não são
unidimensionais. Um completo programa de gerenciamento de risco de TI
avalia os riscos relativos à segurança e disponibilidade de dados,
disponibilidade integral e performance dos ativos de informação e a
conformidade com exigências regulatórias ou legais.
Ao considerar cada uma das seguintes categorias de riscos de TI, pode-se criar
para os negócios uma estrutura mais completa de combate aos riscos
apresentados.
. Segurança: São os riscos relativos às ameaças internas ou externas que
podem resultar em acessos não autorizados à alguma informação. Incluem-se
aqui os riscos relativos ao vazamento de dados, privacidade de dados e fraude.
Inclui-se também uma ampla gama de ameaças externas como ataque por
vírus, bem como ataques bem objetivos à aplicações, usuários e informações
especificas – ataque a sistemas que as pessoas confiam e utilizam
diariamente.
. Disponibilidade: Trata-se do risco de uma informação apresentar-se
inacessível devido a interrupções não planejadas em sistemas. As
organizações têm a responsabilidade de manter seus sistemas de negócio
operacionais. Como resultado, elas precisam reduzir os riscos de perda ou
corrupção de dados e de indisponibilidade de aplicações. E, no caso de uma
falha, os negócios devem ser recuperados em prazo adequado.
. Performance: É o risco de uma informação apresentar-se inacessível devido a
limitações de escalabilidade ou gargalos relativos à comunicação de dados. Os
negócios precisam garantir os requerimentos de volume e performance –
mesmo durante momentos de pico. Aspectos relativos à performance devem
ser identificados proativamente, antes que os usuários finais ou aplicações
sejam impactados. E, para minimizar os custos, as organizações precisam
otimizar seus recursos e evitar gastos desnecessários em hardware.
. Conformidade: É o risco de violação de exigências regulatórias ou de falha no
alcance de requerimentos de políticas interna. As empresas precisam
24apresentar conformidade a regulações dos mais diversos níveis (federais,
estaduais) como SOX e ISO9000. As organizações precisam preservar
informações e provar um eficiente sistema de busca e recuperação de
conteúdo quando requerido (principalmente em e-mails). Em adição, os
empregados devem ser responsáveis pela observação das melhores práticas e
políticas internas para garantir mais eficiência à operação dos negócios.
O inter-relacionamento entre estes tipos de riscos da TI vem aumentando
significativamente. Ampliar seus conhecimentos e priorizá-los é um importante
passo inicial no estabelecimento de um efetivo programa de gerenciamento de
riscos da TI.
3.1 Riscos
Para avaliação de riscos, quanto maior o prazo de retorno de uma aplicação,
maiores as chances de ocorrência de dois tipos de riscos: tecnológicos ou
financeiros.
. Riscos tecnológicos são os riscos de uma nova tecnologia tornar as soluções
existentes obsoletas. O surgimento da internet apresentou numerosos
exemplos de aplicações clientes-servidores bem projetadas e desenvolvidas
mas que tornaram-se obsoletas praticamente de um dia para o outro. Diversas
organizações que investiram que investiram em projetos clientes-servidores de
longo prazo se viram forçadas a abandonar estas aplicações e partir para o
desenvolvimento de aplicações baseadas na web. Aquelas que optaram por
projetos com prazos de retorno menores provavelmente conseguiram recuperar
seus custos antes de descartar a aplicação integralmente.
. Riscos financeiros são aqueles onde um fator não-tecnológico influencia a
aplicação. Fusões, aquisições, mudanças no quadro gestor e pressões
competitivas influenciam a infra-estrutura corporativa tecnológica e pode
reduzir a chance de se obter o ROI (retorno sobre investimento) esperado.
25
3.2 Flexibilidade
A empresa pode não desejar mudar uma nova tecnologia – mas seu
competidor pode. No atual ambiente extremamente competitivo do mercado,
adotar aplicações com longos prazos de retorno influencia de forma negativa a
habilidade corporativa de reação rápida às oportunidades trazidas pela nova
tecnologia. Organizações tradicionais estabelecidas apenas no mundo físico
apresentaram grandes dificuldades em se estabelecer no mundo virtual. Elas
gastaram um tempo considerável integrando seus processos existentes e
soluções legadas enquanto organizações “virtuais” estabeleceram-se muito
rapidamente. Seus sistemas de groupware alcançaram seus fornecedores e
clientes? Organizações com sistemas de mensagens legados vêm reagindo
vagarosamente aos benefícios de uma extranet e estão se distanciando de
iniciativas mais flexíveis. Estas organizações estão sobrecarregadas com os
custos de decisões tomadas anos atrás.
Uma vez alcançado o prazo de retorno é necessária a contínua avaliação dos
benefícios de todas as soluções existentes e o rápido descarte daquelas
tornadas obsoletas por qualquer nova tecnologia.
A flexibilidade alcançada pela adoção de curtos prazos de retorno oferece uma
oportunidade para avaliar soluções de software de curto prazo ou descartáveis.
A organização pode decidir que uma solução perfeita leve três anos para ser
desenvolvida, mas uma solução temporária pode prover benefícios reais à
corporação neste ínterim. O cálculo do prazo de retorno permite o
desenvolvimento rápido de um solução, sabendo-se que mesmo incompleta,
sua intenção é de ser substituída em um futuro de curto prazo.
Seguir uma estratégia de desenvolvimento e substituição pode ser uma forma
de se maximizar o ROI para a corporação. Implementar imediatamente uma
boa solução enquanto se planeja uma solução futura melhor ou mais completa,
possibilita o aumento do retorno imediato do ROI enquanto oferece a
26flexibilidade de mudança de direção futura no caso do estabelecimento de uma
nova tecnologia.
Justificar a importância e real necessidade dos projetos de TI para a alta
direção e para os acionista, no sentido de obter os recursos financeiros para
sua concretização é hoje um dos principais desafios dos gestores de TI. E
para auxiliar esta difícil tarefa, a elaboração de um bom plano de negócios se
torna especial. É uma definição formal de um conjunto de metas de negócios,
as razões pelas quais acredita-se que estas metas sejam atingíveis e o
planejamento para o alcance destas metas. Um plano de negócios permite às
empresas mapear seus processos e definir a direção a ser seguida, com a
clara exposição dos objetivos a serem atingidos e de que forma isso será feito,
prevendo-se, inclusive, eventuais problemas ao longo do percurso.
Finalmente, para garantir o sucesso de uma empresa alguns componentes
devem estar presentes ao iniciar a implementação de um processo bem
sucedido de gerenciamento de riscos de segurança e que devem permanecer
presentes durante esse processo. São eles: o patrocínio executivo, uma lista
bem definida dos interessados no gerenciamento de riscos, maturidade
corporativa em relação ao gerenciamento de riscos, uma atmosfera de
comunicações abertas, o espírito de equipe, uma visão holística da
organização e autoridade da equipe de gerenciamento de riscos de segurança,
27
CO$CLUSÃO
Na medida em que surgem novas tecnologias e grandes transformações
evolutivas, numa velocidade estonteante, fica difícil de conseguir acompanhar
tais mudanças, o ser humano não fica atrás devido sua enorme capacidade de
inteligência e, sobretudo criatividade. O ambiente frio e parcial que transcende
os computadores, dispositivos, equipamentos mecânicos e eletrônicos, com
suas mais modernas arquiteturas, plataformas, autenticações dentre outras
inúmeras formas de garantir mais segurança à informação, ainda não são e
com certeza não serão tão cedo, a solução definitiva para conter o ímpeto
curioso, criativo, astuto e surpreendente do cérebro humano. A Engenharia
Social retrata três aspectos fundamentais que englobam sua verdadeira
essência. Uma delas é como ciência na forma de estudo, pesquisa e
descobrimento, que o engenheiro social deve ter consigo. A técnica, como
modelo de aplicação de suas habilidades envolvendo características
propriamente padronizadas como principalmente personalizadas ou
incrementadas. Por fim a arte, como o meio mais criativo e envolvente que o
engenheiro social pode trazer levando em conta o senso lógico, mas sobre
tudo emocional que é muito bem explorado por esse mestre articulador das
vulnerabilidades humanas. Não existe ao certo uma receita milagrosa que
define como totalmente seguro qualquer ambiente de trabalho que manipule
informação. Fica como medida para dificultar a entrega destas informações, as
condutas, os treinamentos, os hábitos, o conhecimento das técnicas de
Engenharia Social, além é claro da atenção e responsabilidade que se deve
ter, ao manipular, transmitir ou descartar informações seja elas importantes ou
não.
28
A Engenharia Social é isso. Está presente em todos os ambientes.
Mesmo que tenhamos participado sem saber de alguma forma, contribuído
sem querer, utilizado sem saber que o fez, pode ter sido Engenharia Social.
Mas é no ambiente de trabalho principalmente que o cuidado deve ser maior.
Pois não se sabe se poderá ser contornado, recuperado ou reversível
determinada situação condizente a um ataque da Engenharia Social. Por se
tratar de um fator inerente às vulnerabilidades humanas, podendo comprometer
toda uma estrutura organizacional nos aspectos técnico administrativos, a
Engenharia Social é parte integrante à análise dos riscos, relativa às ameaças
advindas à segurança das informações. Conseguir compreender os aspectos
da gestão de riscos, mediante a Segurança da Informação que estão em jogo,
mas principalmente aplicar medidas cabíveis às necessidades inerentes à
visão técnica com a visão de negócio é o ponto de alicerce que segura a base
de um bom e promissor começo de Gestão da Segurança da Informação. A
Engenharia Social realmente é um dos problemas desafiadores que se tem
quanto à Segurança da Informação. Ocorrem muitas outras preocupações que
se deve ter em mente, pois além do fator humano, têm-se o fator tecnológico e
físico a serem considerados. O termo “ativos” foi muito destacado no decorrer
do trabalho, justamente por ser sinônimo de cuidados especiais perante o que
se tem e circula para com os processos da empresa. E é somado a esses
ativos que se encontram as ameaças e pontos de vulnerabilidades decorrentes
a falta de um plano diretor de segurança que priorize ações de proteção
eficientes. Vale destacar que, além de seguir a conformidade com a ISO17799,
O COBIT procura ocupar o espaço entre Gestão de Riscos voltada para o
Negócio (atendida, por exemplo, pelo o COSO), A Gestão de Serviços em TI
(por exemplo, por meio da ITIL) e a Gestão de Segurança da Informação (por
exemplo, tratada pela BS7799), ter um competente Security Office com uma
equipe que possa dar respaldo às problemáticas que vierem a seguir no
decorrer deste tecnológico, mas desafiador mundo da Segurança da
Informação é vital. A questão da privacidade está cada vez menor, ao ponto
29que daqui alguns anos, quase não mais existir, é fato. As informações sejam
elas pessoais ou empresariais, estão cada vez mais fáceis de serem
encontradas e utilizadas. O patamar em que se encontram tais informações
sendo expostas da forma que são, tão facilmente divulgadas e compartilhadas,
não está definitivamente no mesmo patamar da noção e conscientização das
pessoas físicas e jurídicas com relação a esta “imprivacidade” que delas
detêm. O desafio é grande e a caminhada para o “sossego” de obter definitiva
Segurança da Informação, está muito longe. Principalmente devido o fato
citado anteriormente, sobre a falta de privacidade, cada vez maior. Mas quanto
à segurança corporativa das informações que nelas incidem, devem sem
sombra de dúvidas, serem encaradas como “preciosidades” cada vez mais
valorizadas por cada funcionário da organização. Implementar diversos
mecanismos de identificação, autorização, armazenamento de dados, sistemas
de auditoria, inspeção e checagem, ajudam. E devem ser levados em conta,
para que aja maior segurança quanto a exposição involuntária ou não de
informações pessoais e técnicas; enfim confidenciais. No caso de um quadro
agravante da falta de instruções e conscientização por parte dos funcionários
em qualquer empresa é preocupante. Se a informação não for considerada
como fonte preciosa de posse particular, ou seja, como objeto
preponderantemente valioso que cada funcionário carrega consigo, desde o
momento em que se instala na empresa, poderá ter sérios problemas para se
manter a Segurança da Informação. Interligada a esta falta de instruções e
conscientização a Engenharia Social contracena com um toque “mágico-
imperceptível”. Imperceptível porque na maioria das vezes mal sabe a empresa
que sofrera um ataque de Engenharia Social. Mágico devido os ataques por
Engenharia Social ocorrerem de forma tão natural, simples e convincente, que
na maioria das vezes só descobre se revelado propositalmente pelo “artista” (o
que quase sempre, claro não ocorre). A arte, ciência, e técnica conjuntamente
podem levar a moldar um tipo de profissional extremamente útil ao mercado;
30mas como também pode nascer da mistura de hackers, crackers e mestres
articuladores da persuasão humana, um indivíduo perigoso a esta Segurança
da Informação, dificultando a vida dos Security Officers ou responsáveis. A
árdua tarefa de ser este “super-homem” ou de se ter a “super equipe” é algo
realmente difícil. Adquirir um nível de profissionais com alta capacidade de bom
relacionamento inter-pessoal e ao mesmo tempo bons conhecimentos técnicos,
está complicado. O investimento não é pouco, e muito menos com retorno à
curto prazo. Mas compensa na medida em que se valorizam cada vez mais
todos os ativos da empresa. Contudo, ter em mente que para se obter
profissionais aptos a saberem trabalhar com esta segurança que as
informações merecem ter, assim como fazer com que as pessoas que
trabalhem com algum meio tecnológico principalmente, sejam envolvidas a
interagirem participativamente às responsabilidades quanto as condutas ao
tratamento das informações que manipulam, é um investimento a ser aplicado
e não simplesmente mais uma despesa a ser adicionada ao orçamento. No
estudo de caso realizado na American Express é possível afirmar que o
processo de Segurança da Informação e os profissionais aptos envolvidos
neste processo não são simplesmente mais uma despesa a ser adicionada ao
orçamento, pois ao se comparar ao modelo de Gestão de Segurança
apresentada pelo estudo referente ao COBIT, nota-se que a American Express
apresenta em todos os seus processos uma Gestão semelhante e muito
eficiente.
31
BIBLIOGRAFIA
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – Tecnologia da
Informação – Código de prática para a gestão da segurança da informação. Rio
de Janeiro: ABNT, 2001 (NBR ISSO/IEC 17799)
BRASILIANO, ANTONIO CELSO RIBEIRO – Manual de análise de risco para
a segurança empresarial. São Paulo: Sicurezza, 2003
BRASILIANO, ANTONIO CELSO RIBEIRO – Manual de planejamento. Gestão
de riscos corporativos. São Paulo: Sicurezza, 2003
CARUSO, CARLOS A.A. Segurança em Informática e de Informações. São
Paulo: Senac, 1999
GREY, STEPHEN. Risk analysis for It projects. England: Wiley, 1995
PELTIER, THOMAS R. Information security analysis. United States of America:
Auerbach, 2001
http://www.microsoft.com/brasil/security/guidance/default.mspx - 2010
32
ÍNDICE
AGRADECIMENTOS.......................................................................03
DEDICATÓRIA................................................................................04
RESUMO.........................................................................................05
METODOLOGIA..............................................................................06
SUMÁRIO........................................................................................07
INTRODUÇÃO.................................................................................08
CAPÍTULO I. SEGURANÇA EM INFORMÁTICA ........................10
CAPÍTULO II. GERÊNCIA DE RISCOS DE SEGURANÇA
DA INFORMAÇÃO .........................................................................13
2.1 – Princípios da gerência de riscos de segurança da
informação.......................................................................................15
2.2 – Processos que compõem a gerência de riscos............18
2.3 – Definição de contexto ...................................................19
CAPITULO III. GERENCIAMENTO DE RISCO
– UMA EVOLUÇÃO .....................................................................22
3.1 – Riscos............................................................................24
3.2 – Flexibilidade ..................................................................25
CONCLUSÃO..................................................................................27
BIBLIOGRAFIA................................................................................31