Antes de você começar discutir a segurança da informação na sua empresa, faz-se necessário entender quem são os Cavaleiros do Zodíaco da sua companhia. Deve contextualizar em que local a segurança da informação se situa no organograma, o que permitirá entender melhor onde as atividades relacionadas a ela se localizam, incluindo os papéis e responsabilidades.
Como tudo começou
O “Cavaleiros do Zodíaco” é uma série japonesa (anime e mangá) de grande sucesso no mundo na década de 1990. A série exibida na TV conta a história de jovens guerreiros guiados pelas constelações, protetores da deusa da sabedoria, da paz e da guerra.
A primeira fase da série apresentou a Guerra Galáctica, torneio que premiará o vencedor com a Sagrada Armadura de Ouro de Sagitário. Porém, nem todos os seus competidores se apresentaram.
O mesmo fato ocorreu no Brasil e no mundo com a segurança da informação na década de 1990. As organizações começaram a discutir sobre segurança da informação, mas nem todos os departamentos se apresentaram para ver quem ficaria com a “Sagrada Armadura de Ouro de Sagitário”. E foi neste momento que o departamento de Tecnologia da Informação (TI) conquistou a “Armadura de Bronze de Pégasus”, ou melhor, ficou responsável pela segurança da informação. Mas será que essa “armadura”, em poder da equipe de TI, conseguiria ajudar a proteger a organização?
Qual é o signo da segurança da informação?
O poder da segurança da informação se origina dos objetivos estratégicos da organização, incluindo uma lista de requisitos de contratuais, regulatórios ou legais. É óbvio que este poder não surge do departamento de TI.
Mas antes de continuarmos, o que são signos?
Segundo o dicionário, signos são “cada uma das doze partes em que se divide o zodíaco e cada uma das constelações respectivas” ou “a presumida influência de uma dessas partes sobre a vida das pessoas, e, por extensão, de outras influências: nasceu sob o signo da fortuna, da beleza etc.”.
Algumas pessoas acreditam que os signos possam influenciar o modo de pensar e agir das pessoas. O mesmo fato ocorre nas organizações. Cada departamento pode interferir na maneira de pensar e agir dos gestores de outras áreas.
Departamento Jurídico
Este setor é responsável por identificar que leis relativas ao tratamento do risco ou à segurança da informação se aplicam à companhia. Também é responsável pelos temas relacionados à propriedade intelectual, direito autoral, termo de sigilo, de confidencialidade, acesso remoto ao ambiente computacional, contratos com terceiros etc.
O departamento jurídico é quem deve ser responsável por identificar quais são os requisitos de armazenamento (incluindo os períodos de retenção) para a guarda dos dados da sua organização. A distribuição geográfica da empresa também irá influenciar diversos fatores porque para cada região existe um tipo de legislação.
Marketing e/ou Publicidade
São áreas chaves para o desenvolvimento das campanhas de conscientização. Mas a realidade não é bem essa.
A todo o momento observo o departamento de TI tentando desenvolver campanhas de educação dos colaboradores sobre o tema segurança da informação. Só que as áreas especializadas no planejamento, propaganda, comunicação com o público interno e externo, entre outras, não são envolvidas – ou não querem ser – nesse tipo de trabalho.
O pessoal de TI entende de tecnologia, e não de endomarketing. Então por que a empresa insiste em atribuir esse papel à área de TI, fazendo com que esses profissionais parem de trabalhar no que são bons – trabalhar com tecnologia – para tentar fazer uma campanha de publicidade sobre segurança da informação?
Recursos Humanos (RH)
É o departamento responsável pela integração de novos colaboradores. Também é responsável pela organização das turmas que irão participar das campanhas de conscientização e pela criação da norma sobre Medidas Disciplinares, entre outras.
Veja só que interessantes esses dois cenários:
Quando o gestor de RH procurou algum especialista em segurança da informação para perguntar sobre quais são os requisitos de segurança da informação antes, durante e depois da contratação de um colaborador?
Fora que o departamento de TI precisa quase que implorar para que o RH informe quando um colaborador está de férias ou foi desligado da empresa. Não podemos esquecer aquela situação em que o funcionário é transferido para outro setor e ninguém avisa a área de TI. Dessa forma, o colaborador continua a acessar informações da área antiga.
Auditoria interna ou externa
Esse departamento transformou-se em alvo de diversas piadas na maioria das empresas. Para entender melhor a situação, vou fazer uma analogia com um fato real que aconteceu comigo recentemente.
O meu filho de oito anos queria um sorvete. Entreguei R$ 2,00 e ele foi até o quiosque de sorvete do shopping. Após ele escolher o sabor e entregar o dinheiro para a atendente, ela simplesmente perguntou: “Você quer CPF na sua nota fiscal?”. Na hora o meu filho começou a rir porque ele não tem CPF.
Muitos auditores estão fazendo a mesma coisa, mas com assuntos relacionados à segurança da informação. Por exemplo, questionam sobre segurança no processo de e-commerce para empresas que não possuem comércio eletrônico.
A maioria dos auditores desconhece a diferença entre uma política de segurança da informação e uma norma ou procedimento. Acreditam que um documento recheado de termos técnicos – que nem mesmo os auditores sabem o significado – é uma política de segurança. Colocam o código de prática da segurança da informação (NBR ISO/IEC 27002) debaixo do braço e saem para caçar evidências. Coitado do departamento de TI que sofre a pressão toda, incluindo assuntos não-TI.
De quem é a responsabilidade?
É muito importante observarmos que a culpa não é dos profissionais que atuam na auditoria interna ou externa. A responsabilidade de tudo isso é de quem contratou esse profissional. Estou comentando isso porque você não pode criticar uma pessoa que não recebeu treinamento ou não sabe o que está fazendo. O departamento de recursos humanos, em conjunto com as áreas de apoio que desenvolvem atividades de segurança da informação, deve reavaliar o perfil de quem atua como auditor em temas relacionados à segurança da informação.
A auditoria é um departamento de apoio que ajuda no monitoramento dos controles internos. Ou seja, pode identificar desvios nas normas internas e reportar isso para que seja feita a melhoria continua do processo.
Tecnologia da Informação (TI)
As atividades do dia-a-dia de um departamento de TI podem ser similares às atividades dos profissionais responsáveis pela coordenação da segurança da informação em alguns momentos. Vai ver que é por isso que ganharam a “Armadura de Bronze de Pégasus”. Por exemplo, as duas áreas tratam de resposta a incidentes, gerenciamento de mudanças, contingência, gerenciamento das operações e comunicações no ambiente computacional etc.
Na prática, o departamento de TI é responsável pela operação dos firewalls, antivírus, anti-spam, sistema de detecção de intrusos, criptografia, gerenciamento de identidades (usuários/senhas/permissão de acesso), dispositivos móveis (notebook, celular, pen drive, CD-Rom etc), controle de conteúdo, aplicação de correções de segurança, gestão de vulnerabilidades técnicas, teste de invasão etc. Por isso o departamento de TI não ganhará a “Sagrada Armadura de Ouro de Sagitário”. Esse departamento deve ficar apenas com assuntos relacionados à Tecnologia da Informação. Segurança da Informação oferece suporte para Pessoas, Processos, Tecnologia e Estratégias. TI é TI, não dá para inventar mais coisas.
Respectivas competências
As organizações insistem em fazer com que os departamentos de TI deixem de fazer o que são bons para fazer algo que não são de competência deles. Vejo quase que semanalmente a alta direção “empurrando” o tema Plano de Continuidade de Negócios para a equipe de TI. Nesse momento, a turma da tecnologia, pressionada pela alta direção e pelos auditores, começa a ligar para os amigos perguntando se alguém tem um Plano de Continuidade de Negócios para “emprestar”. Dai o amigo fala: “Se você conseguir esse plano com alguém, envie para o meu e-mail porque também estou precisando”.
Outro tema que aterroriza os departamentos de Tecnologia da Informação é a “Classificação da Informação”.
Primeiro, o departamento de TI não é responsável por classificar informações. Quem classifica a informação é o dono da informação. TI é o custodiante da informação, ou seja, só guarda as informações. Não precisa nem ter acesso ao conteúdo da informação.
Segundo, o departamento de TI não é responsável por criar uma norma sobre classificação da informação. A área de TI administra tecnologia, não é uma área para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da empresa. TI não é a polícia da empresa e nem escreve “as leis” (diretrizes).
Terceiro, é muito comum encontrarmos o departamento de TI respondendo para o diretor financeiro. O diretor financeiro entende do demonstrativo de resultados, orçamento, financiamentos, redução de custos etc.
Segurança patrimonial
A NBR ISO/IEC 27002 está recheada de boas práticas de segurança da informação para os profissionais que atuam com a segurança patrimonial ou física. Mas esse departamento desconhece a existência de um documento rico em informações sobre segurança da informação para a segurança física. Por exemplo, como a segurança patrimonial protegerá contra acesso indevido as imagens gravadas no circuito fechado de TV?
Participei de um projeto de gestão de risco em 2004. Durante a minha visita ao departamento de segurança patrimonial percebi que o alarme disparava a todo o momento e ninguém verificava o que ocorria. Os seguranças não estavam preocupados em saber se alguém havia pulado o muro da empresa. O fato ocorria porque no muro existia um sistema contra invasões baseado em tecnologia de infravermelho. Porém, quando um caminhão passava pela rua, o muro tremia e o infravermelho saia da posição, disparando o alarme. Por isso que ninguém verificava o ocorrido. Tratava-se de um caminhão passando na rua. Mas e quando for o bandido pulando o muro?
O pessoal da segurança patrimonial também é responsável pelo registro de visitantes, gerenciamento dos crachás etc. Eu nunca fui questionado sobre a possibilidade de alguém clonar o crachá de algum funcionário ou acessar indevidamente os registros dos visitantes. Será que vale a pena incluir essa turma nas discussões sobre segurança da informação? Claro que sim!
Segurança da Informação
Na maioria das organizações não existe um departamento responsável pela coordenação da segurança da informação. Sendo assim, essas companhias não conseguem responder às seguintes questões:
* Que controles adicionais de segurança da informação convém contemplar para fornecer vantagem competitiva à organização?
* Quais são os requisitos míninos de segurança da informação definidos pelo mercado?
* Por quanto tempo a organização pode aceitar interrupções para cada processo crítico do negócio?
* Quais são as exigências para a gestão da segurança da informação, definidas pela direção e quais são as obrigações impostas externamente à organização?
* Como podemos classificar nossas informações?
* Como podemos desenvolver um Plano de Continuidade de Negócios?
* Quais são os relacionamentos entre os sistemas de gestão existentes, regulamentações, conformidade e objetivos da organização?
Gosto sempre de dizer durante minhas palestras que a área de segurança da informação “não faz muita coisa”. Vou explicar melhor.
As medidas/padrões disciplinares são desenvolvidas pelo RH. A integração de novos colaboradores, incluindo a coleta da assinatura do termo de responsabilidade, também é feita por esse departamento, assim como o controle de participantes e a qualidade das campanhas de conscientização.
Já a campanha de conscientização é desenvolvida pelo departamento de Marketing e/ou Publicidade, enquanto a responsabilidade pelas câmeras de vídeo, das áreas restritas, catracas, salas cofre, investigação de fraudes internas fica com o departamento de segurança patrimonial.
O gerenciamento dos dispositivos técnicos (backup, firewalls, antivírus, anti-spam etc) recaem sobre a área de Tecnologia da Informação.
O monitoramento das atividades do dia-a-dia, buscando sempre o alinhamento estratégico e atendimento as regulamentações e leis, é realizado pela equipe de auditores.
O jurídico, por sua vez, tem a responsabilidade pelos contratos com terceiros, termos de sigilo, confidencialidade, acesso remoto, direito autoral e propriedade intelectual.
Os profissionais responsáveis pela coordenação das atividades de segurança da informação precisam do apoio da alta direção para fazer com que todas essas áreas de apoio trabalhem em conjunto. As empresas precisam alinhar os conhecimentos sobre segurança da informação entre seus diferentes departamentos.
Conclusão
A equipe de segurança da informação deve existir para buscar o alinhamento estratégico, desenvolver avaliações do nível de maturidade, gerenciamento de riscos, gerenciamento de recursos, medição de desempenho através de indicadores e apresentar à alta direção a agregação de valor que aperfeiçoe custos.
As organizações, por meio de suas áreas de apoio, devem implementar um modelo de qualidade para os controles e processos baseado na Governança da Segurança da Informação, contribuindo para alcançar o alinhamento estratégico das atividades nessa área com objetivos de negócio e atribuindo responsabilidade e capacidade de tomada de decisão, bem como o respeito às leis e regulamentos.
Fonte: http://idgnow.uol.com.br/blog/mente-hacker/2010/12/15/os-cavaleiros-do-zodiaco-da-seguranca-da-informacao/
Nenhum comentário:
Postar um comentário