Consultor e professor fala sobre a importância do Processo Corporativo
da Segurança da Informação
da Segurança da Informação
Consultor, professor e gestor de segurança da informação, Edison Fontes é mestre em TI e possui as certificações CISM, CISA, CRISC pela ISACA/USA. Autor de cinco livros sobre o assunto, sua mais recente obra "Políticas e Normas para a Segurança da Informação", lançada pela Editora Brasport, traz 30 exemplos de políticas e normas para organizações. Em tempo de debates sobre a proteção das informações e processos nas organizações, Edison concedeu uma entrevista exclusiva para o Portal da ABES. Confira!
Qual a forma mais eficaz de a empresa mapear os riscos à segurança de TI?
Quando falamos de segurança da informação, baseados na Norma NBR ISO/IEC 27002:2013, devemos considerar 16 Dimensões que compõem o Processo Corporativo de Segurança da Informação. A gestão de riscos é uma destas dimensões, bem como o ambiente de tecnologia da informação (TI). Cada dimensão é um conjunto de controles focados em um aspecto da proteção da informação. A questão da gestão de riscos de segurança da informação é tão relevante que existe a Norma NBR ISO/IEC 27005:2008, que trata exclusivamente do tema risco.
Sendo assim, entendo que a maneira mais efetiva (eficaz e eficiente) de tratarmos o assunto risco e a segurança da TI, com o objetivo maior de proteger a informação, tanto no ambiente digital como no ambiente convencional, é ter uma abordagem estruturada e que considere todas as dimensões da segurança da informação.
Indico que, primeiramente, precisamos ter regulamentos, dentro do conjunto Política de Segurança da Informação, que definam o escopo para os riscos a serem considerados. Depois sugiro que se tome por base os controles da Norma 27002 e se faça a análise de riscos para o ambiente de TI. Esta é a melhor abordagem para tratarmos os riscos para o ambiente de TI.
Como gerenciar e integrar as questões de segurança em época de mobilidade, BYOD e nuvem?
Os temas mobilidade, BYOD e processamento na nuvem são importantes e chegam para todas as organizações. Mas a questão não é como faço a segurança para estes temas. A questão é: qual a segurança que a sua organização quer ter? Qual a rigidez da segurança é adequada para a sua organização? E atenção: estas respostas não são dadas pela área de TI ou pela própria área de segurança. Elas têm que ser respondidas pela direção da organização. Evidentemente a área de segurança da informação tem a responsabilidade de levar este assunto de maneira estruturada e com a identificação dos níveis de rigidez possíveis para os controles de segurança. Explicitando: uma autenticação de usuário pode ser feita por uma senha ou por uma dupla autenticação tipo senha e biometria. A área de negócio é quem deve decidir esta rigidez. Lembrando que: mais segurança, mais tempo e custo operacional, o que impacta no negócio. Sempre digo: cada organização têm a segurança que merece. Cada organização tem a segurança que quer.
Então, ao tratar estes novos temas, precisamos saber qual segurança que a organização precisa. Em uma solução de BYOD, a organização vai correr mais riscos do que uma organização que utiliza apenas equipamentos corporativos. Mas, de repente, para uma média empresa, a facilidade de uso de BYOD pelos seus vendedores vai agilizar o negócio e aumentar o faturamento. A área de negócio tem que avaliar estes riscos.
Em termos de processamento em nuvem, eu não acredito que uma organização de pesquisa farmacêutica coloque na nuvem, suas pesquisas de anos de um produto que vai ser sensacional e vai trazer milhões de dólares de lucro. A nuvem é segura? Relativamente sim. Deve-se colocar uma pesquisa deste tipo que será a salvação da empresa? O gestor vai decidir.
Quais os obstáculos mais encontrados para estabelecer uma política de segurança?
Entendo que o primeiro grande obstáculo para estabelecer uma política de segurança é o fato de as pessoas não saberem o que é uma política de segurança. Ou melhor, não saberem o que é um Processo Corporativo de Segurança da Informação. Entretanto, esclareço que a direção da organização não tem a obrigação de “magicamente” saber esses conceitos. Afinal, trabalham há anos de uma certa maneira e nunca (ou quase nunca) precisaram tratar do assunto segurança. Além do que, pensa-se que segurança é apenas tecnologia da informação. A área de segurança da informação ou o consultor contratado para esta tarefa tem a responsabilidade e a obrigação de apresentar para a direção da organização uma abordagem estruturada do assunto. Deve-se planejar o Processo Corporativo da Segurança da Informação.
Outro obstáculo bastante comum é o fato de as pessoas não aceitarem as novas responsabilidades que o Processo Corporativo de Segurança da Informação traz para a empresa. Além de ser gestor da área financeira, o diretor dessa área terá que ser o gestor da informação financeira. Não tem como escapar.
Outro obstáculo que, infelizmente, tenho visto no mercado é a falta de experiência de alguns profissionais de segurança da informação, mas que mesmo assim assumem a responsabilidade de desenvolver o Processo Corporativo de Segurança da Informação. O que acontece é um “samba do crioulo doido”. Muitos pedaços de segurança vão existir, mas longe de ser um processo estruturado.
O mais importante é a necessidade do comprometimento da direção da organização com o desejo de ter políticas e normas de segurança. Se a direção não se comprometer, o resultado para as políticas e normas será fraquíssimo.
Onde há mais resistência na aplicação dos controles? Na alta gestão ou entre os usuários? E qual estratégia para superá-la?
Simplificando: nas pessoas, tanto na alta gestão quanto nos usuários. É necessário realizar um trabalho junto a todas as pessoas. A alta gestão tem que entender que a qualidade da segurança vai depender de como essa segurança vai ser definida, sua rigidez. E os usuários precisam tomar conhecimento das regras que têm de cumprir. Na minha experiência, quando explicamos para os usuários os controles de segurança e o porquê destes controles, eles aceitam. Não quer dizer que eles concordem e achem maravilhoso, mas entendem profissionalmente. Precisamos trabalhar as pessoas. Afinal, ninguém gosta de ter limites de ação. Nem eu nem você, mas a segurança é uma proteção para a organização e precisa ser tratada profissionalmente.
De que forma envolver todos da empresa no que diz respeito às aplicações e implicações dos controles?
Só vejo uma saída: com a existência de um planejamento para o processo de segurança. Acredite que existem organizações que não possuem um planejamento para a segurança da informação para os próximos três anos. A propósito, leitor: a sua empresa, a empresa em que você trabalha tem um planejamento para a segurança da informação? Existe uma área de segurança da informação?
6. Dê exemplos de controles estabelecidos além das fronteiras de TI.
Treinamento dos usuários é um controle que está fora do ambiente técnico de TI. As pessoas precisam ser treinadas em proteção da informação. Em muitas situações de espionagem externa ou fraude por criminosos externos, o acesso à informação não acontece com a quebra de criptografia. Acontece utilizando a engenharia social, que é a forma do criminoso conseguir informação sem o uso da violência. Apenas com uma “boa conversa”. Outro aspecto além de TI é a existência de políticas e normas de segurança da informação. E para completar, lembro a questão da continuidade de negócio. Em situações de desastre no ambiente corporativo, não basta apenas recuperar o ambiente de TI. É necessário recuperar o ambiente de escritório, bem como a opção de trabalho remoto.
7. Alguma informação a mais que deseja acrescentar.
Sim. Gostaria de reforçar que toda organização precisa ter o seu Processo Corporativo de Segurança da Informação e deve considerar as Dimensões de Segurança (quadro abaixo):
PT 
EN 
