segurança em sistemas de informação abnt
TRANSCRIPT
-
UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
ESCOLA DE ADMINISTRAO
PROGRAMA DE PS-GRADUAO EM ADMINISTRAO
KARL HEINZ BENZ
ALINHAMENTO ESTRATGICO ENTRE AS POLTICAS DE SEGURANA DA INFORMAO E AS ESTRATGIAS E PRTICAS ADOTADAS NA TI: ESTUDOS
DE CASO EM INSTITUIES FINANCEIRAS
Porto Alegre
2008
-
KARL HEINZ BENZ
ALINHAMENTO ESTRATGICO ENTRE AS POLTICAS DE SEGURANA DA INFORMAO E AS ESTRATGIAS E PRTICAS ADOTADAS NA TI: ESTUDOS
DE CASO EM INSTITUIES FINANCEIRAS
Dissertao de Mestrado apresentada ao Programa de Ps-Graduao em Administrao da Universidade Federal do Rio Grande do Sul, como requisito parcial da obteno do ttulo de Mestre em Administrao.
Orientadora: Profa. Dra. ngela F. Brodbeck
Porto Alegre
2008
-
Dados Internacionais de Catalogao na Publicao (CIP)
Dados internacionais de catalogao na Publicao (CPI)
Ficha elaborada pela Biblioteca da Escola de Administrao UFRGS
minha esposa, Carmen, e ao meu filho, Pedro,
pelo grande apoio que me deram nos tantos momentos em que
as muitas dificuldades que enfrentei na execuo desta tarefa
quase me derrubaram.
Ao meu pai, Eberardo, pela sua infinita capacidade de luta,
que acabou me contagiando de alguma maneira.
minha me, Myriam, in memoriam. .
B479a Benz, Karl Heinz.
Alinhamento estratgico entre as polticas de segurana da informao e as estratgias e prticas adotadas na TI : estudos de caso em instituies financeiras / Karl Heinz Benz. 2008.
200 f. ; il.
Dissertao (mestrado) Universidade Federal do Rio Grande do Sul, Escola de Administrao, Programa de Ps-graduao em Administrao, 2008.
Orientadora: Profa. Dra. ngela Freitag Brodbeck.
1. Tecnologia da informao. 2. Sistemas de informao. 3. Segurana da informao Polticas. 4. Planejamento estratgico. 5. Alinhamento estratgico. I. Ttulo.
-
AGRADECIMENTOS
Deixo nesta pgina uma homenagem a todos aqueles que, de alguma forma,
contriburam no desenvolvimento da presente dissertao.
minha orientadora, Profa. Dra. ngela Freitag Brodbeck, pela orientao segura, e
pela pacincia.
Aos professores Dr. Antonio C. G. Maada, Dr. Eduardo R. Santos, Dr. Henrique
Freitas, Dr. Joo L. Becker, e Dr. Norberto Hoppen, pelos conhecimentos passados nas
disciplinas e pelas discusses, sempre presentes, e Profa. Dra. Denise Lindstrom Bandeira.
A todos os colegas da turma de Mestrado 2006, pelo companheirismo; aos colegas do
Doutorado com quem tive mais contato, especialmente a Maria Amlia e o Andr.
Aos colegas de servio, que de alguma forma me incentivaram e apoiaram: Aline,
Antonio, Frdi, Ionara, Marco, Marisa, Motta, e Simone.
Ao Lus Carlos Janssen, pelas tantas colaboraes.
s empresas onde realizei as entrevistas, e s pessoas entrevistadas, que no cito para
manter o sigilo solicitado.
-
RESUMO
A crescente importncia da TI nas organizaes torna crucial o alinhamento estratgico da poltica de segurana da informao, definida pelas organizaes em funo de normas locais e nacionais, regulamentos e melhores prticas, com as estratgias de TI especficas para segurana da informao, definidas no Planejamento Estratgico de Sistemas de Informao (projetos e prticas implementadas de Segurana da Informao). Caso contrrio, facilmente os resultados do planejamento de TI podero ser comprometidos por problemas de segurana. Assim, analisar o alinhamento da poltica de segurana com o planejamento de TI passa a ser muito importante para o bom desempenho da organizao.
O objetivo desta Dissertao de Mestrado foi identificar as principais caractersticas encontradas nos modelos de alinhamento estratgico entre as polticas de segurana da informao e as estratgias e prticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizaes da rea financeira com atuao no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratrios em trs instituies financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituio financeira pblica de fomento. Este ltimo utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa.
Ao final deste estudo gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criao de estrutura especfica de Segurana da Informao, posicionada hierarquicamente no mesmo nvel que a TI; Poltica de Segurana da Informao configurada em 3 (trs) nveis: estratgico, ttico e operacional; ameaa do impacto de uma quebra na segurana; conformidade com leis, regulamentaes especficas, padres relevantes, contratos e diretrizes estratgicas corporativas; aderncia a padres de TI, como COBIT e ITIL, e segurana da informao, como a norma ABNT ISO 17799:2005; efeitos da estratgia sobre a TI e segurana da informao; ferramentas de TI como ferramentas estratgicas; existncia de polticas de segurana especficas; controles e procedimentos de segurana incorporados aos sistemas; participao da segurana da informao no ciclo de vida dos sistemas; projetos de TI como ameaa; conscincia da segurana da informao por parte dos usurios internos; normas de relacionamento com usurios; critrios de aceitao de sistemas; controles e procedimentos de preveno, deteco e recuperao contra incidentes de segurana; confiabilidade, segurana e estabilidade da infra-estrutura) e inibidores (pouca importncia
-
para a Segurana da Informao, com seu posicionamento hierrquico subordinado TI; ausncia de Poltica de Segurana da Informao formalizada em 3 nveis; falta de conformidade; efeitos negativos no detectados de novas estratgias corporativas na TI e na segurana da informao; a segurana da informao no fazendo parte do ciclo de vida dos sistemas; ameaas no detectadas de projetos de TI segurana da informao; falta de conscincia do uso seguro dos sistemas por parte dos usurios internos; falta de conscincia do uso seguro dos sistemas por parte dos clientes).
Por fim, uma das principais implicaes prticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padro para a implantao de polticas de segurana da informao nas instituies financeiras com atuao no Rio Grande do Sul. Como principal contribuio acadmica pode-se dizer que esta dissertao vem somar-se a alguns poucos trabalhos acadmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratgico da segurana da informao.
Palavras-chave: alinhamento estratgico, segurana da informao, ISO 17799, tecnologia da informao.
-
ABSTRACT
The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems.
Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization.
The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul.
To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research.
At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors.
Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul.
The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information.
Key-words: strategic alignment, information security, ISO 17799, information technology.
-
LISTA DE FIGURAS
Figura 1 Do PESI tradicional para o PESI orientado segurana.........................................47 Figura 2 Modelo Preliminar para Estudo ..............................................................................59 Figura 3 Desenho de Pesquisa ...............................................................................................72 Figura 4 Software Analisador Lxico................................................................................ 81 Figura 5 Modelo Preliminar para Estudo Alinhamento estratgico da dimenso TI .......163 Figura 6 Modelo Preliminar para Estudo Alinhamento estratgico da dimenso Negcio..............................................................................................................................................1644 Figura 7 Modelo Preliminar para Estudo Nvel Estratgico...........................................1655 Figura 8 Modelo Preliminar para Estudo Nvel Ttico ..................................................1666 Figura 9 Modelo Preliminar para Estudo Nvel Operacional .........................................1677
-
LISTA DE QUADROS
Quadro 1 Fatores habilitadores mais citados.........................................................................57 Quadro 2 Dimenses, elementos e variveis preliminares de pesquisa ................................69 Quadro 3 Entrevistados de EC1.............................................................................................86 Quadro 4 Principais Polticas de Segurana de Informao de EC1.....................................91 Quadro 5 Entrevistados de EC2.............................................................................................96 Quadro 6 Principais Polticas de Segurana de Informao de EC2...................................101 Quadro 7 Entrevistados de EC3...........................................................................................106 Quadro 8 Principais Polticas de Segurana de Informao de EC3...................................110 Quadro 9 Principais Polticas de Segurana de Informao................................................122 Quadro 10 Bancos com websites com link para Segurana da Informao .........................126 Quadro 11 Comparao das Dimenses, Elementos e Variveis dos Casos 1 e 2 com as Variveis do Modelo Preliminar ............................................................................................132 Quadro 12 Principais Polticas de Segurana de Informao..............................................139 Quadro 13 Comparao das Dimenses, Elementos e Variveis do Caso 3 com as Variveis do Modelo Preliminar.............................................................................................................145 Quadro 14 Principais Polticas de Segurana de Informao..............................................147 Quadro 15 Comparao das Dimenses, Elementos e Variveis em Nvel Estratgico convergentes entre os 3 Casos ................................................................................................150 Quadro 16 Comparao das Dimenses, Elementos e Variveis em Nvel Ttico convergentes entre os 3 Casos ................................................................................................154 Quadro 17 Comparao das Dimenses, Elementos e Variveis em Nvel Operacional convergentes entre os 3 Casos ................................................................................................157 Quadro 18 Comparao das Dimenses, Elementos e Variveis de Infra-estrutura convergentes entre os 3 Casos ................................................................................................161
-
Quadro 19 Fatores Habilitadores e Inibidores da Promoo do Alinhamento Estratgico entre as Polticas de Segurana de Informao e as Estratgias e Prticas de TI...................168
-
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associao Brasileira de Normas Tcnicas AE Alinhamento estratgico
ATM Automated Teller Machine BACEN Banco Central do Brasil BIS Bank for International Settlements CCSC Commercial Computer Security Centre
CERT Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
COBIT Control Objectives for Information and related Technology CSI/FBI Computer Security Institute/Federal Bureau of Investigations CVM Comisso de Valores Mobilirios FEBRABAN Federao Brasileira de Bancos
FGV/EAESP Escola de Administrao de Empresas de So Paulo da Fundao Getlio Vargas
FISMA Federal Information Security Management Act IBM International Business Machines IEC International Electrotechnical Commission ISO International Standards Organization IT Information Technology (TI) ITIL Information Technology Infrastructure Library ITGI IT Governance Institute
NIST National Institute of Standards and Technology, U. S. Department of Commerce
OGC The United Kingdom's Office of Government Commerce PESI Planejamento Estratgico de Sistemas de Informao
-
PETI Planejamento Estratgico de TI TI Tecnologia da Informao TISS Troca de Informaes em Sade Suplementar UK DTI United Kingdom - Department of Trade Center
-
SUMRIO
1 INTRODUO ...................................................................................................................16 1.1 JUSTIFICATIVA ...........................................................................................................20 1.2 QUESTO DE PESQUISA ...........................................................................................22 1.3 OBJETIVOS...................................................................................................................22 1.4. ESTRUTURA DESTE DOCUMENTO........................................................................23
2 REFERENCIAL TERICO ..............................................................................................25 2.1 ALINHAMENTO ESTRATGICO ...............................................................................25
2.1.1 Definio .................................................................................................................26 2.1.2 Fatores Habilitadores e Inibidores...........................................................................29
2.2 TECNOLOGIA DA INFORMAO............................................................................32 2.2.1 Sistemas de Informao...........................................................................................33 2.2.2 Planejamento Estratgico de TI...............................................................................35 2.2.3 Governana de TI ....................................................................................................36
2.3 SEGURANA DA INFORMAO .............................................................................38 2.3.1 Breve histrico da segurana da informao...........................................................39 2.3.2 A Norma ABNT ISO 17799....................................................................................40 2.3.3 Crticas Norma ISO/IEC 17799 e s Polticas de Segurana................................42 2.3.4 Segurana e Sistemas de Informao ......................................................................46 2.3.5 Segurana da Informao e Governana .................................................................49 2.3.6 Fatores Habilitadores e Inibidores do Alinhamento Estratgico da Segurana.......53
2.4 MODELO PRELIMINAR PARA ESTUDO .................................................................58 2.4.1 Nvel Estratgico .....................................................................................................60 2.4.2 Nvel Ttico .............................................................................................................62 2.4.3 Nvel Operacional....................................................................................................64 2.4.4 Infra-Estrutura .........................................................................................................66 2.4.5 Dimenses, Elementos e Variveis de Pesquisa......................................................68
3 METODOLOGIA................................................................................................................70 3.1 TIPO DE PESQUISA.....................................................................................................70
-
3.2 DESENHO DE PESQUISA ...........................................................................................71 3.2.1 Etapa 1 - Explorao do tema..................................................................................73 3.2.2 Etapa 2 - Execuo dos estudos de caso..................................................................76 3.2.3 Etapa 3 - Anlise e concluses ................................................................................77
3.3 UNIDADE DE ANLISE..............................................................................................78 3.4 PROCEDIMENTOS DE COLETA DE DADOS ..........................................................78 3.5 PROCEDIMENTOS PARA A ANLISE DOS DADOS .............................................80 3.6 APRESENTAO DOS RESULTADOS.....................................................................82 3.7 CONSIDERAES SOBRE VALIDADE E CONFIABILIDADE DA PESQUISA ..83
3.7.1 Validade...................................................................................................................83 3.7.2 Validade externa ......................................................................................................84 3.7.3 Confiabilidade .........................................................................................................85
4 ESTUDOS DE CASO..........................................................................................................86 4.1 ESTUDO DE CASO 1 ...................................................................................................86
4.1.1 Contexto Organizacional .........................................................................................87 4.1.2 Segurana da Informao Nvel Estratgico ........................................................87 4.1.3 Segurana da Informao Nvel Ttico ................................................................90 4.1.4 Segurana da Informao Nvel Operacional.......................................................92 4.1.5 Segurana da Informao Infra-estrutura .............................................................95
4.2 ESTUDO DE CASO 2 ...................................................................................................96 4.2.1 Contexto Organizacional .........................................................................................96 4.2.2 Segurana da Informao Nvel Estratgico ........................................................98 4.2.3 Segurana da Informao Nvel Ttico ..............................................................100 4.2.4 Segurana da Informao Nvel Operacional.....................................................102 4.2.5 Segurana da Informao Infra-estrutura ...........................................................104
4.3 ESTUDO DE CASO 3 .................................................................................................106 4.3.1 Contexto Organizacional .......................................................................................106 4.3.2 Segurana da Informao Nvel Estratgico ......................................................107 4.3.3 Segurana da Informao Nvel Ttico ..............................................................110 4.3.4 Segurana da Informao Nvel Operacional.....................................................112 4.3.5 Segurana da Informao Infra-estrutura ...........................................................114
5 ANLISE DOS RESULTADOS......................................................................................115 5.1 CONVERGNCIA DOS RESULTADOS AGRUPADOS ENTRE OS CASOS 1 E 2............................................................................................................................................116
5.1.1 Convergncia das variveis no Nvel Estratgico .................................................117 5.1.2 Convergncia das variveis no Nvel Ttico .........................................................120 5.1.3 Convergncia das variveis no Nvel Operacional................................................124 5.1.4 Convergncia das variveis da Infra-estrutura ......................................................129
-
5.1.5 Convergncias gerais entre os elementos dos Casos 1 e 2 e da literatura .............131 5.2 ANLISE SINTTICA DOS PRINCIPAIS RESULTADOS DO CASO 3 ...............135
5.2.1 Variveis do Elemento Promotor de Alinhamento Nvel Estratgico................136 5.2.2 Variveis do Elemento Promotor de Alinhamento Nvel Ttico........................138 5.2.3 Variveis do Elemento Promotor de Alinhamento Nvel Operacional ..............141 5.2.4 Variveis do Elemento Promotor de Alinhamento Infra-estrutura.....................143 5.2.5 Convergncias Gerais entre os elementos do Caso 3 e da literatura .....................144
5.3 COMPARATIVO ENTRE OS ESTUDOS DE CASO................................................148 5.3.1 Nvel Estratgico ...................................................................................................149 5.3.2 Nvel Ttico ...........................................................................................................153 5.3.3 Nvel Operacional..................................................................................................156 5.3.4 Infra-estrutura ........................................................................................................160
5.4 CONTRAPOSIO DOS RESULTADOS COM O MODELO PRELIMINAR PARA ESTUDO ............................................................................................................................162 5.5 FATORES HABILITADORES E INIBIDORES ........................................................167
6 CONCLUSES..................................................................................................................173 6.1 LIMITAES DA PESQUISA ...................................................................................179 6.2 CONTRIBUIES DA PESQUISA ...........................................................................180 6.3 PESQUISAS FUTURAS..............................................................................................181
REFERNCIAS BIBLIOGRFICAS ...............................................................................182 APNDICE A REGULAMENTAES GOVERNAMENTAIS ................................188
Definio de Instituio Financeira................................................................................189 Marco Regulatrio da rea Financeira ..........................................................................190 Os Acordos da Basilia ...............................................................................................190 Iniciativas legais que afetam a segurana da informao...............................................191
APNDICE B RESOLUO BACEN 3.380 .................................................................194 APNDICE C - INSTRUMENTO DE PESQUISA ..........................................................198
-
16
1 INTRODUO
Os investimentos em TI no resultavam em agregao de valor, o que seria em parte
devido falta de alinhamento entre as estratgias de negcios e as estratgias de TI nas
organizaes, conforme afirmao feita em um artigo publicado por Henderson e
Venkatraman (1993). Muitos estudos se seguiram, com alguns autores complementando as
definies iniciais, e outros tecendo crticas aos conceitos ou forma tomada para algumas
das implementaes nas organizaes e os resultados efetivos obtidos. Brodbeck e Hoppen
(2003), em pesquisa na qual buscam estender o modelo inicial de Henderson e Venkatraman
(1993), observam que o foco do alinhamento estratgico entre o negcio e a TI deve se
concentrar na promoo de alinhamento contnuo para todo o horizonte de planejamento,
evidenciando a persistncia do processo no ciclo de vida da organizao.
Alinhamento estratgico um tema que no se restringe ao meio acadmico.
Documento conjunto do The IT Governance Institute (responsvel pelo COBIT padro de
auditoria) e do The Office of Government Commerce (responsvel pelo ITIL padro de
governana de TI) diz claramente que como a governana de TI tanto o conceito quanto a
prtica efetiva vem ganhando oportunidade e aceitao, as melhores prticas de TI sero
cada vez mais alinhadas ao negcio e aos requisitos da governana, ao invs de se
preocuparem apenas com requisitos tcnicos (ITGI, 2005).
Esta dissertao buscou abordar a questo do alinhamento estratgico entre as
polticas de segurana da informao e as estratgias e prticas adotadas pela TI,
visando que esta agregue maior valor ao negcio. O que se busca nesta dissertao,
restringindo a amplitude do tema, descobrir quais so os fatores habilitadores e
inibidores da promoo do alinhamento estratgico das polticas de segurana de
-
17
informao nos nveis estratgico, ttico e operacional, em instituies bancrias
com atuao no Rio Grande do Sul.
A questo do alinhamento estratgico entre as polticas de segurana da informao e
as estratgias e prticas adotadas na TI se torna relevante em funo dos grandes
investimentos que as organizaes fazem nesta rea, dos muitos riscos relacionados
segurana e da falta de sincronia entre administrao das organizaes e segurana da
informao. Neste sentido, esta idia pode ser assegurada pelo depoimento de Balbo (2007):
muito comum encontrar um cenrio onde as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo como conseqncia a falta de recursos para minimizar os riscos existentes ao nvel exigido pela estratgia organizacional e definido pela anlise de risco.
Assim, no difcil perceber o mesmo sintoma que Henderson e Venkatraman (1993)
detectaram em relao TI: os investimentos em segurana da informao por vezes no
resultam em agregao de valor.
Por outro lado, a norma brasileira da ABNT que versa sobre segurana da informao,
a NBR ISO 17799:2005, traduo literal da ISO/IEC 17799, em uma viso voltada para o
negcio, trata a informao como de seus mais importantes ativos ao conceitu-la como:
Informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. [...] A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infra-estruturas crticas (ABNT, 2005).
Esta necessidade da proteo da informao se prende ao fato de que a informao
representa a inteligncia competitiva dos negcios e reconhecida como ativo crtico para a
continuidade operacional e sade da empresa (SMOLA, 2003). Sendo assim, toda a
estratgia de segurana da informao deve buscar um alinhamento permanente aos objetivos
estratgicos definidos pela organizao. Com isto, possvel suportar e sustentar sua
-
18
estratgia competitiva, proteger seus ativos crticos, minimizar riscos, e controlar o ambiente
organizacional (OLIVA, 2003).
Por isso to importante para os negcios ficar atento aos fatores habilitadores e
inibidores de um alinhamento estratgico entre as polticas e estratgias de segurana das
informaes e as prticas adotadas efetivamente pela TI, to obrigatrias para determinadas
organizaes, como bancos, empresas de sade, etc. Dentre os principais fatores habilitadores
deste tipo de alinhamento, encontram-se o apoio e comprometimento da alta administrao
(PELTIER, 2002; ABNT, 2005; VON SOLMS, 2006; LESSA, 2006); a presena de
estruturas organizacionais especficas (ABNT, 2005; VON SOLMS, 2006); a poltica de
segurana da informao, objetivos e atividades que reflitam os objetivos do negcio (ABNT,
2005); a divulgao/conscientizao eficiente da segurana da informao para todos os
funcionrios (OLIVA, 2003; ABNT, 2005); o estabelecimento de um eficiente processo de
gesto de incidentes de segurana da informao (ABNT, 2005); e a conformidade com leis e
regulamentos (ABNT, 2005; VON SOLMS, 2006). Da mesma forma, estes mesmos estudos
apontam como principais fatores inibidores deste tipo de alinhamento a falta de apoio visvel
da diretoria (PELTIER, 2002); a divulgao ineficaz da segurana junto aos funcionrios e/ou
treinamento inadequado (PELTIER, 2002); e a falta de um programa de medio da eficcia
do controle (PELTIER, 2002).
Em decorrncia da sua importncia crescente, a segurana da informao est sendo
alvo de normatizao. A norma mundial mais relevante do setor a ISO/IEC 17799, que foi
traduzida pela ABNT (Associao Brasileira de Normas Tcnicas), tendo recebido a
denominao de ABNT NBR ISO/IEC 17799:2005 (ABNT, 2005). Tambm relevante a
extensa srie de documentos relativos segurana editados pelo NIST National Institute of
Standards and Technology, U. S. Department of Commerce, embasado no Federal
-
19
Information Security Management Act (FISMA), que determina a adoo de padres bsicos
de segurana para todos os sistemas do governo americano (FISMA, 2004). Padres
(frameworks) de governana, como COBIT - Control Objectives for Information and Related
Technology (ITGI, 2006) e ITIL - Information Technology Infrastructure Library (ITIL,
2006) - igualmente tm sesses que tratam especificamente da segurana da informao.
Por outro lado, crescentes regulamentaes governamentais, em nvel mundial, como a
lei americana Sarbanes-Oxley e o chamado Acordo da Basilia, vm exigindo que as
organizaes encarem a informao com mais seriedade, o que implica necessariamente uma
segurana da informao mais rigorosa e mais voltada para o negcio. No caso especfico do
setor financeiro brasileiro, objeto de estudo desta dissertao, existe uma regulamentao
governamental (Apndice A), que tende a seguir o modelo do Acordo da Basilia,
materializada principalmente em algumas resolues do BACEN (Banco Central do Brasil),
principalmente a Resoluo 2.554 (Controles Internos) e a Resoluo 3.380 (Risco
Operacional), que qualifica como um dos riscos operacionais a serem mitigados as falhas em
sistemas de tecnologia da informao (CARNEIRO ET AL., 2005).
-
20
1.1 JUSTIFICATIVA
Incidentes na rea de segurana da informao podem ter conseqncias catastrficas
nas organizaes, pois podem afetar a estratgia competitiva com a quebra de credibilidade,
vazamento de informaes estratgicas e possvel gerao de imagem negativa da organizao
no mercado (OLIVA, 2003). E isto vale especificamente na rea bancria no Brasil, conforme
cita Mrcio Cypriano, presidente da Febraban (Federao Brasileira de Bancos), que observa
que os investimentos em novas tecnologias e infra-estrutura chegaram a cerca de R$ 5,3
bilhes em 2006, dos quais um total de 8 a 10% foram investidos em novas ferramentas e
sistemas de segurana (COMPUTERWORLD, 2006).
Recente pesquisa realizada pela FGV/EAESP mostra que as empresas atribuem maior
importncia aos aspectos de privacidade e segurana, alinhamento estratgico, adequao
organizacional e tecnolgica, e relacionamento com clientes (ALBERTIN, 2005). Isto
tambm pode ser observado pelas consideraes da Sra. Zilta Marinho, diretora da empresa
Mdulo, quando afirma que na sociedade do conhecimento o principal patrimnio a
informao, e para o sucesso e a continuidade do negcio ela deve ser protegida.
(MDULO, 2005). Complementando, Smola (2003) explica que a informao precisa ser
protegida por diversos motivos: pelo seu valor, pelo impacto de sua ausncia, pelo impacto
resultante de seu uso por terceiros, pela importncia de sua existncia, pela relao de
dependncia com a sua atividade.
Por sua vez, a norma ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto da segurana da informao ressalta que a
informao importante ativo da organizao, e que a confidencialidade, integridade e
disponibilidade da informao podem ser essenciais para preservar a competitividade, o
-
21
faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao
no mercado. Alm disso, a dependncia cada vez maior da organizao em relao aos seus
sistemas de informao revela uma vulnerabilidade considervel (ABNT, 2005).
No entanto, a segurana da informao parece no ser assunto da alta administrao
das organizaes. Como ressaltavam Straub e Welk (1998),
A segurana da informao continua a ser ignorada pela alta administrao, gerentes intermedirios, e funcionrios em geral. O resultado desta negligncia que os sistemas organizacionais so muito menos seguros do que poderiam ser e as brechas de segurana so mais freqentes e causam mais danos do que o necessrio.
Praticamente uma dcada depois, a situao parece no ter mudado, pois
muito comum encontrar um cenrio onde as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo como conseqncia a falta de recursos para minimizar os riscos existentes ao nvel exigido pela estratgia organizacional e definido pela anlise de risco (BALBO, 2007).
No difcil perceber que o mesmo sintoma que Henderson e Venkatraman (1993)
detectaram em relao TI, de que os investimentos em segurana da informao por vezes
no resultavam em agregao de valor, possivelmente esteja se repetindo em relao
segurana da informao.
No entanto, os principais resultados da pesquisa (survey) realizada por Oliva (2003),
sobre a importncia da Poltica de Segurana da Informao de acordo com a norma ABNT
ISO 17799:2005 na estratgia competitiva, indicam que as empresas percebem que a poltica
de segurana da informao suporta a estratgia competitiva e que um incidente de segurana
pode causar impacto na competitividade da organizao no mercado.
-
22
Num setor da economia, como o bancrio, onde se verifica a presena de
regulamentao governamental (principalmente a Resoluo 3.380 do BACEN), a segurana
da informao assume um papel crtico na conduo do negcio.
1.2 QUESTO DE PESQUISA
Dada importncia e relevncia atual do tema e a necessidade de se encontrar
modelos que demonstrem ou expliquem o alinhamento estratgico entre as polticas de
segurana da informao e as estratgias e prticas adotadas na TI, assim como evidenciar os
fatores que podem inibir ou melhorar a promoo deste alinhamento, foi identificada a
seguinte questo de pesquisa:
Como est sendo realizado o alinhamento estratgico entre as polticas da
segurana da informao requeridas pelo negcio (normas e regulamentaes) e as
estratgias e prticas de segurana de informao adotadas pela TI?
1.3 OBJETIVOS
O objetivo principal desta pesquisa foi analisar as caractersticas da promoo do
alinhamento estratgico entre as polticas de segurana da informao e as estratgias e
prticas adotadas na TI para os nveis estratgico, ttico e operacional, bem como os fatores
habilitadores e inibidores deste alinhamento, em instituies financeiras com atuao no Rio
Grande do Sul.
-
23
No intuito de atingir o objetivo principal, so propostos os seguintes objetivos
especficos:
Identificar, na literatura, os principais fatores habilitadores e inibidores de
alinhamento estratgico entre as polticas de segurana de informao de negcios
e as estratgias e prticas implementadas pela TI para suportar tal necessidade;
Identificar as principais polticas, normas e resolues de segurana de informao
praticadas nas instituies financeiras pesquisadas com atuao no Rio Grande do
Sul; e
Listar os principais fatores habilitadores e inibidores atuantes nas instituies
financeiras pesquisadas.
1.4. ESTRUTURA DESTE DOCUMENTO
Este documento apresenta as seguintes sees: introduo, referencial terico,
metodologia, estudos de caso, anlise dos resultados e concluses.
O captulo 1 a introduo, que contm conceitos bsicos sobre o tema em estudo, sua
relevncia, a atualidade e a justificativa, os quais levaram s questes de pesquisa. No intuito
de responder estas questes, foram propostos o objetivo principal e 4 objetivos especficos.
O estudo ser desenvolvido a partir deste arcabouo, no qual se esboa uma viso
geral do trabalho. O presente captulo contextualiza o tema, define o problema de pesquisa e
os objetivos (principais e especficos) e apresenta a justificativa para a escolha do tema.
-
24
O Captulo 2 dedicado s referncias tericas, abordando trs grandes temas:
alinhamento estratgico (incluindo definio e modelos, e fatores habilitadores e inibidores),
tecnologia da informao (incluindo sistemas de informao, planejamento estratgico de TI,
e governana de TI), e segurana da informao (incluindo um breve histrico, a norma
ABNT ISO 17799:2005, crticas norma e s polticas de segurana, segurana e sistemas de
informao, segurana da informao e governana, e fatores habilitadores e inibidores do
alinhamento estratgico). O captulo prossegue com as regulamentaes governamentais (do
setor financeiro no Brasil) e termina por mostrar o Modelo Preliminar para Estudo e as
dimenses, elementos e variveis de pesquisa.
O Captulo 3 apresenta o mtodo utilizado nesta pesquisa explicitando o processo da
coleta de dados nos casos estudados, a forma de anlise dos dados e tece consideraes sobre
a validade e a confiabilidade da pesquisa.
O Captulo 4 apresenta os resultados da pesquisa realizada nos 3 Estudos de Caso,
considerando as dimenses, os elementos e as variveis de pesquisa.
O Captulo 5 mostra a anlise efetuada, que possibilitou o entendimento dos dados
coletados, e termina com a contraposio dos resultados com o Modelo Preliminar para
Estudo.
O Captulo 6 apresenta as concluses desta dissertao, apresentando as limitaes da
pesquisa, as contribuies e as pesquisas futuras.
-
25
2 REFERENCIAL TERICO
O presente captulo aborda trs grandes temas: Alinhamento Estratgico (incluindo
definio e modelos, e fatores habilitadores e inibidores), Tecnologia da Informao
(incluindo sistemas de informao, planejamento estratgico de TI, e governana de TI), e
Segurana da Informao (incluindo um breve histrico, a norma ISO/IEC 17799, crticas
norma e s polticas de segurana, segurana e sistemas de informao, segurana da
informao e governana, e fatores habilitadores e inibidores do alinhamento estratgico). A
seguir, o captulo aborda as definies especficas do setor financeiro no Brasil
(regulamentaes governamentais, definio de instituio financeira, marco regulatrio da
rea financeira, os Acordos da Basilia, e iniciativas legais que afetam a segurana da
informao).
2.1 ALINHAMENTO ESTRATGICO
O alinhamento estratgico (AE) diz respeito ao alinhamento dos recursos
organizacionais com as ameaas e as oportunidades do ambiente. As estratgias de negcio
devem refletir as decises que, alinhadas aos recursos corporativos, entre os quais se inclui a
TI, ajudam a ligar as organizaes com seu ambiente. Especificamente, em relao TI,
os modelos atuais focam o AE como um processo contnuo e constante durante a etapa da implementao do Planejamento Estratgico. [...] Eles buscam observar as melhores prticas de promoo do AE, o seu nvel de maturidade, as prticas habilitadoras/inibidoras e o grau de importncia da promoo do alinhamento para cada elemento (BRODBECK ET AL., 2003).
medida que a tecnologia da informao foi se tornando mais importante, comeou a
ser discutido seu verdadeiro papel em relao ao negcio das organizaes, pois a TI era vista
-
26
como algo distinto e separado do negcio, cumprindo algumas funes especficas, mas sem
vnculo com a estratgia organizacional.
2.1.1 Definio
No incio da dcada de 1990, Henderson e Venkatraman (1993) observaram que os
investimentos em TI no resultavam em agregao de valor, o que seria devido, em parte,
falta de alinhamento entre as estratgias de negcios e as estratgias de TI nas organizaes.
Segundo os autores, a estratgia envolveria a formulao (decises que dizem respeito
competitividade e s escolhas de produtos e mercados) e a implementao (escolhas relativas
estrutura e capacidades da organizao para executar e dar suporte s suas escolhas de
produtos e mercados).
O alinhamento estratgico, para Henderson e Venkatraman (1993), no um evento
isolado, mas um processo contnuo de adaptao e mudana, no qual as vantagens
competitivas desejadas so obtidas atravs da capacidade de uma organizao de explorar
continuadamente a sua funcionalidade de TI.
Em suma, o conceito de alinhamento estratgico, conforme Henderson e Venkatraman
(1993), pode ser visto como adequao estratgica e integrao funcional entre as estratgias
de negcio e as estratgias de TI. A adequao estratgica reconhece a necessidade de que
cada estratgia faa referncia aos domnios externo (ambiente de negcios, onde as firmas
competem e tomam decises relativas oferta de produtos aos mercados, aquisio ou
confeco prpria de determinado produto, parcerias, alianas) e interno (escolhas referentes
estrutura administrativa, organizao funcional, processos crticos e recursos humanos).
-
27
O modelo de Henderson e Venkatraman serviu como base para diversos autores.
Luftman, Lewis e Oldach (1993) defendem que o alinhamento estratgico reflete a viso de
que o sucesso dos negcios depende da harmonia entre quatro fatores: a estratgia de negcio,
a estratgia da TI, a infra-estrutura organizacional e de processos, e a infra-estrutura de TI e
de processos. Para os autores, a falta de sincronia entre negcios e TI criou muita tenso
dentro das organizaes, resultando em perda de retorno sobre o investimento em TI.
Alinhamento de curto e longo prazos so definidos por Reich e Benbasat (1996). O
alinhamento de curto prazo seria um processo no qual executivos de negcio e executivos de
TI comprometem-se uns com os outros e com os planos e objetivos de curto prazo (1-2 anos),
ao passo que o alinhamento de longo prazo seria um processo no qual executivos de negcios
e de TI compartilham uma viso de futuro (3-5 anos), na qual a tecnologia da informao
contribui para o sucesso do negcio.
Claudio Ciborra (1997) relata que em 1991 foi lanado o conceito de TI como um elo
varivel entre estratgia, organizao e cultura. Em 1993, no IBM Systems Journal,
Henderson e Venkatraman lanaram o conceito de alinhamento estratgico. A partir da,
segundo Ciborra, comeam a se estabelecer dificuldades conceituais: como avaliar se uma
empresa est alinhada, e como medir o alinhamento? Em 1995 a IBM cortou o financiamento
dos projetos relativos ao assunto, e em 1996 Broadbent, Weill, OBrien e Neo publicaram
artigo abordando a ligao entre a estratgia e a TI, sem referenciar o termo alinhamento
estratgico. Ciborra (1997) questiona o conceito de alinhamento estratgico nos negcios.
Diz que enquanto o alinhamento estratgico considerado como verdade absoluta e
incontestvel, no mundo real ele est longe de ser implementado. O autor chega a dizer que o
alinhamento estratgico como a ponte que um dia ligar a Siclia Itlia: vive sendo
reprojetada e no sai nunca do papel, alm de ser sujeita a diversos tipos de terremotos.
-
28
Entre as muitas crticas de Ciborra (1997) ao alinhamento estratgico, podem ser
citadas:
H diversas caractersticas na infra-estrutura de TI que impedem o seu
alinhamento estratgico;
Sugere que o alinhamento estratgico, da forma como proposto, uma aliana
estratgica entre humanos e no-humanos;
Alinhamento estratgico fala em fenmenos que ocorrem naturalmente, mas
mede construtos tericos e artificiais;
Apia-se num estilo de ensino, pesquisa e consultoria que envenena as prticas e
pensamento gerenciais com modelos simplificados que tm um ciclo de vida curto;
No considera o aspecto das pessoas: A existncia humana, cuidadosamente
desconsiderada nos modelos, espera-os (os adeptos do alinhamento estratgico) em
seus locais de trabalho;
Os detalhes conceituais permanecem no mundo das abstraes, com pouco
impacto nas organizaes.
Ciborra (1997) sugere um caminho alternativo: voltar s evidncias bsicas, e enxergar
o mundo como ele realmente . De qualquer maneira, a ponte que liga a Siclia Itlia
precisa ser construda, ou seja, a TI precisa estar alinhada estratgia das organizaes,
visando dar melhores condies para o crescimento do negcio e a vantagem competitiva.
-
29
O desalinhamento entre planejamento de TI e planejamento da organizao ocorre
quando estes dois planejamentos esto em direes diferentes, com baixa interao e
comunicao insuficiente entre eles. O alinhamento estratgico um processo evolucionrio e
dinmico, que requer forte apoio da alta gesto das organizaes, associado a boas relaes de
trabalho, liderana forte, priorizao adequada, confiana e efetiva comunicao, alm do
correto entendimento do ambiente de negcios (LUFTMAN, 2000).
O entendimento de alinhamento estratgico ampliado para alm do aspecto
conceitual, sendo tratado como uma ferramenta de monitoramento e gesto das estratgias e
objetivos da organizao. Devido rapidez das mudanas no ambiente de negcios, as
estratgias e objetivos podem passar por ajustes e reorientaes, o que ir levar a um processo
de alinhamento constante (BRODBECK, 2001).
O modelo original de Henderson e Venkatraman, de 1993, estendido por Brodbeck e
Hoppen (2003),
abrindo-o para a etapa de implementao do processo de planejamento e fornecendo elementos para a sua implementao. O foco do modelo passa a ser a promoo de alinhamento contnuo para todo o horizonte de planejamento, evidenciando a persistncia do processo no ciclo de vida da organizao. A dimenso alinhamento tratada independentemente da dimenso planejamento estratgico, evidenciando a sua importncia como processo nico e no mais isolado para a rea de negcios ou para a rea de TI. A viso passa a ser de gerenciamento das estratgias do negcio, tendo a tecnologia como um recurso obrigatrio para o sucesso dos negcios.
2.1.2 Fatores Habilitadores e Inibidores
Os fatores habilitadores so os que facilitam o alinhamento; os fatores inibidores so
os que dificultam o alinhamento estratgico entre negcio e TI. A ausncia de um certo fator
-
30
habilitador no implica, necessariamente, que este mesmo fator passe a funcionar como
inibidor, como deixado implcito por Luftman, Papp e Brier (1999).
Em pesquisa longitudinal com durao de cinco anos (1992 a 1997), Luftman, Papp e
Brier (1999) encontraram fatores organizacionais consistentes cuja presena ou forte ateno
exercia papel promotor, mas cuja ausncia ou fraca ateno exercia papel inibidor do
alinhamento estratgico da estratgia de TI com a estratgia empresarial. O estudo foi baseado
na falta de resultados consistentes nos estudos iniciais de alinhamento estratgico.
Os principais fatores habilitadores detectados no estudo foram:
Apoio da alta gesto aos assuntos de TI;
Envolvimento da TI no desenvolvimento da estratgia;
Compreenso do negcio por parte da TI;
Parceria entre TI e rea de negcios;
Projetos de TI corretamente priorizados;
TI demonstrando liderana.
O mesmo estudo de Luftman, Papp e Brier (1999) aponta os elementos inibidores do
alinhamento estratgico entre negcio e TI:
Falta de relacionamento estreito entre TI e rea de negcios;
TI mal priorizada;
-
31
Falha da TI em cumprir seus compromissos;
Falta de compreenso dos negcios por parte da TI;
Falta de suporte TI por parte dos altos executivos;
Lapso de liderana da gerncia de TI.
Duas etapas so consideradas por Brodbeck et al. (2003) para o alinhamento
estratgico (formulao e implementao); a etapa de formulao teria como elementos para
promoo do alinhamento: adequao estratgica entre os componentes de negcio e de TI;
integrao funcional atravs da representao do modelo de negcio nos sistemas de
informao integrados; e integrao informacional (consistncia entre os objetivos planejados
e as informaes dos sistemas de informao para suporte ao monitoramento dos mesmos
durante a sua execuo). Para a etapa de implementao, alm da presena dos trs elementos
anteriores, os autores adicionaram mais quatro elementos promotores de alinhamento:
metodologia de implementao (para dar impulso adequao contnua dos itens planejados
na etapa anterior); comprometimento das pessoas com a obteno das metas; sincronizao
dos recursos entre as aes de negcio e de TI; e instrumentao de gesto, pelo uso de
ferramental adequado, que permita a integrao funcional e informacional para o eficiente
monitoramento e ajuste contnuo dos processos, objetivos e metas planejadas.
Haveria ainda, neste mesmo modelo, dois elementos promotores: um contexto
organizacional que propicie uma cultura de gesto corporativa, postura decisria pr-ativa,
poltica de incentivos e representatividade do modelo de negcios nos sistemas de informao
integrados, e um modelo de planejamento estratgico com um maior grau de formalismo com
-
32
relao aos componentes do plano estratgico de negcio e planejamento estratgico de TI
(BRODBECK ET AL., 2003).
Os principais fatores habilitadores e inibidores do alinhamento estratgico entre a
estratgia de TI e a estratgia empresarial levantados na literatura so (PEREIRA, 2006):
Fatores habilitadores: apoio da alta gesto, participao, entendimento do
negcio, parceria, prioridade, liderana, comunicao clara, compartilhamento,
conexo, comprometimento, sincronizao, monitoramento, e postura pr-
ativa.
Fatores inibidores: relaes fracas, falta de Prioridade, falha no
comprometimento, falha de entendimento do negcio, falta de apoio da alta
gesto, fraca liderana, falta de participao, falta de conhecimento, falha na
implementao, inabilidade para mudanas, dificuldade na gesto, e
dificuldade de monitoramento.
2.2 TECNOLOGIA DA INFORMAO
A tecnologia da informao, componente vital na atual configurao competitiva e
produtiva das organizaes, tem assumido importncia crescente nas organizaes,
principalmente a partir do incio dos anos 80. At o fim dos anos 70, o processamento de
dados era usado como meio de reduzir os custos dos processos administrativos. De incio, o
uso dos computadores na operao dos negcios organizacionais visava eficincia, a
racionalizao do processo operacional e uma forma mais produtiva de explorar os recursos.
-
33
Rapidamente, a TI foi tendo seu uso disseminado nas organizaes, gerando benefcios em
termos de eficincia, eficcia e transformao. Para Laudon e Laudon (2004), a tecnologia da
informao a infra-estrutura que permite armazenar, buscar, recuperar, copiar, filtrar,
manipular, visualizar, transmitir e receber informao. Luftman, Lewis e Oldach (1993), j
abordando a questo sob o ponto de vista do alinhamento estratgico, consideram que a TI
proporciona valor estratgico para todas as partes do negcio e, embora ainda seja usada para
reduzir custos, seu atual foco alavancar produtos e servios de qualidade, melhorar servio e
operaes de clientes, integrar fornecedores e tornar possvel a aprendizagem organizacional.
Na viso dos autores, o uso estratgico da tecnologia da informao produz um impacto
poderoso no negcio e amplia o valor da informao (PEREIRA, 2006).
2.2.1 Sistemas de Informao
Os sistemas de informao, na opinio de OBrien (2001), so desenvolvidos para
suprir necessidades especficas de cada nvel de administrao (suporte de processos e
operaes, suporte na tomada de decises e suporte na implantao da estratgia competitiva).
H diversas classificaes de sistemas; conforme Perottoni et al. (2001), os tipos de sistemas
de informaes e seus relacionamentos so:
SIT (Sistema de Informao Transacional ou Sistema de Processamento de
Transaes): monitoram, coletam, armazenam, processam e distribuem os dados
das diversas transaes realizadas dentro da empresa, servindo como base para os
demais sistemas corporativos;
-
34
SIG (Sistema de Informao Gerencial): agrupa os dados disponibilizados no SIT
e coleta, valida, executa operaes, transforma, armazena e apresenta informaes
para o uso do planejamento e oramento, entre outras situaes gerenciais;
SAE (Sistema de Automao de Escritrio): foca no processamento das
informaes de escritrio, como processadores de textos, agendas eletrnicas,
editores de imagens e a possibilidade de gerenciamento de diversos tipos de
projetos, entre outros;
SAD (Sistema de Apoio Deciso): apia decises especficas sem substituir o
julgamento humano, fornecendo suporte a decises semi-estruturadas e no-
estruturadas;
DW e DM (Data Warehouse e Data Mining): Data Warehouse um grande banco
de dados contendo dados histricos resumidos em diversos nveis de detalhamento;
Data Mining realiza inmeras funes a partir do DW, como classificaes,
agrupamentos e estimativas;
SE (Sistemas Especialistas): tratam de situaes de deciso especficas (como, por
exemplo, o diagnstico mdico);
EIS (Sistemas de Informaes para Executivos): realizam a filtragem dos dados
mais relevantes para os executivos, a partir de bancos de dados do SIT, SIG e em
fontes internas e externas, reduzindo o tempo de obteno e gerando informaes
de real interesse, as quais permitam o acompanhamento e controle da organizao;
-
35
ERP (Sistema de Gesto Empresarial): administram partes importantes da
empresa, tais como o planejamento do produto, compras de componentes,
manuteno de estoques, interao com fornecedores, entre outros, fornecendo
assim, informaes importantes para os negcios on-line; englobam funes
encontradas no SIT, SIG e EIS; o ERP integra em seus mdulos todos os tipos de
informao;
CRM (Customer Relationship Management): tem foco no cliente, ou seja, visa
administrar as informaes sobre determinados clientes, fazendo com que a
organizao conhea seu comportamento e supere suas expectativas.
Ainda poderia ser acrescentado a esta classificao o SCM (Supply Chain
Management), que realiza o gerenciamento da cadeia produtiva, desde o fornecimento da
matria-prima at a rede de distribuio dos produtos.
2.2.2 Planejamento Estratgico de TI
A literatura costuma usar os termos TI (tecnologia da informao) e SI (sistemas de
informao); alguns autores consideram o termo tecnologia da informao mais amplo que
sistemas de informao; outros, pelo contrrio, consideram o termo sistemas de
informao mais abrangente. Nesta dissertao os dois termos so considerados como sendo
equivalentes; da mesma forma, so considerados equivalentes os termos PESI (Planejamento
Estratgico de Sistemas de Informao) e PETI (Planejamento Estratgico de TI).
O Planejamento Estratgico de Sistemas de Informao (PESI) pode ser definido
como o processo de identificao de um portflio computadorizado de aplicaes para dar
-
36
suporte ao plano de negcios da organizao e auxiliar na concretizao dos objetivos
organizacionais. O PESI exerce um papel fundamental ao ajudar a evitar oportunidades
perdidas, esforos duplicados, sistemas incompatveis e desperdcio de recursos (LEDERER
e SETHI, 1988).
2.2.3 Governana de TI
A governana de TI est diretamente relacionada com o objetivo de obter melhorias
no desempenho da tecnologia no mbito corporativo, envolvendo a adoo de uma srie de
guias para influenciar o comportamento empresarial e direcionar as atividades de TI
(STREIT ET AL., 2004 APUD MAADA ET AL., 2006). Visa responder demanda dos
acionistas por maior transparncia e atender as exigncias das novas legislaes; tambm traz
benefcios como excelncia operacional, efetivo alinhamento entre TI e negcios e reduo de
custos (HARDY, 2006; CERIONI, 2004 APUD MAADA ET AL., 2006).
Como framework de governana de TI podem ser citados o COBIT Control
Objectives for Information and Related Technology (ITGI, 2006) e o framework de boas
prticas de gesto de TI, o ITIL - Information Technology Infrastructure Library (OGC,
2007). Existe uma clara tendncia na literatura (BERNARDES e MOREIRA, 2005) e no
mercado (ITGI, 2005), no sentido de integrar estes framewoks, mais a ISO/IEC 17799 (no
Brasil, ABNT ISO 17799:2005).
-
37
2.2.3.1 COBIT
O COBIT um modo de implementar a governana de TI, desenvolvido pelo IT
Governance Institute ITGI (ITGI, 2003), criado em 1998 para definir padres no
direcionamento e controle da tecnologia da informao nas empresas. Uma governana de TI
eficaz ajuda a garantir que a tecnologia da informao apia efetivamente os objetivos de
negcio, otimiza o investimento de TI e gerencia as oportunidades e ameaas relacionadas a
TI.
Basicamente, o COBIT um framework que deve ser customizado para cada empresa,
devendo ser usado com outros recursos para personalizar as melhores prticas para o seu uso
especfico em cada empresa. O COBIT, na sua essncia, possui quatro grandes grupos de
gerenciamento e controle chamados domnios: PO - Planejamento e organizao (Plan and
organise); AI - Aquisio e implementao (Acquire and implement); DS - Entrega e
suporte (Deliver and support) e ME - Monitorao (Monitor and evaluate).
Para estes domnios, existem 34 objetivos de controle, que por sua vez possuem
checklists daquilo que mais importante considerar em cada um.
2.2.3.2 ITIL
O ITIL (IT Infrastructure Library) uma biblioteca composta pelas melhores prticas
para gerenciamento de servios de TI (ITIL, 2007). Criada pelo governo britnico em 1980,
comeou a tornar-se relevante no mercado no incio dos anos 90. A biblioteca ITIL
composta por diversos livros, sendo os principais: Entrega de Servios (Service Delivery),
-
38
Suporte a Servios (Service Support), Gerenciamento da Segurana (Security
Management), Gerenciamento da Infra-estrutura de TIC (ICT Infrastructure
Management), Perspectiva do Negcio (The Business Perspective), Gerenciamento das
Aplicaes (Application Management), Gerenciamento de Recursos de Software
(Software Asset Management).
O ITIL tem uma abordagem orientada a processos intimamente ligados, e integrados
entre si. Esses processos esto divididos em dois grandes grupos, a saber:
Gerenciamento de Servios Suporte; concentra-se na execuo do dia-a-dia e no
suporte a servios de TI; engloba: Service-Desk, Gerenciamento de Configuraes,
Gerenciamento de Incidentes, Gerenciamento de Problemas, Gerenciamento de
Mudanas, e Gerenciamento de Verses.
Gerenciamento de Servios Entrega; concentra-se no planejamento e melhoria
dos servios de TI; engloba: Gerenciamento de Nvel de Servios, Gerenciamento
de Capacidade, Gerenciamento Financeiro, Gerenciamento de Disponibilidade, e
Gerenciamento de Continuidade.
2.3 SEGURANA DA INFORMAO
A NBR ISO/IEC 17799 define informao como sendo um ativo que, como
qualquer outro ativo importante, essencial para os negcios de uma organizao e
conseqentemente necessita ser adequadamente protegida. A mesma norma define
segurana da informao como a proteo da informao de vrios tipos de ameaas para
-
39
garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre
os investimentos e as oportunidades de negcio (ABNT, 2005).
2.3.1 Breve histrico da segurana da informao
Nos primeiros tempos da computao as aplicaes eram basicamente militares, e os
problemas de segurana eram restritos ao acesso fsico (LANDWEHR, 2001).
Os primeiros problemas com segurana de computadores surgiram com a necessidade
do compartilhamento do processamento de informaes e recursos entre vrios tipos de
usurios, com nveis de confiana diferentes, o que levou ao desenvolvimento de sistemas
operacionais de tempo compartilhado (time-sharing). Estes sistemas operacionais deveriam
ser, idealmente, implementados de forma a garantir a segurana, mesmo considerando os
problemas gerados pelo compartilhamento de recursos (terminais de acesso, dispositivos de
armazenamento de dados com acesso aleatrio, impressoras e os programas e sistemas). A
partir desta nova realidade, o chamado problema clssico de segurana de computadores
pode ser apresentado da seguinte forma: Como fazer com que usurios autorizados possam
ter acesso a determinadas informaes, ao mesmo tempo em que os usurio no autorizados
no possam acess-las? (NIST, 1996),
Em 1967 foi criado, nos Estados Unidos, com a contribuio de rgos
governamentais como o Departamento de Defesa (DoD) e a Agncia Central de Inteligncia
(CIA), um documento intitulado Security Control for Computer System: Report of Defense
Science Boad, que representou o incio do processo oficial de criao de um conjunto de
regras para segurana de computadores (no se utilizava ainda a expresso segurana da
-
40
informao). Seguem-se outras iniciativas diversas, no somente nos Estados Unidos. Em
outra iniciativa destinada a resolver o problema clssico de segurana, o Departamento de
Defesa dos Estados Unidos formulou um plano que daria origem DoD Computer Security
Initiative, que acabou redundando na criao de um conjunto de regras a serem utilizadas no
processo de avaliao da segurana, conhecido informalmente como The Orange Book,
documento cuja verso final foi publicada apenas em 1985. A utilizao do Orange Book, que
estabelecia critrios para estipular nveis de segurana, facilitou a comparao de solues
fornecidas pela indstria, pelo mercado e pelo meio acadmico de uma forma geral. Embora o
padro hoje seja considerado obsoleto, teve grande importncia e deu origem a diversas
documentaes relativas segurana da informao (GONALVES, 2004).
2.3.2 A Norma ABNT ISO 17799
O padro mais aceito atualmente a norma ISO/IEC 17799 - Information Technology
- Security Techniques - Code Of Practice For Information Security Management. Esta ISO se
originou de um esforo do governo britnico, que em 1987, atravs do UK DTI
(Departamente of Trade Center) criou o CCSC (Comercial Computer Security Centre), cujo
objetivo era a criao de critrios para a avaliao da segurana e de um cdigo de segurana
para os usurios das informaes; sua primeira verso foi publicada em 1989, com o nome de
PD0003 - Cdigo de Gerenciamento de Segurana da Informao. Submetido a diversas
revises e atualizaes, o documento foi homologado pela ISO (International Organization
for Standardization) em 2000, assumindo a denominao de ISO/IEC 17799:2000
(GONALVES, 2004). A norma foi mais uma vez atualizada, tendo sido gerada a ISO/IEC
-
41
17799:2005. Em julho de 2007 ela foi renomeada para ISO/IEC 27002 - Information
Technology - Security Techniques - Code Of Practice For Information Security Management.
No Brasil, a ABNT (Associao Brasileira de Normas Tcnicas) houve por bem
traduzir a norma literalmente, gerando a NBR ISO/IEC 17799 Tecnologia da informao
Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao
(ABNT, 2005).
A literatura j havia consagrado como objetivo da segurana da informao a
preservao da confidencialidade, da integridade e da disponibilidade da informao; a norma
NBR ISO/IEC 17799 amplia um pouco este escopo, estabelecendo como objetivo a
preservao da confidencialidade, da integridade e da disponibilidade da informao;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade
(accountability), no-repdio e confiabilidade, podem tambm estar envolvidas (ABNT,
2005).
A verso anterior da norma NBR ISO/IEC 17799 (ABNT, 2001) definia:
Confidencialidade: garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;
Integridade: salvaguarda da exatido e completeza da informao e dos mtodos
de processamento;
Disponibilidade: garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que necessrio.
-
42
A autenticidade um pr-requisito para a confidencialidade, a integridade e a
disponibilidade. O no-repdio, tambm chamado de irrefutabilidade, ganha grande
importncia em transaes legais ou financeiras, com vistas a evitar fraude (LANDWEHR,
2001).
H controvrsias sobre a importncia relativa entre os itens acima. Embora a norma
ISO/IEC 17799 no estabelea uma hierarquia entre eles, Landwehr (2001) observa que,
dependendo da situao, por exemplo, uma aplicao de e-commerce, a disponibilidade e a
integridade so mais importantes do que a confidencialidade, que somente assumiria
relevncia no momento em que se efetivasse o pagamento via carto de crdito.
A norma ABNT NBR ISO/IEC 17799:2005 (ABNT, 2005) possui 133 controles com
39 objetivos de controle. composta por 11 sees: Poltica de segurana da informao;
Organizando a segurana da informao; Gesto de ativos; Segurana em recursos humanos;
Segurana fsica e do ambiente; Gerenciamento das operaes e comunicaes; Controle de
acessos; Aquisio, desenvolvimento e manuteno de sistemas de informao; Gesto de
incidentes de segurana da informao; Gesto de continuidade do negcio; e Conformidade
(com leis, regulamentos e disposies contratuais).
2.3.3 Crticas Norma ISO/IEC 17799 e s Polticas de Segurana
Apesar da grande aceitao internacional da ISO/IEC 17799, diversos autores tecem
crticas a essa norma. Por exemplo, Mikko Siponen (2006), ao criticar a ISO/IEC 17799 e
outros padres relevantes sobre segurana da informao, afirma que essas normas focam
-
43
apenas a existncia dos processos, no o seu contedo, o que no garante que os objetivos dos
processos sejam alcanados.
Questionando a eficcia das polticas de segurana em estudo exploratrio, Doherty e
Fullford (2005b) surpreenderam-se ao conclurem no haver relacionamento estatisticamente
significativo entre a adoo de polticas de segurana da informao e a incidncia ou
severidade de brechas de segurana. A pesquisa foi realizada no Reino Unido; foram obtidas
219 respostas vlidas, de 2.838 questionrios enviados pelo correio para empresas com mais
de 250 pessoas. A taxa de respostas foi baixa, de 7,7%. Surpreendentemente, as 5 hipteses
formuladas foram rejeitadas. As hipteses eram:
Existncia de uma poltica de segurana documentada (presumivelmente a
existncia de uma poltica de segurana formalizada favorece a diminuio dos
incidentes em termos de freqncia e severidade);
Antigidade da poltica de segurana (presumivelmente a antigidade da poltica
de segurana favorece a diminuio dos incidentes em termos de freqncia e
severidade);
Periodicidade de atualizao da poltica de segurana (presumivelmente a reviso
peridica da poltica de segurana favorece a diminuio dos incidentes em termos
de freqncia e severidade);
Escopo da poltica de segurana (presumivelmente o escopo mais amplo da
poltica de segurana favorece a diminuio dos incidentes em termos de
freqncia e severidade);
-
44
Adoo de boas prticas (presumivelmente a adoo de boas prticas de segurana
favorece a diminuio dos incidentes em termos de freqncia e severidade).
Os autores discutem cinco possveis causas para este resultado:
Dificuldades com a conscientizao; poltica de segurana no pode ser apenas
mais um documento formal, necessrio que haja conscincia da segurana entre
os funcionrios e a administrao, o que parece no estar ocorrendo de uma forma
geral;
Dificuldade de imposio; h dificuldade de fazer as pessoas lerem,
compreenderem e acatarem as polticas de segurana;
Padres muito complexos; o assunto complexo e multidisciplinar, e os padres e
polticas acabam refletindo esta complexidade;
Recursos inadequados de monitoramento; em muitos casos, os recursos
disponveis para monitoramento da poltica de segurana so insuficientes ou
inadequados;
Falha na adaptao organizao; os requisitos de segurana dependem do tipo de
informao que a organizao processa e da sua cultura organizacional. Em muitas
organizaes, os padres (inclusive as polticas de segurana) tendem a ser
impostas de maneira homognea, desrespeitando culturas locais.
Os autores prosseguem sugerindo que no h espao para complacncia na aplicao
da poltica de segurana, que deve permear por toda a organizao; as pessoas precisam ser
realmente conscientizadas da sua importncia. Alm disso, as organizaes deveriam ser mais
-
45
pr-ativas na avaliao da eficcia das suas polticas; quando da ocorrncia de falhas, as
polticas deveriam ser imediatamente revistas para determinar como estes incidentes poderiam
ser evitados no futuro.
A necessidade da implantao de uma conscincia da segurana da informao
referida por Kruger e Kearney (2006) com base no argumento de que a gesto efetiva da
segurana da informao requer uma combinao de controles tcnicos e de procedimentos; o
valor destes controles usualmente depende de sua implementao e uso corretos, ambos
realizados por pessoas. Assim, a implementao de controles de segurana efetivos depende
da criao de um ambiente positivo de segurana, onde todas as pessoas realmente
compreendam e adotem os comportamentos que delas so esperados.
Apesar destas crticas sobre vrios aspectos da norma ISO/IEC 17799, o problema
mais srio diz respeito sua implantao isolada, de forma no articulada com a governana
de TI. Balbo (2007) afirma que
muito comum encontrar um cenrio onde as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo como conseqncia a falta de recursos para minimizar os riscos existentes ao nvel exigido pela estratgia organizacional e definido pela anlise de risco. A responsabilidade pelo nvel correto de segurana da informao deve ser uma deciso estratgica de negcios, tendo como base um modelo de Governana da Segurana da Informao que contemple uma anlise de risco.
O foco na governana corporativa tambm passava a exigir conformidade com leis e
regulamentos; embora este item seja previsto explicitamente na ISO/IEC 17799, a sua
implementao prtica extremamente complexa e tem implicaes profundas no
desenvolvimento de sistemas (ABNT, 2005).
-
46
2.3.4 Segurana e Sistemas de Informao
Existem muitas situaes no resolvidas, relacionadas ao desenvolvimento de
sistemas, como as apontadas por Landwehr (2001):
Prticas de programao inseguras (a maior fonte de invaso relacionada a
estouros de buffer - programas que escrevem em regies da memria sem testar o
seu tamanho antes);
Decises de projeto inseguras, particularmente na camada de aplicao - os
sistemas tendem a incorporar mdulos bastante poderosos (como, por exemplo,
servio de e-mail), capazes de executar outros programas, sem um controle mais
rgido; assim, facilmente um usurio pode colocar, indevidamente, disposio do
mundo, de forma inocente ou no, contedo estratgico de uma empresa ou mesmo
software destrutivos;
Arquiteturas de sistemas complexas e difceis de gerenciar (os software so cada
vez mais difceis de configurar, o que exige trabalho especializado, e acaba
servindo como porta de entrada para invases e uso malicioso).
Os desenvolvedores no foram ainda capazes de gerar sistemas simples de
implementar, de baixo custo e de fcil utilizao por parte dos usurios. Pelo contrrio, os
sistemas apresentam tendncia de custos, complexidade e dificuldade de uso e de
configurao crescentes, e sem um correspondente aumento da segurana. Assim, a tentativa
de criar sistemas seguros a partir de mdulos inseguros acaba no obtendo sucesso
(LANDWEHR, 2001).
-
47
Um grande problema parece concentrar-se no desenvolvimento dos sistemas. Mesmo
se a infra-estrutura fornece nveis aceitveis ou eventualmente bons de confidencialidade,
integridade e disponibilidade aos dados, a manipulao que os sistemas fazem destes dados
parece no corresponder ao que a organizao espera da sua informao.
Corroborando esta preocupao com sistemas, Whitman (2004), a partir de pesquisa,
cita como as maiores ameaas segurana da informao, pela ordem: ataques deliberados a
software; falhas tcnicas ou erros de software; ato humano de falha ou erro; atos deliberados
de espionagem ou transgresso; atos deliberados de sabotagem ou vandalismo; falhas tcnicas
ou erros de hardware; atos deliberados de furto/roubo; foras da natureza; comprometimento
de propriedade intelectual; problemas de qualidade em provedores de servios; obsolescncia
tecnolgica; e atos deliberados de extorso de informaes.
Figura 1 Do PESI tradicional para o PESI orientado segurana (Adaptado de DOHERTY & FULFORD, 2005a)
-
48
Visando solucionar os diversos problemas de segurana levantados, Doherty e Fulford
(2005a) propem um modelo de planejamento estratgico de sistemas de informao
orientado segurana (Figura 1).
Segundo os autores, o modelo da Figura 1A representa a maneira tradicional de
formulao do PESI: a equipe que formula a estratgia da organizao rene-se, conduz a
anlise da situao e formulada e implementada uma estratgia. Tendo sido implementado o
novo plano estratgico, ele ser periodicamente revisado e modificado para assegurar sua
adequao s novas necessidades da organizao. No modelo proposto (Figura 1B), este
processo tradicional foi modificado para acomodar a poltica de segurana da informao:
aps a equipe de estratgia ter conduzido a anlise da situao e formulado uma estratgia,
seu impacto na poltica de segurana da informao dever ser revisto, e a poltica de
segurana modificada, se for o caso, com vistas a adquirir conformidade com a nova
estratgia.
De modo anlogo, uma vez operacional a nova estratgia, a mesma dever ser
revisada, avaliando seus impactos na poltica de segurana da informao. A fase de
Reviso/modificao da Poltica de Segurana da Informao (Figura 1B) considerada pelos
autores como a mais relevante no contexto. Esta atividade ter como objetivo avaliar as
implicaes da segurana na estratgia.
Este grupo avaliar individualmente de que forma cada projeto de TI documentado
no PESI poder ser utilizado (e abusado, ou seja, ser usado fora das especificaes para
tentar forar erros) quando estiver operacional, e de que forma cada um destes projetos poder
constituir uma ameaa organizao.
-
49
De posse desta lista de possveis ameaas, a poltica de segurana existente dever ser
criticamente avaliada, para verificar como ela trata cada uma destas ameaas, e alterada, se for
o caso (DOHERTY E FULFORD, 2005a).
2.3.5 Segurana da Informao e Governana
A Poltica de Segurana da Informao um documento (ou coleo de documentos)
que formaliza metas, objetivos, tica, direitos e responsabilidades. Possui carter crtico na
preveno, deteco e resposta a incidentes de segurana. Objetiva prover uma orientao e
apoio da direo para a segurana da informao de acordo com os requisitos de negcio e
com as leis e regulamentaes pertinentes (ABNT, 2005).
A estratgia de segurana da informao deve estar alinhada aos objetivos estratgicos
definidos pela organizao, uma vez que ela d suporte e sustentao estratgia competitiva,
protegendo os ativos crticos da informao, minimizando riscos operacionais, controlando o
ambiente organizacional e dando proteo vantagem competitiva. A proteo das
informaes do planejamento estratgico, o suporte estratgia competitiva e o controle dos
ativos e atividades que necessitem de informao so os aspectos organizacionais mais
importantes que a poltica de segurana deve proteger (OLIVA, 2003). Smola (2003) afirma
que as aes (relativas segurana da informao) precisam estar intimamente alinhadas s
diretrizes estratgicas da empresa e, para isso, necessrio ter uma viso corporativa, global e
ampla.
-
50
Von Solms (2006) considera que os aspectos mais importantes, relativos segurana
da informao, so: Sistemas de controle, Conformidade com padres relevantes, Gesto de
riscos, informao precisa, relevante e em tempo hbil, Controles internos, etc.
A governana da segurana da informao parte integrante da gesto corporativa, e
consiste em (VON SOLMS, 2006):
Gesto e compromisso de liderana do conselho administrativo (se houver) e alta
diretoria no sentido de uma boa segurana da informao;
Presena de estruturas organizacionais que forcem uma boa segurana da
informao;
Uso de conhecimento e comprometimento no sentido de uma boa segurana da
informao;
Todos os esforos necessrios, envolvendo polticas, procedimentos, processos,
tecnologias e mecanismos de conformidade (compliance).
Paralelamente importncia que a segurana da informao vem assumindo nas
organizaes, diversos autores tm colocado a necessidade de integrao de diversos modelos
que possuem as melhores prticas para a gesto de TI, e a governana de TI passa a
englobar esses modelos. Bernardes e Moreira (2005) destacam que, em funo da
dependncia cada vez maior das organizaes em relao TI, estas devem preocupar-se em
gerenciar melhor seu ambiente tecnolgico, mantendo a infra-estrutura segura e confivel. Os
autores citam modelos de melhores prticas para a governana da tecnologia da informao,
-
51
como COBIT e ITIL e apresentam um modelo cujo objetivo permitir o alinhamento das
questes de Segurana da Informao com o plano estratgico da organizao.
No que diz respeito segurana da informao, o ITIL define alguns documentos
(ITIL, 2007):
Polticas de segurana de informao, que devem partir dos responsveis da
organizao, e devem conter:
o Objetivos e mbito de segurana de informao para a organizao;
o Metas e princpios de gesto sobre a forma como a segurana de
informao deve ser gerida;
o Definio das funes, e responsabilidades, para a segurana de
informao;
Planos de segurana de informao descrevem como que as polticas devem ser
implementadas para um determinado sistema de informao e/ou unidade de
negcio;
Manuais de segurana de informao documentos operacionais para utilizao
diria com instrues operacionais detalhadas sobre a segurana de informao.
O processo de gesto de segurana (Security Management Process) do ITIL
descreve como a segurana da informao se enquadra na gesto da organizao.
-
52
O COBIT prev dois objetivos de controle especificamente para a segurana da
informao: DS4 - Assegurar a continuidade dos servios (Ensure continuous service) e
DS5 - Assegurar a segurana dos sistemas (Ensure systems security).
A linha de integrar diversos modelos que possuem as melhores prticas para a
gesto de TI seguida por documento do The IT Governance Institute (responsvel pelo
COBIT) e do The Office of Government Commerce (responsvel pelo ITIL) intitulado
Aligning COBIT, ITIL and ISO 17799 for Business Benefit (ITGI, 2005): Como a
governana de TI tanto o conceito quanto a prtica efetiva vem ganhando oportunidade e
aceitao, as melhores prticas de TI sero cada vez mais alinhadas ao negcio a aos
requisitos da governana, ao invs de se preocuparem apenas com requisitos tcnicos. A
governana de TI aponta para as seguintes reas principais:
Alinhamento estratgico, com foco no alinhamento com o negcio e solues
colaborativas;
Entrega de valor, concentrando-se na otimizao de custos e comprovando o valor
da TI;
Gesto do risco, focando a salvaguarda dos ativos de TI, recuperao de
desastres e continuidade de operaes;
Gesto de recursos, otimizao do conhecimento e da infra-estrutura de TI;
Medio da performance, rastreamento das entregas de projetos e monitoramento
dos servios da TI.
-
53
2.3.6 Fatores Habilitadores e Inibidores do Alinhamento Estratgico da Segurana
Os fatores que determinariam o sucesso da segurana da informao em uma
organizao, segundo a norma ABNT ISO 17799:2005 (ABNT, 2005), so:
Poltica de segurana da informao, objetivos e atividades que reflitam os
objetivos do negcio;
Uma abordagem e uma estrutura para a implementao, manuteno,
monitoramento e melhoria da segurana da informao que seja consistente com a
cultura organizacional;
Comprometimento e apoio visvel de todos os nveis gerenciais;
Um bom entendimento dos requisitos de segurana da informao, da
anlise/avaliao de riscos e da gesto de risco;
Divulgao eficiente da segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas para se alcanar a conscientizao;
Distribuio de diretrizes e normas sobre a poltica de segurana da informao
para todos os gerentes, funcionrios e outras partes envolvidas;
Proviso de recursos financeiros para as atividades de gesto da segurana da
informao;
Proviso de conscientizao, treinamento e educao adequados;
-
54
Estabelecimento de um eficiente processo de gesto de incidentes de segurana da
informao;
Implementao de um sistema de medio, que seja usado para avaliar o
desempenho da gesto da segurana da informao e obteno de sugestes para a
melhoria.
Conforme Von Solms (2006), fatores habilitadores do enfoque atual da segurana da
informao so uma nfase maior na governana corporativa e na conformidade com leis e
regulamentos. Segundo o autor, haveria um comprometimento forte com a preciso e
veracidade das informaes, por conta de regulamentaes cada vez mais exigentes. A
preveno de fraudes pela manipulao de sistemas de informao passa a ser um dos
objetivos principais. Grandes riscos so oferecidos pelas pessoas que utilizam os sistemas
(diretores, empregados, clientes). A engenharia social (tipo de ataque em que algum faz uso
de persuaso e convencimento, aproveitando-se da ingenuidade ou da confiana do usurio de
computador para obter informao indevida) tambm oferece riscos considerveis.
Atualmente so requeridos mais ferramentas de informao (report) formais e mecanismos
que permitam alta administrao uma viso precisa e compreensvel sobre quais riscos de TI
realmente existem e como estes riscos so administrados.
H diversos fatores relevantes para que a implantao da segurana da informao em
uma organizao obtenha bons resultados, como os citados por Oliva (2003), obtidos como
resultado de sua pesquisa:
A poltica de segurana regulamenta os quesitos de segurana na empresa;
A poltica de segurana pode ser exigncia da Governana Corporativa;
-
55
Na elaborao da Poltica de Segurana deve estar envolvida a alta administrao;
Devem ser determinados os pontos crticos a serem tratados na Poltica de
Segurana;
necessrio, antes de elaborar a poltica de segurana, realizar uma Anlise de
Risco;
A Anlise de Risco determina os ativos a serem protegidos, determina o impacto
financeiro, estima as ameaas e vulnerabilidades e prope as solues em ordem
de prioridade;
A Poltica de Segurana tem a estrutura de pirmide, tendo no alto as diretrizes,
seguidas das polticas especficas e dos procedimentos;
Para a implantao da Poltica necessria a assinatura de termo de
responsabilidade, treinamento especfico, campanhas de endomarketing;
A conscientizao dos colaboradores primordial para a implantao da Poltica
de Segurana;
A reviso da poltica de segurana deve ser realizada anualmente. As empresas que
realizam revises em menos tempo podem ter problemas de definio da Anlise
de Risco e das polticas especficas. Isso pode ocorrer quando as polticas tm
determinaes tcnicas e no visam ao negcio da empresa.
Por sua vez, Lessa (2006) cita como fatores habilitadores:
-
56
Apoio visvel da alta administrao;
Priorizao dos aspectos administrativos;
Poltica adequada de treinamento;
Estrutura do projeto organizada atravs de comits;
Iniciativas de mobilizao dos funcionrios;
Uso adequado da intranet para documentao e restrio de impresses;
Uso de e-learning como ferramenta de treinamento.
H mais um fator, que citado apenas por Lessa (2006): a liderana do projeto de
implantao da segurana da informao por um executivo que no pertena rea de TI.
Por fim, a Resoluo BACEN n 3.380, de 29/06/2006, que dispe sobre a
implementao de estrutura de Gerenciamento do Risco Operacional, de aplicao especfica
para as instituies financeiras brasileiras, pode ser considerada fator habilitador, por ser de
implementao obrigatria.
Resumidamente, os fatores habilitadores mais citados pelos autores esto listados no
Quadro 1 (sem considerar ordem de importncia nem a freqncia de citaes):
-
57
Quadro 1 Fatores habilitadores mais citados
Fator habilitador citado Autores
Apoio e comprometimento (visveis) da alta