Princípios da Governança de Segurança da Informação

Diego Macêdo
24 de abril de 2020
Nenhum comentário

Nesta postagem, entenderemos alguns conceitos básicos, as diferenças entre governança e gestão dentro deste contexto e alguns frameworks e padrões de mercado que tratam a segurança da informação. As informações contidas nesta postagem estão aderentes com o Domínio 1 do CISM.

Governança e Gestão

Vamos iniciar pela Governança (Governance), o qual é composto pelos executivos de liderança senior (C-Level), por exemplo, os principais e mais comuns, mas existem outros tipos:

  • CEO (Chief Executive Officer) – É o cargo mais alto dos executivos no mundo corporativo, define a direção e estratégia da empresa. Normalmente recebe o título de “Presidente“.
  • CSO (Chief Security Officer) – É o diretor de segurança, No mundo ideal, ele se reportaria para o CEO, para garantir que haja menos empecilhos ou tratamento especial para o departamento de TI.
  • CIO (Chief Information Officer) – É o diretor de informações. É responsável por todos os dados e informações necessários para a operação da empresa, com a função de alinhar os objetivos da diretoria com a sua capacidade de consumir e aplicar tecnologia no crescimento e resolução de problemas de negócio. Além disso, cria políticas de uso de informações, planeja a operação e cria rotinas de análise de performance para identificar problemas e oportunidades.
  • CFO (Chief Financial Officer) – Responsável por controlar as finanças da empresa. Entre outras atribuições, monitorar o fluxo de caixa e o andamento do orçamento empresarial e do planejamento financeiro, bem como controlar metas e objetivos de forma viável.
  • COO (Chief Operating Officer) – É responsável pela operação diária da empresa, planejar, direcionar, repassar a estratégia para os funcionários, e constantemente avalia os objetivos e iniciativas da organização com base em suas operações. Normalmente, se reporta ao CEO.
  • CTO (Chief Technology Officer) – É o diretor de tecnologia. Pode acumular as funções de um CIO, mas geralmente está abaixo dele, preocupando-se em aplicar as estratégias traçadas. coordenar toda a operação técnica e manutenção do TI. Está focado em como criar e contratar tecnologia, como usar novas ferramentas para reduzir custos e aumentar a eficiência do sistema.

Eles são responsáveis por definir para onde a empresa deve seguir como objetivo. Monitoram o desempenho e a conformidade com estes objetivos e direção acordados.

Eles são os quais têm as ideias de forma mais macro, definem as prioridades e são responsáveis pelas decisões quanto ao risco, ou seja, o apetite de risco (agressivo – estão pegando as chances que surgem, neutro – ficam equilibrando as oportunidades, ou adverso – evitando conflitos e se arriscarem). Independente da estratégia usada, cada uma vem com um custo e diversos desafios e oportunidades.

A camada de Gestão (Management) é composta pelos gerentes e são informados para onde devem ir pelo C-Leval e devem descobrir por si os meios para atingir os objetivos da empresa e quais as medidas de segurança devem implementar, ou seja, são responsáveis por transformar as ideias em ações. Eles planejam, constroem, executam e monitoram as atividades alinhadas com a direção definida pela camada de governança para atingir os objetivos.

Quanto ao apetite de risco, esta camada de gestão tem que avaliar como vão fazer para a empresa trabalhar com o apetite de risco definido pela governança.

Quando as definições de segurança de TI são feitas “de baixo para cima” (Bottom-Up) é vista como um empecilho ou entrave e não um auxílio ou área de apoio, e geralmente esta mentalidade muda quando ocorre uma violação de segurança. Quando a liderança de TI entende a importância da segurança de TI, lidera e define a direção, podemos dizer que isto é uma gestão “de cima para baixo” (Top-Down).

Entender como a Governança de Segurança da Informação funciona é muito importante para o seu trabalho. Também é importante entender como as políticas (policies), padrões (standards), orientações (guidelines), procedimentos (procedures) e linhas de base ou referências (baselines ou benchmarks) trabalham em conjunto, o que cada um faz ou deixa de fazer.

  1. Políticas – São documentos obrigatórios, de alto nível e não são específicos. Elas podem conter palavras-chaves como patches, atualização, criptografia, mas não serão mais específicas que isso. Não vai ter detalhes sobre qual sistema operacional usar ou tipo de chave criptográfica. Estes documentos são definidos pelos C-Level;
  2. Padrões – Baseados nas políticas, são obrigatórios e onde os gestores se encaixam para as definições. Neles serão definidas as tecnologias específicas, mas ainda de uma forma quase de alto nível. Por exemplo: todas as estações de trabalho deverão ser Windows 10;
  3. Orientações – Não são obrigatórios. São recomendações discricionárias, os quais você pode escolher seguir ou não;
  4. Procedimentos – São documentos obrigatórios, bem específico quando aos elementos e o guia passo a passo. É aqui que você encontrará uma recomendação de usar criptografia AES-256 ou usar uma tecnologia qualquer com uma versão específica;
  5. Linhas de base ou referências – Não são obrigatórios. Podemos ter uma regra dizendo que um servidor precisa de certas configurações para ser mais seguro, e o administrador pode seguir por completo estas referências, parte dela ou nenhuma.

Manter uma padronização das tecnologias e definir bem estes documentos, ajudará a controlar e ter uma consistência em ambientes grandes.

Padrões de Governança e Frameworks

Existem diversos padrões e frameworks que podemos usar e aqui veremos alguns deles de forma superficial, pois teremos outras postagens sobre o tema de forma mais aprofundada. A ideia aqui é ter uma visão geral sobre cada um deles e poder conversar com outros profissionais.

  • COBIT (Control Objectives for Information and related Technology) – É um modelo corporativo de negócios e gestão para a governança e gerenciamento corporativo da TI. Focado nos objetivos para a TI, o que significa que as necessidades dos stakeholders são mapeadas para as metas relacionadas à TI.
  • COSO (Committee Of Sponsoring Organizations) – É uma iniciativa conjunta das cinco organizações do setor privado e é dedicada a fornecer liderança de pensamento por meio do desenvolvimento de frameworks e orientações sobre gerenciamento de riscos corporativos, controle interno e dissuasão de fraudes. Possui um modelo semelhante ao COBIT, mas que os objetivos são para toda a organização.
  • FRAP (Facilitated Risk Analysis Process) – Analisa um sistema, aplicação ou segmento de processo de negócios por vez. Uma equipe de indivíduos que inclui gerentes de negócios e grupos de suporte é convocada para debater possíveis ameaças, vulnerabilidades e impactos negativos para a integridade, confidencialidade e disponibilidade dos dados. Estes impactos são analisados nas operações de negócios e as ameaças e riscos são priorizados.
  • Família ISO 27000:
    • ISO 27001: especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI (Sistema de Gestão de Segurança da Informação), através de um PDCA (Plan, Do, Check, Act) no contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos à segurança da informação, adaptados às necessidades da organização.
    • ISO 27002: Originado dos documentos BS 7799, parte 1 e 2, os quais se tornaram ISO 17799 posteriormente. Depois de unidos, tornou-se o ISO 27002 e fornece diretrizes para padrões organizacionais de segurança da informação e práticas de gerenciamento da segurança da informação, incluindo a implementação de seleção e o gerenciamento dos controles, levando em consideração o ambiente de risco à segurança da informação da organização.
    • ISO 27004: Fornece diretrizes destinadas a ajudar as organizações a avaliar o desempenho da segurança da informação e a eficácia de um SGSI.
    • ISO 27005: Fornece diretrizes para o gerenciamento de riscos à segurança da informação.
    • ISO 27799: Fornece diretrizes para normas de segurança de informações organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controles levando em consideração os ambientes de riscos de segurança da informação da organização.
  • ITIL (Information Technology Infrastructure Library). IT Service Management (ITSM).
  • OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – É um framework de segurança para determinar o nível de risco e planejar as defesas contra ataques cibernéticos. Tem uma abordagem do tipo “Self Directed Risk Management“, ou seja, ela é auto-direcionada, o que significa que as pessoas de uma organização assumem a responsabilidade de definir a estratégia de segurança da organização.
  • PCI-DSS (Payment Card Industry Data Security Standard) – É um padrão o qual as empresas de cartão de crédito exigem quem deseja fazer negócios com eles.

Defesa em profundidade

Também chamada de “Defesa em Camadas”. A intenção é implementar múltiplos controles de segurança, tanto físicos quanto lógicos, e que se sobrepõem a fim de proteger os ativos. Por exemplo: para chegar a um servidor, você pode ter que passar por várias portas trancadas, seguranças e câmeras. Talvez o rack esteja trancado, o servidor tenha senha para acessar e a entrada USB esteja desabilitada. Para acessar os dados, talvez seja necessário burlar a segurança de firewalls, roteadores, switches, servidores e aplicações. Cada etapa, sozinha pode ser fácil de ser burlada, mas por ter vários controles de segurança, o desafio será maior. É importante ter em mente que nenhum controle de segurança sozinho conseguirá proteger um ativo. Ao implementar a defesa em profundidade, você aprimora a confidencialidade, a integridade e a disponibilidade da sua organização.

Valores

A maioria das grandes organizações e corporações tem um conjunto de valores, visões e missões. Muitas pequenas empresas também o fazem e, para a certificação CISM e, definitivamente, para o seu trabalho, é importante entender por que temos isso, como eles interagem e como isso impulsiona nossos planos de negócios e as políticas, os padrões e os procedimentos que implementamos.

E como você pode ver aqui nos gráficos, nossos valores estão no topo da pirâmide. É isso que é mais importante: nossa ética, o que acreditamos, os princípios a que aderimos e o que defendemos.

Depois temos que ter de forma bem clara e definida a visão do que a organização quer para o seu futuro. O que queremos ser? Qual é o objetivo da nossa organização ou do negócio que administramos? Quais são as nossas ambições?

Na terceira camada temos a missão, que indica qual é o objetivo da nossa organização ou do negócio que administramos. Quais é o propósito ou a motivação? Para quem fazemos isso?

Quando falamos dos objetivos estratégicos é onde fazemos os planos, estabelecemos as metas e sequenciamos as diferentes atividades que podem nos ajudar a cumprir nossa missão.

Finalmente, as ações e os KPIs, onde somos nós fazendo as coisas. O que precisamos fazer para cumprir os planos e as metas que temos? Como a segurança pode permitir que o negócio seja bem-sucedido? Está relacionado com as ações, recursos, resultados, proprietários e prazos. O que precisamos fazer e como sabemos quando o alcançamos?

Assim como todas as outras partes da organização, existem departamentos para apoiar a organização. Não funcionaríamos sem RH ou nosso departamento financeiro. A mesma coisa acontece com a Segurança de TI, o qual estamos lá para viabilizar os negócios de forma abrangente para toda a organização. Por que fazemos e o que estamos fazendo. Quando você entender isto, você poderá ser gerente de segurança, diretor, CISO, qualquer que seja sua posição, você poderá fazer planos e recomendações para a gerência sênior que suportam a missão, a visão e nossos valores.

Segurança dos Usuários

Os usuários constantemente ameaçam para a segurança, não porque são maliciosos ou tem a intenção de causar algum dano, mas porque não sabem o que estão fazendo ou fazem do jeito mais fácil de executar suas atividades e não sabem identificar os riscos de suas ações. Por isto, é importante treinar/conscientizar os usuários para garantir que entendam estes conceitos básicos de segurança, saibam identificar os riscos e mudem seu comportamento. Os treinamentos são muito bom para fornecer aos usuários um conjunto de habilidades, mas se eles ignorarem, não adiantará de nada.

Práticas de contratação – Para o ISACA (realidade em outros países onde a legislação permite esta ação) é uma boa prática realizar verificações de antecedentes onde verifica-se referências, graduações, emprego, antecedentes criminais, histórico de crédito (menos comum, mais caro). Sempre que um novos funcionários fazem parte do quadro da organização, devem assinar um NDA (Non-Disclosure Agreement).

Práticas de desligamento de funcionários – Queremos sempre orientar e treinar funcionários antes de tomar a decisão de demiti-los. Eles precisam receber avisos e serem alertados sobre as suas ações. Ao demitir funcionários, devemos fazer uma ação coordenada com o RH para interromper o acesso no momento certo.

Fornecedores, consultores e segurança do contratado – Quando usamos pessoas externas em nossos ambientes, precisamos garantir que eles sejam treinados sobre como lidar com nossos dados. Seus sistemas precisam ser suficientemente seguros para atender nossas políticas e padrões.

Offshoring e Terceirização de serviços – Ter alguém para fazer parte do seu trabalho (ex.: TI), pode reduzir o custo, mas uma análise de risco completa precisa e deve ser realizada antes de qualquer coisa. Offshoring também pode causar problemas, pois eles podem não cumprir os mesmos padrões de proteção de dados que a nossa organização.

Deixe um comentário

O seu endereço de e-mail não será publicado.