You are on page 1of 52

Planejamento Estratgico da Segurana da Informao

Apoio:

Associaes representadas no Infosec Council:

Planejamento Estratgico da Segurana da Informao

O InfoSec Council
O InfoSec Council foi criado em 2005, idealizado como uma reunio de profissionais de alto nvel (C-level), cujas reas de atuao implicam no estmulo, criao, manuteno e evoluo de tcnicas e estratgias voltadas segurana da informao, aqui considerada em um espectro bem amplo. Neste aspecto, esto compreendidas as disciplinas de: Tecnologia da Informao; Segurana da Informao; Segurana Corporativa; Auditoria de Sistemas; Governana de Tecnologia da Informao; Compliance; Recursos Humanos (voltado segurana e auditoria). Ainda que estes profissionais exeram atividades em suas respectivas organizaes pblicas, privadas e associativas , sua participao se d em carter pessoal em funo de sua comprovada e reconhecida experincia neste exerccio. O objetivo do InfoSec Council atender s trs comunidades-alvo (usuria, provedora e acadmica) e contribuir e influenciar na evoluo dos aspectos regulatrios da tecnologia e da segurana da informao.

Os direitos autorais deste documento so do InfoSec Council e devem ser respeitados nos termos da Lei 9.610, de 19/02/1998, em especial quanto ao artigo 46. autorizada a reproduo do todo ou de suas partes para uso acadmico, devendo ser citada expressamente sua fonte. vedada a reproduo ou armazenamento deste documento para fins comerciais, exceto em caso de autorizao anterior, por escrito, do InfoSec Council. Nenhuma outra permisso ou direito so concedidos em relao a este documento.

Divulgao

security.advisor@live.com www.infoseccouncil.org.br

InfoSec Council

Profissionais membros do InfoSec Council


Astor Calasso Vice-Presidente / Consist Software Christiane Mecca Gerente de Segurana da Informao / Rhodia Dioniso Campos Gerente de Segurana Corporativa / Nextel e VP / ABSEG Djalma Andrade Gerente de Estratgias da Microsoft Edison Fontes Consultor e Professor de Segurana da Informao Fabiana Santos Analista de Marketing da Microsoft Giuliano Giova Economista, Perito de TI e Diretor do IBP Brasil Igor Pipolo Chairman da ABSEG Joo Rufino de Sales Chefe da Assessoria de TI do DEC-Exrcito Juliana Abrusio Advogada, especialista em Direito Eletrnico / Opice Blum Advogados Associados Marines Gomes Gerente de Segurana da Microsoft Mnica Orsolini Gerente de Infraestrutura da Promon Engenharia Renato Opice Blum Advogado, especialista em Direito Eletrnico / Opice Blum Advogados Associados Ricardo Castro Coordenador de Auditoria e Presidente da ISACA-SP Ricardo Franco Coelho Coordenador Segurana-DF / Banco Central e VP / ABSEG Valmir Schreiber CSO / Banco BNP Paribas e Past President da ISACA Captulo SP

Autores
Formada em anlise de sistemas, com mestrado em gerenciamento de sistemas de informao, gerente de infraestrutura da unidade de sistemas da Promon Engenharia, empresa onde atua desde 1987, tendo trabalhado em vrias reas de TI. Sua principal misso prover uma infraestrutura de TI segura e confivel para suportar os negcios da Promon.

Mnica Orsolini

Economista, gerente consultor da Consist Business Information Technology. Atua na rea de tecnologia da informao (TI) h mais de 35 anos, gerenciando e implantando solues de TI e de governana em empresas de grande porte, alm de atuar como consultor em reas corporativas estratgicas. Foi chief information officer (CIO) e chief security officer (CSO) da rea corporativa da Accor Brasil (Ticket Servios), acumulando as reas de telecomunicao, consultoria interna e shared services. membro da Comisso Organizadora do Congresso Nacional de Auditoria de Sistemas, Segurana e Governana de TI (CNASI) e membro fundador e vicepresidente do InfoSec Council (SP). Foi diretor da Information Systems Audit and Control Association (ISACA) em So Paulo nas gestes 2004 a 2006.

Astor Calasso

Coronel do Exrcito Brasileiro. Mestre em aplicaes militares, especialista em segurana da informao, armamento e guerra eletrnica, atualmente exerce a funo de chefe da assessoria especial de tecnologia da informao do Departamento de Engenharia e Construo do Exrcito Brasileiro. Foi membro do Comit Gestor da Segurana da Informao, do Comit Gestor de Chaves Pblicas Brasileira, chefe da Seo de Internet do Centro de Comunicao Social do Exrcito Brasileiro, onde foi responsvel pela implantao do Provedor

Joo Rufino de Sales

Planejamento Estratgico da Segurana da Informao

de Internet do Exrcito. Foi chefe do Grupo de Assessoramento Tcnico do Gabinete de Segurana Institucional da Presidncia da Repblica e chefe do 3 Centro de Telemtica de rea So Paulo. membro da Sociedade Brasileira de Engenharia de Rdio e TV e membro fundador do InfoSec Council.

Consultor, gestor e professor de segurana da informao, assunto ao qual se dedica desde 1989. Bacharel em informtica pela Universidade Federal de Pernambuco (UFPE), instituio na qual fez especializao em cincia da computao, ps-graduado em gesto empresarial pela Fundao Instituto de Administrao, da Universidade So Paulo (FIA/USP), e mestrando em tecnologia da informao pelo Centro Paula Souza, de So Paulo (SP). autor dos seguintes livros: Praticando a Segurana da Informao, Editora Brasport, 2008. Segurana da Informao: O Usurio faz a Diferena, Editora Saraiva, 2006. Vivendo a Segurana da Informao, Editora Sicurezza, 2000.

Edison Fontes

Gerente de segurana da informao da Rhodia. Analista de sistemas com mais de 20 anos de atuao em tecnologia da informao (TI), possui larga experincia em segurana da informao, e-commerce e redes. Graduada em anlise de sistemas, ps-graduada em marketing e MBA em engenharia da qualidade, atua tambm como auditora ISO 9001.

Christiane Mecca

Administrador de empresas, com 15 anos de experincia no mercado financeiro, com foco na gesto de segurana digital e combate fraude eletrnica. Foi CSO do Grupo Caixa Seguros e Business Security Officer do Citigroup. Atualmente, superintendente do Centro de Servios de Segurana Gerenciados na Produban, empresa de TI do Grupo Santander. Foi professor do curso de Gesto de Segurana da Informao da Universidade Euro-Americana, em Braslia (SF), e professor-convidado do Curso de MBA em TI da Fundace-USP, em Ribeiro Preto (SP). J escreveu artigos sobre segurana para a Gazeta Mercantil, KPMG Business Magazine, Microsoft Business Magazine, TI Inside, entre outras publicaes. tambm palestrante, tendo realizado apresentaes em 2009 no CERT-Forum, em So Paulo (SP), e no Security Summit 2009, organizado pela Revista The Economist, em Washington, DC (Estados Unidos).

Alvaro Tefilo

Profissional com mais de 25 anos nos segmentos de informtica e segurana da informao. Atualmente Chief Security Officer (CSO) do Banco BNP Paribas Brasil. Graduado em matemtica e ps-graduado em segurana da informao; possui certificado Certified Information Security Manager (CISM) pela Information System Audit and Control Association (ISACA); certificado em Information Technology Infrastructure Library (ITIL Foundation); representante da Associao Brasileira de Bancos Internacionais (ABBI) no Banco Central para o grupo de trabalho de segurana do Sistema de Pagamento Brasileiro (SPB); membro do InfoSec Council do Brasil; premiado em 2004, 2005, 2006 e 2007 entre os 50 mais influentes Security Officer pela revista IT Intelligence Magazine. Foi Presidente da ISACA captulo So Paulo nos anos de 2005, 2006 e 2007. Atua no mercado em palestras sobre gesto de riscos tecnolgicos, governana de TI e conscientizao da segurana da informao.

Valmir Schreiber

Consultor snior em governana corporativa e de TI, avaliao de riscos e projetos de compliance (GRC) h mais de 15 anos. Possui MBA em governana de TI pela Fundao IPT, certificado CGEIT (Certified in the Governance of Enterprise IT) pela ISACA, onde atua como diretor do captulo So Paulo desde

Andr Pitkowski

2003 e coordenador da ISACA-EUA para o Risk IT Framework. certificado OCTAVE pela Software Engineering Institute (SEI), da Carnegie Melon University (CMU), de Pittsburg (EUA). ainda auditor lder em ISO 31.000, framework de riscos corporativos. Atualmente, gerencia projetos para avaliao de riscos em ativos crticos, mapa de riscos de TI e projetos para governana de TI e compliance em empresas nacionais e internacionais, realiza palestras em mbito internacional e professor universitrio de ps-graduao e MBA.

Coordenador de auditoria interna no grupo Hamburg-Sd de Navegao e Logstica e presidente da Information Systems Audit and Control Association Captulo So Paulo (ISACA-SP). Profissional com mais de 11 anos de experincia nas reas de segurana da informao, gesto de riscos, auditoria e investigao de fraudes corporativas. Graduado em tecnologia e processamento de dados pela Universidade Presbiteriana Mackenzie e ps-graduado em anlise e projeto de sistemas. Foi o primeiro brasileiro a receber o Prmio ACFE Outstanding Achievement Awards, concedido pela Association of Certified Fraud Examiners norte-americana por suas contribuies no combate s fraudes corporativas. palestrante e professor em cursos de MBA e ps-graduao nas disciplinas de governana e gesto de riscos, auditoria, investigao e preveno de fraudes, introduo forense computacional e gesto por processos.

Ricardo Castro, CISA CFE

Advogado e economista; Coordenador do curso de MBA em Direito Eletrnico da Escola Paulista de Direito; Professor convidado do Curso Electronic Law da Florida Christian University, Fundao Getlio Vargas, PUC, FIAP, Rede de Ensino Luiz Flvio Gomes (LFG), Universidade Federal do Rio de Janeiro, FMU e outras; Professor palestrante/congressista da Universidade Mackenzie, FMU; Professor colaborador da parceria ITA-Stefanini; rbitro da FGV, da Cmara de Mediao e Arbitragem de So Paulo (FIESP); Presidente do Conselho Superior de Tecnologia da Informao da Federao do Comrcio/SP e do Comit de Direito da Tecnologia da AMCHAM; Membro da Comisso de Direito da Sociedade da Informao OAB/SP; Vice-Presidente do Comit sobre Crimes Eletrnicos OAB/SP; Coordenador e coautor do livro Manual de Direito Eletrnico e Internet; Scio do Opice Blum Advogados; Currculo Plataforma Lattes: http://lattes.cnpq.br/0816796365650938.

Renato Opice Blum

Scia da Opice Blum Advogados Associados, advogada atuante na rea de Direito Eletrnico. Mestre pela Universidade de Roma II, professora da Faculdade de Direito Mackenzie e da Ps-Graduao em Computao Forense desta mesma instituio. membro do Conselho de Comrcio Eletrnico da Federao de Comrcio (SP) e co-coordenadora da obra Manual de Direito Eletrnico e Internet, da Editora Lex.

Juliana Abrusio

Executivo e profissional de processamento de dados h mais de 30 anos. Economista, perito judicial em questes de tecnologia da informao (TI) e telemtica, diretor do Instituto Brasileiro de Peritos em Comrcio Eletrnico e Telemtica (IBP Brasil), instrutor e palestrante a respeito de percia em TI, som, imagem e crimes perpetrados por meios eletrnicos.

Giuliano Giova

Planejamento Estratgico da Segurana da Informao

Sumrio
Apresentao.................................................................................................................................................................10 Captulo 1 Sistema de gesto de segurana da informao........................................................................................11 Mnica Orsolini 1. Patrocinadores e comit.........................................................................................................................................11 1.1. Conceito-chave.......................................................................................................................................................11 1.2. Mecanismos de controle.....................................................................................................................................11 1.2.1. Mtricas. .................................................................................................................................................................11 1.2.2. Definio. ...............................................................................................................................................................12 1.2.3. Tipos de mtricas. ...............................................................................................................................................12 1.2.4. Coleta de resultados. .........................................................................................................................................13 1.2.5. Fatores-chave de sucesso................................................................................................................................13 Captulo 2 Participao do negcio no PESI.........................................................................................................................14 Astor Calasso 1. A responsabilidade dos gestores no PESI.........................................................................................................14 2. Quem paga pela segurana?................................................................................................................................15 3. Como fazer a segurana?.......................................................................................................................................15 4. Segurana interna ou outsourcing?....................................................................................................................15 5. Quem o comit do PESI?....................................................................................................................................16 6. Quais riscos e vulnerabilidades devem ser tratados?. ..................................................................................16 7. O papel da administrao e dos investidores.................................................................................................17 Captulo 3 Gesto de riscos...........................................................................................................................................................18 Joo Rufino de Sales Captulo 4 Aspectos tecnolgicos, humanos e financeiros........................................................................................... 20 Edison Fontes 1. Introduo. ................................................................................................................................................................... 20 2. Definies..................................................................................................................................................................... 20 2.1. Aspectos sociais...................................................................................................................................................... 20 2.2. Aspectos tcnicos. .................................................................................................................................................. 20 3. Planejamento da segurana da informao. ................................................................................................... 20 4. Aspectos sociais. ......................................................................................................................................................... 22 4.1. Regulamentos. ......................................................................................................................................................... 22 4.2. Cultura organizacional......................................................................................................................................... 22 4.3. Clima organizacional............................................................................................................................................ 22 4.4. Processo contnuo de treinamento.................................................................................................................23 4.5. Profissionalismo......................................................................................................................................................23

5. Aspectos tcnicos......................................................................................................................................................23 5.1. Atualizao da tecnologia..................................................................................................................................23 5.2. O fornecedor da soluo. ....................................................................................................................................23 5.3. Requisitos de segurana devem ser mantidos............................................................................................24 6. Aspectos financeiros. ................................................................................................................................................24 7. Concluso.....................................................................................................................................................................24 Captulo 5 Servios internos......................................................................................................................................................... 25 Christiane Mecca Captulo 6 Provedores externos..................................................................................................................................................26 lvaro Tefilo 1. Introduo...................................................................................................................................................................26 2. Gesto de parceiros de negcios........................................................................................................................26 3. Quem, quando e o que avaliar. ............................................................................................................................26 4. Avaliando e monitorando o risco........................................................................................................................27 5. Implantando o processo.........................................................................................................................................27 Captulo 7 Melhores prticas........................................................................................................................................................ 29 Valmir Schreiber e Andr Pitkowski 1. Introduo................................................................................................................................................................... 29 1.1. As dimenses........................................................................................................................................................... 29 1.2. Os mecanismos....................................................................................................................................................... 29 2. CobiT..............................................................................................................................................................................30 2.1. Um modelo unificado..........................................................................................................................................30 3. ITIL. ..................................................................................................................................................................................31 3.1. ITIL uma viso geral. ..........................................................................................................................................31 4. CobiT e ITIL agregando resultados.....................................................................................................................31 4.1. Combinando CobiT e ITIL para atingir os desafios dos negcios. .......................................................31 4.2. Combinao de modelos....................................................................................................................................32 5. COSO. .............................................................................................................................................................................32 6. CBK. .................................................................................................................................................................................33 7. Associaes..................................................................................................................................................................34 7.1. ISACA..........................................................................................................................................................................34 7.2. ISSA. .............................................................................................................................................................................34

Planejamento Estratgico da Segurana da Informao

Captulo 8 Gerenciamento de mudanas...............................................................................................................................35 Ricardo Castro 1. Mudanas como causas de incidentes..............................................................................................................35 2. Desafios na gesto de mudana..........................................................................................................................35 3. Gesto de mudanas segundo o CobiT........................................................................................................36 4. Mantendo os riscos sob controle........................................................................................................................37 5. Medindo a eficincia dos controles. ...................................................................................................................37 6. Pergunta para pensar. ..............................................................................................................................................38 Captulo 9 Aspectos jurdicos do PESI.....................................................................................................................................39 Renato Opice Blum e Juliana Abrusio 1. Introduo. ...................................................................................................................................................................39 2. A estratgia da organizao frente s normas de segurana...................................................................39 3. Conformidade com requisitos legais. .................................................................................................................39 4. Regulamento Interno de Segurana da Informao....................................................................................40 5. Termo de Uso da Segurana da Informao...................................................................................................40 6. Monitoramento de e-mails...................................................................................................................................40 7. Responsabilidades.....................................................................................................................................................41 8. Implementao..........................................................................................................................................................42 Captulo 10 Computao forense.................................................................................................................................................44 Giuliano Giova 1. O poder do fara. ......................................................................................................................................................44 2. Milhares de anos depois.........................................................................................................................................44 3. E hoje?...........................................................................................................................................................................45 4. Revisitando o velho conflito de interesses.......................................................................................................46 5. Computao forense................................................................................................................................................47 6. Princpio de Locard...................................................................................................................................................48 7. Heisenberg e a fsica quntica..............................................................................................................................48 8. Cadeia de custdia. ...................................................................................................................................................48 9. Quesitos........................................................................................................................................................................49 10. Exames tcnicos. ......................................................................................................................................................49 11. Laudo pericial........................................................................................................................................................... 50 12. Finalmente................................................................................................................................................................. 50

10

Apresentao
medida que a tecnologia representa cada vez mais um componente importante e preponderante dos negcios em muitos casos, parte integrante dos prprios produtos e servios oferecidos , no permitido que as organizaes descuidem do controle adequado e meticuloso de seus processos. Caso contrrio, elas tero perda expressiva de capacidade de operao nos seus mercados e da credibilidade de sua administrao. Durante diversos eventos, em que participamos como membros do InfoSec Council ou em decorrncia das nossas atividades profissionais, de forma recorrente somos confrontados com questionamentos referentes forma de criao, elaborao e estabelecimento de um Planejamento Estratgico de Segurana da Informao (PESI). As questes levantadas so multidisciplinares e frequentemente referem-se a: Metodologias empregadas; Cuidados considerados; Envolvimento da alta administrao; Formas de funding e custeio; Gesto de riscos e vulnerabilidade dos processos; Determinaes legais e regulatrias; Gerenciamento da execuo. Em face desta demanda, o InfoSec Council resolveu, em suas reunies peridicas, que deveria propiciar nossa comunidade um material para servir como guia e consulta para esta tarefa. Assim, seus membros foram alocados para compilar suas experincias, lies aprendidas e, por que no, dificuldades enfrentadas e at os erros cometidos. Este material foi consolidado neste documento, cuja finalidade fornecer informaes, sugestes e alertas sobre uma forma de atingir o objetivo maior: mobilizar todas as reas das organizaes em torno de um tema fundamental. Portanto, no nossa ambio estabelecer aqui um formato final e definitivo sobre a matria. Neste sentido, trata-se da soma das experincias vividas, ajustadas a uma pesquisa de melhores prticas, buscando traar recomendaes e direes a serem observadas na elaborao do PESI.

Este trabalho endereado gerncia executiva e aos profissionais responsveis pelos controles e pela informao, incluindo gestores de SI e de TI e aos profissionais de auditoria, apoiando-os na avaliao dos ambientes da informao. Particularmente, recomendamos tambm sua leitura ao board das organizaes.

A quem se destina este documento

O InfoSec Council deseja agradecer s Organizaes e Empresas em que os seus Membros atuam, pelo estmulo e motivao que proporcionam aos seus Executivos. O InfoSec Council tambm agradece Consist pelo apoio editorial na impresso deste paper. Agradecemos, tambm, ao inestimvel apoio de: Fabiana Santos Analista de Marketing da Microsoft Marcelo Melro LAM Solutions Consulting Manager / Siemens Enterprise Communications

Agradecimento

Planejamento Estratgico da Segurana da Informao

11

Captulo 1

Sistema de gesto de segurana da informao


Mnica Orsolini 1. Patrocinadores e comit A escolha dos patrocinadores fundamental para o sucesso da implantao de um Sistema de Gesto de Segurana de Informao (SGSI) em uma organizao. por meio deles que se obtm o respaldo para a implantao do SGSI, tornando vivel a tomada de aes decorrentes da aplicao do sistema. Geralmente, so escolhidos como patrocinadores profissionais da alta direo da organizao, alm de outras pessoas-chave da rea do negcio. Estas pessoas devem formar um comit, comumente chamado de Grupo Gestor de Segurana da Informao (GGSI), que tem como meta a manuteno do SGSI na organizao. Entre as atribuies deste grupo, est a criao da Poltica de Segurana da Informao, bem como os procedimentos que decorrem dela e a aplicao de eventuais sanes, que devem ser aplicadas de forma imparcial a qualquer colaborador que infrinja a poltica estabelecida, no importando seu grau hierrquico. Para que esta premissa possa ser cumprida, entretanto, necessrio que o GGSI tenha influncia suficiente para sensibilizar os colaboradores dos riscos envolvidos no no-cumprimento da poltica. Porm, vale destacar que a segurana da informao uma questo cultural, de aprendizado e de proces. sos. Por isso, as sanes devem ser aplicadas medida que o sistema torna-se consistente, de conhecimento de todos, e a partir do momento em que a curva de aprendizado se mostrar favorvel. Este um processo lento e que exige muita dedicao do GGSI. 1.1. Conceito-chave Sanes: regras tm de ser cumpridas e, a cada no-cumprimento, uma sano pode ser aplicada. Todas as regras devem ter os riscos associados ao seu no-cumprimento muito bem documentados, bem como tm necessidade de deixar claras as sanses possveis de aplicao. Perguntas para pensar: Voc escolheu um patrocinador que poder dar respaldo adequado ao projeto? Seu patrocinador apoiar as sanes contra qualquer membro, caso ele mesmo cometa alguma irregularidade? O patrocinador um dos maiores interessados no sucesso do projeto? 1.2. Mecanismos de controle No se gerencia o que no se mede, no se mede o que no se define, no se define o que no se entende, no h sucesso no que no se gerencia (William Edwards Deming). 1.2.1. Mtricas Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsvel pela misso a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vrios ambientes organizacionais. Dependendo do nmero de pessoas, processos e tecnologias envolvidas, esta atividade pode se tornar rdua, devido quantidade e diversidade de elementos a serem monitorados. Surge, ento, a necessidade iminente de responder algumas questes: Como podemos saber se o nvel atual de segurana est no patamar requerido para o nosso negcio? Como medir o nvel de eficcia dos controles atuais frente aos riscos identificados? Uma boa estrutura de mtricas permite avaliar a efetividade de um SGSI. Mas, para se chegar a este nvel, . a organizao precisa desenvolver um plano de mtricas, que deve incluir a forma de coleta, o repositrio, os

12

procedimentos para reteno e a forma de avaliao, entre outras. O primeiro passo compreender quais so os objetivos a serem atingidos e, a partir disto, desenvolver mtricas que satisfaam estes objetivos. Medir a eficcia de um SGSI est longe de ser uma tarefa fcil. Para tanto, estratgias devem ser elaboradas . para monitor-la, resultando em informaes que faam sentido e auxiliam os tomadores de deciso. Em muitos casos, a falta de tempo, conhecimento e a adoo de uma estratgia inadequada para a criao de mtricas podem prejudicar o SGSI. Por outro lado, como o SGSI muito dinmico. Mtricas bem definidas ajudam a visualizar a situao atual, . bem como auxiliam a realizao de simulaes e o desenvolvimento das melhorias necessrias. preciso manter o SGSI vivo e em constante evoluo. 1.2.2. Definio Mtricas em um SGSI so medidas estipuladas com base em metas a serem atingidas, as quais so comparadas aos resultados obtidos durante a sua operao de um SGSI. Contudo, isto no invalida a importncia de comparar os resultados alcanados anteriormente, pois, desta forma, possvel vislumbrar tendncias e avaliar o amadurecimento de seu SGSI. Esta anlise de tendncia ajudar a organizao a se precaver e tomar medidas preventivas para a correo de determinados desvios. Um mtodo bastante importante no SGSI o Benchmarking. Ele usado para se comparar o desempenho de algum processo a outro similar, de outra organizao, que esteja sendo executado de maneira mais eficaz e eficiente. 1.2.3. Tipos de mtricas Mediante uma diversidade de mtricas, devemos escolher as mais adequadas a cada caso. Algumas podem ser utilizadas (mas no se limita a estas) para medir eficcia, eficincia, tempo, produtividade, qualidade, performance e confiabilidade do SGSI. Como exemplo de acompanhamento das mtricas, podemos citar: Benchmarking de pesquisas de sobre segurana da informao; Resultados de pesquisas internas de avaliao do SGSI; Gesto de incidentes de segurana. Independente da diversidade dos tipos de mtricas existentes, a organizao deve selecionar aquelas que lhe forneam informaes relevantes de seu SGSI, conforme citado anteriormente. A seguir, apresentamos uma tabela com as informaes mnimas, porm, necessrias, para se criar um plano de mtricas. Tabela 1 Passo a passo para o estabelecimento de mtricas.
Mtrica Escopo da mtrica Propsito e objetivo Mtodo de medio Frequncia da medio Origem dos dados e procedimento de coleta Indicadores Data da medio e responsvel Nvel da efetividade alcanada Causas do no-cumprimento Este campo deve conter o nome da mtrica e a descrio da escala que ser usada. Este campo descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS e quais partes do processo ou controles. Este campo deve definir o propsito da mtrica, quais as metas e objetivos devem ser atingidos Este campo deve descrever como a medio ser realizada, por exemplo, usando clculo, frmula ou porcentagens. Este campo deve descrever a periodicidade da medio. Por exemplo: mensal, semanal, dirio etc. Este campo deve definir de onde os dados sero coletados e quais mtodos so usados para a coleta. Este campo deve conter os indicadores usados para otimizar a mtrica e definir o seu propsito e como eles so entendidos e podem ser aplicados. Este campo deve descrever a data da medio e a pessoa responsvel por esta ao. Este campo deve conter o resultado e a data da medio Este campo deve conter as causas do no-cumprimento dos objetivos, indicadores etc.

Fonte: Measuring the effectiveness of your ISMS.

Planejamento Estratgico da Segurana da Informao

13

1.2.4. Coleta de resultados A atividade de medir demanda recursos e, obviamente, tempo para a coleta e anlise dos resultados. Por esta razo, as mtricas devem fazer sentido e ser coerentes, alm de alinhadas aos objetivos a serem alcanados. Como nem todos os resultados podem ser coletados automaticamente, importante determinar a melhor forma de faz-lo, principalmente quando o envolvimento de outras reas se faz necessrio e a coleta tem de ser realizada manualmente. Alguns processos eventualmente so executados e os registros coletados e armazenados em outra localidade. Independente disto, o resultado deve ser coletado e consolidado em um nico repositrio. 1.2.5. Fatores-chave de sucesso Destacamos alguns fatores que devem ser gerenciados adequadamente para que a organizao consiga desenvolver mtricas adequadas e que ajudem a monitorar de forma mais assertiva o seu SGSI. Conhecer o objetivo a ser alcanado; Conhecer as metas a serem alcanadas; Coletar os resultados em tempo hbil; Apresentar resultados vlidos e confiveis; Criar mtricas que permitam monitorar o SGSI; Desenvolver metas desafiadoras. de fundamental importncia que os fatores-chave de sucesso sejam identificados e documentados para que a organizao consiga administr-los. Por fim, notria a importncia do estabelecimento de mtricas, para que seja possvel vislumbrar a efetividade de qualquer SGSI. Sem elas, o gerenciamento passa a ser realizado de forma pontual, com muitas aes sem foco e, em alguns casos, sem critrios definidos. A gesto que utiliza um sistema de mtricas permite no apenas uma visualizao rpida da situao atual, mas, tambm, contribui para uma tomada de deciso mais assertiva. Bibliografia HUMPHREY, Ted, PLATE, Angelika. Measuring the effectiveness of your ISMS implementations based on ISO/ IEC 27001. London: BSI Standards, 2006. NIST SPECIAL PUBLICATION. Security Metrics Guide for Information Technology Systems. 800-55, July 2003. PAYNE, Shirley. A Guide to Security Metrics. SANS Security Essentials GSEC Practical Assignment, Version 1.2e, July 2004.

14

Captulo 2
Astor Calasso

Participao do negcio no PESI1

Quem conhece os outros inteligente. Quem conhece a si mesmo, iluminado. (Tao Te King Lao Tzu) Predio algo muito difcil. Especialmente sobre o futuro. (Niels Bohr, Nobel de Fsica-1922) Ns somos o que repetidamente fazemos. Excelncia no um ato, mas um hbito. (Aristteles) A premissa fundamental da gesto de riscos corporativos que cada organizao existe para proporcionar VALOR aos seus investidores. Todas as organizaes enfrentam incertezas, e o desafio para os seus gestores determinar o quanto de incerteza deve ser aceita, uma vez que dificultam o crescimento de valor aos investidores. A incerteza apresenta tanto riscos quanto oportunidades, com potencial para destruir ou aumentar o valor. A gesto dos riscos propicia aos gestores lidar efetivamente com a incerteza e os riscos e oportunidades associados, reforando a capacidade de criar valor. O valor maximizado quando os gestores estabelecem a estratgia e os objetivos para atingir o equilbrio ideal entre as metas de crescimento / retorno e os riscos a elas relacionados, empregando os recursos de forma eficiente e eficaz para a consecuo dos objetivos da Organizao (COSO Committee of Sponsoring Organizations of the Treadway Commission). A citao acima d incio ao Sumrio Executivo do Enterprise Risk Management Integrated Framework, editado e distribudo pelo COSO. Estas afirmaes exprimem, em suas essncias, o papel fundamental e indelegvel da diretoria e dos gestores de todas as organizaes. Deve-se notar que nenhuma designao feita a funes especficas, referindo-se aos gestores de forma generalizada. 1. A responsabilidade dos gestores no PESI De fato, esta responsabilidade repousa por inteira sobre os ombros do board gestor. Ainda que a execuo de determinadas aes sejam atividades delegadas a uma rea especializada (por exemplo, ao CSO Chief Security Officer), o estabelecimento de seus objetivos e limites responsabilidade de todos os gestores. rea delegada cabe o papel de implantar tecnicamente, observando a execuo e a realizao da estratgia (fazer-fazer) e, com a autoridade associada responsabilidade que recebeu, atuar para seu correto direcionamento e efetividade. E isto fundamental: a rea delegada tem a responsabilidade e, na mesma medida, autoridade recebida do board sobre os eixos estratgicos a ela atribudos. Entretanto, como reza a boa prtica na delegao de poderes, todas as tarefas podem ser delegadas, mas nenhuma tarefa pode ser delegada por inteiro; a poro que fica com quem delega constitui o ponto de controle. o negcio quem tem as medidas exatas dos riscos a que esto expostos e, da mesma forma, quais incertezas, na sua justa medida, devem ser prevenidas (ou aproveitadas) para a gerao de melhores negcios e o atendimento diferenciado de seus mercados. Nem mais, nem menos. Outra vantagem expressiva deste envolvimento que, ao entender a exata aplicao das medidas, os gestores do negcio podero tambm apresentar ao seu mercado esta segurana como um benefcio adicional agregado aos seus produtos e servios.
1

Plano Estratgico de Segurana da Informao.

Planejamento Estratgico da Segurana da Informao

15

2. Quem paga pela segurana? Atualmente, inaceitvel a situao muitas vezes encontrada, em que, de um lado, a gesto de riscos deve cobrir vulnerabilidades de tecnologia da informao (TI) ou de processos e, ao mesmo tempo, no consegue recursos para implantar seus projetos. Ora, se fundamental que o negcio estabelea a organizao e o comportamento frente aos riscos, ele quem deve prover seus recursos e, a partir da, cobrar pelo seu correto emprego. E isso, sem qualquer dvida, parte integrante do custo do negcio. A ideia de que custos de TI e da segurana so destas reas e no do negcio uma forma inconsistente de administrar. So custos que o negcio deve arcar, considerando a evoluo no curto, mdio e longo prazos. Mas importante no perder de vista que a aplicao, a existncia e a extenso da segurana deve ser uma imposio estratgica da organizao. Em resumo, saudvel considerar que o setor de segurana da informao uma rea de custo zero, em que suas despesas e investimentos so repassados s demais reas, produtos ou filiais da organizao. Desta forma, melhora a percepo de todos de que obrigatria a gesto do risco e a segurana da informao e que isto responsabilidade de todos. Alis, esta cultura saudvel tambm quando aplicada a toda a rea de TI. 3. Como fazer a segurana? No raro, nos deparamos com situaes em que os projetos so estabelecidos em funo apenas de alertas do mercado, principalmente de consultores e fornecedores. No que eles sejam errados ou perniciosos, mas comum que, apenas vindos de fora para dentro da organizao, no enderecem adequadamente as reais caractersticas demandadas ou suportadas pelo negcio. Exploram, em muitos casos, as tcnicas de fear, uncertainty and doubt (FUD, sigla em ingls para designar medo, incerteza e dvida). Projetos assim, no mais das vezes, resultam em custos e esforos desproporcionais s necessidades reais ou muito grandes, implicando ociosidade, ou muito pequenos, implicando em grande vulnerabilidade residual. Estes projetos acabam ficando no campo da capacidade poltica e de convencimento dos gestores de risco, simplesmente aceitos pelos demais gestores de forma passiva, acreditando somente na argumentao apresentada (fenmeno conhecido no campo comportamental como O paradoxo de Abilene, um fenmeno no qual um grupo de pessoas se v forado a agir de forma oposta s suas convices). Na melhor das hipteses, esta prtica representa apenas pura perda de esforos, tempo, credibilidade e, finalmente, dinheiro. Nestes casos, quando os problemas acontecem, invariavelmente toda a responsabilidade recai sobre o CSO. Cada organizao deve estabelecer, luz de suas caractersticas prprias, da evoluo prevista, de novos negcios planejados e dos benchmarks que lhe fazem sentido, as melhores prticas a serem seguidas e qual ser a medida da averso ao risco a ser observada. O contrrio implica em corte arbitrrio dos recursos a cada vez que o negcio enfrente percalos, no havendo certeza do emprego adequado dos recursos. 4. Segurana interna ou outsourcing? O cenrio que tratamos at aqui diz respeito poltica a ser empregada na segurana e deve ser considerado sem importar qual modelo operacional a ser praticado. Mesmo quando falamos em outsourcing, estas questes devem ser adequadamente endereadas, para que o baseline a ser contratado seja o mais realista possvel. Afinal, outsourcing no significa transferncia de responsabilidade, apenas uma delegao da atividade operacional. Da mesma forma, a deciso por outsourcing apenas pela tica da reduo de custos pode mostrar-se perigosa em todas as situaes, mas, particularmente, no que tange segurana da informao. preciso ter em mente dois aspectos: Terceirizar aquilo que no se domina ou apenas por ser mal feito internamente pode significar insucesso e maiores custos; O perodo imediatamente anterior contratao do outsourcing um momento privilegiado para a reorganizao do processo a ser terceirizado.

16

A reduo de custos, neste cenrio, poder, ento, ser mais facilmente atingida, de uma forma mais consistente, resultando em que o que for contratado seja realmente o baseline necessrio: nem to pequeno que gere no-qualidade, nem to grande que signifique custos indevidos (ociosidade). Dentro disso, outro aspecto desta mesma situao o caso frequente que acontece quando definido o fornecedor antes da escolha do processo ou da soluo adequada, tambm conhecida como Sndrome da Grife ou Efeito Manada. Esta inverso da ordem de escolha uma prtica recorrente, citada pelo Gartner como sendo uma das fontes de problemas na gesto da segurana (e da TI como um todo). Nestes casos, comum que a organizao seja adaptada soluo, quando o correto o contrrio. Depois de escolhido o fornecedor, muito difcil mudar alternativas e at mesmo definir os SLA (Service Level Agreement, ou acordo de nvel de servio) convenientes, pois as atividades sero desenvolvidas apenas segundo as prticas deste fornecedor, ou amarradas ao baseline contratado. Como qualquer investimento, os projetos propostos no PESI devem prover sempre a anlise de ROI (return on investment, ou retorno sobre o investimento), seja financeiro ou intangvel. Para que esse retorno seja efetivo, imprescindvel que os benefcios sejam mensurados e determinados pelo negcio, segundo sua viso da taxa interna de retorno aceitvel. E vale repetir o alerta: os gestores de riscos no devem procurar sozinhos os ndices de retorno adequados; de novo, o negcio quem pode formular as melhores condies. 5. Quem o comit do PESI? Embora j mencionado em outro captulo deste documento, vale aqui seu reforo. Um aspecto importante quando falamos da participao do negcio no PESI deixar bem claro que os gestores envolvidos so aqueles da linha de frente da organizao, aqueles que atendem diretamente aos processos. Mas eles devem ser secundados e fundamentados pelas equipes de auditoria, departamento jurdico, compliance, TI e segurana (de TI e corporativa). Em todos os casos, tambm a rea de recursos humanos (RH) deve participar, uma vez que o comportamento do quadro de colaboradores um importante elemento de mitigao de riscos. E como um plano s bom quando conhecido, compreendido e abraado por toda a organizao, deve-se considerar a mobilizao do marketing e da comunicao social para sua divulgao e conhecimento, desenvolvendo aes de endomarketing adequadas a cada organizao. Quanto ao patrocinador, a sugesto que seja, na medida do possvel, o responsvel maior da organizao (CEO Chief Executive Officer ou presidente etc.). Uma alternativa ter sua nomeao feita pelo rgo a que a organizao esteja subordinada, como conselho de acionistas, conselho curador etc. Ainda segundo o COSO, no Sumrio Executivo acima citado, esta participao visa estabelecer aes conjuntas e harmnicas no sentido de: Alinhar a averso ao risco e a estratgia necessria; Melhorar as decises de resposta aos riscos; Reduzir os imprevistos operacionais e as perdas; Identificar e gerenciar riscos mltiplos e cruzados na organizao; Aproveitar as oportunidades em um ambiente proativo; Otimizar o emprego de capital / investimentos. 6. Quais riscos e vulnerabilidades devem ser tratados? A anlise das origens dos riscos um aspecto importante e fundamental a ser considerado. Correntemente, a segurana da informao tratada como uma das atividades ligadas, de uma forma ou de outra, prpria TI. Neste caso, o que se v o tratamento tcnico destas ameaas, provendo-se o ambiente de poderosas ferramentas para evitarmos os ataques externos, tais como Firewalls, IDS, antivrus etc. Claro, este tipo de ferramenta fundamental e, infelizmente, continuar a ser. Entretanto, ateno especial deve ser dada s ameaas internas, em que usurios, utilizando operaes legtimas e que fazem parte de seu trabalho normal, causam danos s vezes maiores (e quase sempre recorrentes) do que os ataques externos. Estes casos, que incluem vazamento de informaes, perda de capital intelectual, fraudes etc., causam prejuzos irreparveis organizao, tanto em termos de expressivas perdas financeiras como (pior) de imagem. O importante que

Planejamento Estratgico da Segurana da Informao

17

estes riscos e vulnerabilidades quase nunca so objeto de considerao pela rea tcnica, mas so fontes de enorme preocupao por parte dos gestores do negcio e, em ltima anlise, pelos gestores maiores CFO (chief financial officer), COO (chief operating officer), CTO (chief technical officer), CCO (chief compliance officer) etc., inclusive do CEO. Alm das questes organizacionais relativas aos riscos derivados do negcio, h que se preparar tambm para as questes regulatrias. Mais e mais surgem (e surgiro) regras impostas para a conduo das organizaes, em funo da crescente interdependncia dos mercados globais e da proteo necessria aos investidores e stakeholders. Neste aspecto, a organizao dever estar preparada para outro tipo de risco, no menos importante: as questes de compliance. E a surgem novas condies: as organizaes devem, sistematicamente, adequar-se a diversas regras de natureza e origens diferentes. Como exemplo, temos as regras internacionais, as dos pases de origem, as do pas de operao (estas duas conhecidas como questes home-host), as estabelecidas pelos segmentos em que operam, alm das prprias regras internas. Todas estas regulaes so dirigidas diferentemente (s vezes de forma quase conflitante) a todas as reas da organizao: administrativa, financeira, operacional, comercial, logstica, produo etc. A inobservncia de apenas uma delas pode ser fatal a todo o empreendimento, sendo, portanto, uma enorme questo de RISCO. 7. O papel da administrao e dos investidores Neste processo, os responsveis diretos pela segurana devero desempenhar um papel que vai alm da simples coleta de informaes para a tomada de deciso, pois deve apresentar um modelo com escopo definido e sugerir critrios para que o processo decisrio seja estruturado e no apenas baseado em um evento. Como os riscos, invariavelmente, so maiores do que os recursos disponveis, o colegiado de gestores dever, ento, definir o que ser feito e suas prioridades frente s realidades atuais e das tendncias do negcio. Apenas assim possvel defender, junto direo da organizao e aos investidores, a alocao de recursos para sua realizao e a obteno da fora e autoridade indispensveis na sua conduo. Um processo decisrio estruturado e conjunto permitir: Alinhar a viso dos gestores quanto aos aspectos estratgicos e sua importncia; Elencar critrios qualitativos e quantitativos das diversas reas; Decises consistentes, baseadas em regras claras e de consenso; Otimizao dos recursos em funo da prpria evoluo do negcio (anlise estratgica dos cenrios); Priorizar os projetos de forma consistente e estruturada; Comunicar a deciso e seus critrios de forma adequada a todo o corpo da organizao; Assegurar compliance da organizao adequado aos seus ambientes; Resultados justificveis. Procurar usar uma linguagem comum uma tarefa importante, sempre considerando que os diversos atores tm modelos mentais diferentes, segundo suas atribuies funcionais. O ideal criar um modelo comum, que permita compartilhamento entre eles: o CEO com o CFO, com o COO etc. E eles devem entender que sero responsveis tambm pelo sucesso e pelas metas que declararem. importante ter em mente que os investidores esto interessados em dois aspectos e que nenhum deles . deve ou pode ser minimizado. Por um lado, eles querem os melhores resultados imediatos possveis, rentabilizando os investimentos feitos e, de outro, preocupam-se com a capacidade de a organizao proporcionar lucros e benefcios futuros em ltima anlise, a perenidade da operao, que determina o valor real do negcio (goodwill).

18

Captulo 3

Gesto de riscos
Joo Rufino de Sales Rir correr o risco de parecer um tolo. Chorar correr o risco de parecer sentimental. Abrir-se para algum arriscar envolvimento. Expor os sentimentos arriscar a expor-se a si mesmo. Expor suas idias e sonhos arriscar-se a perd-los. Amar correr o risco de no ser amado. Viver correr o risco de morrer. Ter esperanas correr o risco de se decepcionar. Tentar correr o risco de falhar. (Autor desconhecido) A nossa vida assim: uma seqncia infindvel de escolhas entre uma situao ou outra. O risco inerente s sociedades humanas. A nossa condio de seres inteligentes faz de nossas opes uma constante escolha se devemos ou no aceitar o prximo passo. Dentro deste aspecto que a gerncia de riscos em segurana assume decisivo papel na elaborao do Planejamento Estratgico de Segurana da Informao (PESI). Mais do que arriscar para ter sucesso em um bom planejamento, necessrio ter apetite pelo risco, quantificar corretamente e escolher os tipos de riscos que uma organizao est preparada para correr ou perseguir. o risco aceitvel que nos faz diferentes e competitivos na sociedade moderna. O risco deve ser retido de forma consciente e alinhado aos nossos objetivos. Devemos sempre, a cada passo, estar preparados para escolher qual o risco que desejamos aceitar para atingir nossos objetivos. A gesto de riscos, portanto, um processo sistemtico para identificar, analisar, avaliar e tratar os riscos e permite melhorar o desempenho da organizao por meio da identificao de oportunidades de ganhos e de reduo de probabilidades ou impactos de perdas, indo alm de demandas regulatrias. O processo de avaliao de riscos (risk assessment), na verdade, no um processo nico e, sim, uma composio de trs outros processos: identificao de riscos, anlise de riscos e avaliao de riscos. O objetivo final do processo sempre que o risco seja reduzido ao nvel aceitvel, o que significa que o custo do tratamento no deve ultrapassar o custo proporcionado pelo risco. Os hackers e crackers esto mais atuantes a cada dia. As mazelas do mundo real esto cada vez mais presentes no virtual, em um cenrio complexo de redes interconectadas. Pesquisa realizada pela AON com 320 executivos de diversos segmentos, em 29 pases, revelou que o risco mais temido pelas grandes corporaes o dano reputao da organizao seguido de perto pela interrupo dos negcios e pela responsabilidade civil. Podemos verificar, ento, que todos os maiores temores esto diretamente ligados informao, sua integridade e disponibilizao adequada. Confiana e credibilidade constituem a base de nossa sociedade e podem ser amplamente prejudicadas pela informao. Como fazer para implantar uma adequada gesto dos riscos? Em minha opinio e de muitos autores, a melhor maneira escolher o framework de trabalho mais adequado e obter da alta administrao o comprometimento. Normas e diretrizes no faltam. Experimente digitar as palavras normas, gesto e riscos no Bing: milhares de links lhe indicaro bons caminhos. Selecione aqueles que lhe paream mais adequados, busque especialistas, implemente solues automatizadas de anlise de riscos para auxiliar a tomada de decises. Finalmente, tenha sempre em mente que no existe como eliminar 100% dos riscos. Fazer gesto de riscos descobrir qual nvel de risco aceitvel para o seu negcio ou at mesmo para sua vida. Depender de orculos algo do passado, onde tudo parecia ser determinado pelo destino e um ser superior decidiria por ns. Para crescer e para, acima de tudo, sermos mais competitivos, necessrio e urgente ousar. E ousar em italiano

Planejamento Estratgico da Segurana da Informao

19

riscare, ou seja, o poema de autor desconhecido (pelo menos por mim) continua como uma grande verdade tentar correr o risco de falhar; porm, se no tentarmos, nunca saberemos a conseqncia de nossa deciso, e conseqncia mistrio e mistrio, acima de tudo, vida.

20

Captulo 4

Aspectos tecnolgicos, humanos e financeiros


Edison Fontes Neste captulo, destacamos um aspecto que deve ser considerado no Planejamento Estratgico da Segurana da Informao (PESI) nas organizaes, independente do seu porte ou tipo do negcio. Trata-se do aspecto humano, que to importante quanto a questo tcnica e a financeira. Acreditamos que o balanceamento adequado destes trs elementos possibilita o sucesso do planejamento e da execuo do processo de segurana da informao.

A segurana em sistemas de informao deve contemplar no apenas os aspectos tcnicos. As particularidades sociais referentes ao ambiente da organizao e s pessoas tambm tm sua importncia e devem ser consideradas. Pelo fato de, historicamente, a segurana da informao ter incio a partir da rea tcnica de processamento de dados, os aspectos sociais da organizao e das pessoas tm sido deixados de lado ou tm tido uma menor prioridade ou, em caso extremos, tm sido completamente esquecidos. Este fato pode ser uma boa explicao para muitas empresas, mas, com certeza, no justifica as atitudes de muitas organizaes pelo desinteresse ou no considerao dos aspectos relativos s pessoas, seja considerando os indivduos isoladamente ou o ambiente social da organizao. Precisamos de regras explcitas, rgidas o suficiente para que sejam cumpridas por todos. Porm, mais do que isso, precisamos de pessoas que entendam o porqu das regras de proteo da informao e as sigam no por medo, mas por alinhamento com a organizao em termos de proteo do negcio e de que o sucesso do negcio o sucesso de todos. Isto no quer dizer que todos concordaro com todas as regras, normas e polticas, mas que todos tero uma postura profissional perante a segurana da informao. Em relao aos aspectos tcnicos, chamamos a ateno para o fato de muitas vezes o profissional de segurana da informao focar-se apenas na proteo do recurso, sem se preocupar com os fatores gerenciais e outros que permitam um planejamento adequado e uma execuo do processo de segurana da informao com mais chances de sucesso. O profissional de segurana da informao deve ter uma viso ampla de tudo que contribui para o sucesso do processo de Segurana da Informao (bem como o que pode prejudicar), comeando pelo planejamento e se cristalizando na sua implantao. O terceiro aspecto fundamental a ser contemplado no processo de segurana da informao a questo financeira, que possibilita a viabilizao do uso dos bens de informao e dos recursos de proteo.

1. Introduo

2. Definies
2.1. Aspectos sociais So os aspectos relacionados s pessoas e ao ambiente em que as elas vivem e trabalham. 2. 2. Aspectos tcnicos So os aspectos relacionados tecnologia e aos seus recursos.

A elaborao de um planejamento primordial para a implantao de um processo de segurana da informao. Abaixo, consideramos os principais itens que devem ser observados em uma ao de planejamento neste sentido. A segurana da informao rica em atividades operacionais. Em funo de fraquezas existentes, somos levados a comear imediatamente pelas aes tcnicas que so importantes. Porm, o perigo reside em ficarmos limitados s atividades operacionais. Por ser um elemento importante para a organizao, fundamental a existncia de um elaborado planejamento estratgico, que deve ser validado com a alta administrao da

3. Planejamento da segurana da informao

Planejamento Estratgico da Segurana da Informao

21

organizao e que orienta o direcionamento dos caminhos que os projetos e atividades devem seguir. Em sua montagem, o PESI deve ter orientaes bsicas que devem proteger a estratgia a ser adotada. Entre elas, consideramos: a) Alinhamento com a legislao e polticas da organizao todas as aes voltadas segurana da informao devem respeitar a legislao vigente do pas e no devem ir de encontro s polticas organizacionais. b) Considerao s iniciativas de negcio realizao dos negcios a ao mais importante, afinal, dela depende a sobrevivncia da organizao. A segurana deve garantir que o uso da informao nas diversas iniciativas esteja acontecendo de forma adequada, assim como uma proteo extremada pode acabar inviabilizando a realizao de negcios. c) Definio da estrutura e forma de atuao da rea de segurana esta questo deve definir alguns pontos, como abaixo: Se a rea de segurana da informao ir utilizar recursos humanos prprios ou de outras reas para os projetos; Qual ser a posio organizacional da rea de segurana da informao; Qual ser o escopo de atuao da rea de segurana da informao. d) Definio de onde viro os recursos financeiros durante o planejamento do processo de segurana da informao que se deve definir estrategicamente de onde viro os recursos financeiros para viabilizar a execuo dos diversos projetos, bem como a utilizao pela organizao de vrios recursos de informao. Neste momento, tambm se deve esclarecer as responsabilidades (em relao aos recursos financeiros) para as reas usurias, tcnicas e para a de segurana da informao. e) Arquitetura de segurana da informao o processo de segurana da informao deve seguir uma arquitetura e importante que seja algo possvel de ser implantado. Afinal, ela possibilita a viso completa da abordagem da proteo. Em meu livro Vivendo a segurana da informao, sugiro uma arquitetura prtica. f) Ser humano o comprometimento do usurio um pilar para que a segurana da informao seja efetiva para a organizao. necessrio que este usurio receba treinamento especfico para: Conscientizao em segurana; Conhecimento das polticas, normas e procedimentos; Conhecimento tcnico, relativo s questes que lhe afetam. g) Tecnologia para aes de proteo o uso da tecnologia necessrio para a proteo no ambiente computacional. A organizao, por meio da rea de segurana, deve utilizar todos os recursos disponveis para a proteo da informao; evidentemente, de forma profissional e compatvel e com os seus recursos financeiros. Muitas vezes, o profissional de segurana da informao, pressionado pela situao da organizao, foca apenas neste aspecto das solues tecnolgicas para a proteo da informao. Situaes deste tipo podem existir, mas de forma temporria, pontual. Para implantar um processo efetivo de segurana da informao necessrio no ficar focado neste aspecto. Figura 1. Estrutura do PESI.
Legalidade (Legislao e Corporao
R e c F i n a n c e i r o s

Arquitetura de Segurana Info


A t u a o

Pessoa Humana

Tecnologia para Proteo

Iniciativas de negcio

22

4. Aspectos sociais
4.1. Regulamentos Os regulamentos (polticas, normas e procedimentos) proporcionam a construo e explicitao dos pontos considerados como padro de conduta. As pessoas devem seguir estes regulamentos; caso contrrio, estaro quebrando regras de convivncia com a organizao. Para melhor compreenso, importante que estes documentos sejam objetivos, claros e transmitam o essencial. Isto , quando falamos em poltica, significa a cultura da organizao em relao ao tema segurana da informao. Ela deve ter poucas pginas e dizer explicitamente o que se quer. No precisa entrar em detalhes do como fazer, j que nas normas e procedimentos teremos este detalhamento. importante para o aspecto social que a poltica principal da organizao para a segurana da informao seja assinada pelo presidente. As pessoas, ao lerem a poltica e identificarem que a mesma foi assinada pelo presidente da organizao, entendero mais facilmente a importncia da segurana da informao para o negcio. Os regulamentos sobre a segurana da informao devem ser sempre lembrados aos usurios nos treinamentos peridicos. Eles devem ser de fcil acesso, tipo intranet da organizao. Evidentemente, junto com a existncia destes documentos, fundamental que as regras descritas sejam seguidas por todos, inclusive pelo presidente. As pessoas precisam entender que as regras so para cumprimento profissional por todos da organizao. 4.2. Cultura organizacional Esse aspecto social construdo ao longo do tempo. Quando implantamos um processo de segurana da informao devemos considerar a cultura da organizao. Na medida do possvel, devemos definir os controles de segurana respeitando esta cultura. No quer dizer que este processo v se curvar e deixar de fazer a devida proteo de um recurso por que isto vai contra a cultura. Quer dizer que, ao implantar um controle, devemos considerar seu impacto sobre as pessoas e a cultura organizacional existente. A implantao de um processo de segurana da informao em rgo do governo bem diferente de uma empresa de publicidade, por exemplo. Contudo, ambas as implantaes buscam proteger adequadamente a informao necessria ao sucesso do negcio e/ou alcance dos objetivos da organizao. Mas, cultura organizacional tambm se cria. Normalmente, para que o processo de segurana da informao acontea de forma adequada necessrio que os requisitos de segurana sejam considerados no incio do desenvolvimento de sistemas. Na vida prtica das organizaes, muitas vezes esta rea envolvida em novos sistemas na fase de implantao do sistema em produo. Neste caso, tem de haver uma mudana na cultura organizacional no que diz respeito ao processo de desenvolvimento de sistemas para que os requisitos de segurana sejam discutidos e a sua utilizao seja validada na especificao tcnica do desenvolvimento de sistemas. Sendo assim, considerar a cultura organizao uma estrada de duas vias. A segurana considera as caractersticas da organizao, que deve desejar que a segurana proteja adequadamente a informao, mesmo que (na verdade, quase sempre) este fato acarrete um custo de tempo e de esforo nos processos. 4.3. Clima organizacional O clima organizacional o ar virtual de todos os pensamentos e sentimentos em relao organizao que as pessoas inspiram e expiram. Quanto melhor o clima organizacional, mais chances de sucesso o processo de segurana da informao ter. Este aspecto fundamental e ser um acelerador ou um impedimento para que a informao tenha a proteo adequada. Isto no quer dizer que organizaes que possuam um clima organizacional em baixa no possam implantar um processo de segurana da informao. Podem e devem. Porm, o profissional da rea deve estar atento, pois ser uma tarefa mais difcil. Mais importante do que o nvel do clima organizacional, entretanto, a sua causa. Seu nvel apenas uma . foto. Precisamos estar cientes e acompanhando a causa. Se uma organizao ser adquirida por outra ou se est deixando de atuar no pas, evidentemente, o clima ser tenso e a alegria no ser o forte.

Planejamento Estratgico da Segurana da Informao

23

Esta situao bem diferente de uma organizao que possui historicamente um programa de busca o culpado, caa s bruxas, altssima rigidez (no compatvel com o negcio) em relao a atitudes do funcionrio ou terceiros e outras situaes equivalentes. Uma organizao que possui funcionrios e prestadores de servio satisfeitos com o trabalho, orgulhosos das conquistas de todos e desejosos de continuarem neste ambiente nos prximos cinco anos, tem facilitada a implantao do processo de segurana da informao. Isto no quer dizer que todos acharo uma maravilha estas aes. Significa que todos tero uma atitude profissional perante s polticas, normas e procedimentos de proteo da informao. Concluindo, ambiente de no-confiana entre as pessoas, clima de inimizades, revolta contra a organizao e outros problemas no impedem a implantao de um processo de segurana, mas dificultam em muito. 4.4. Processo contnuo de treinamento Quando uma organizao possui um processo de treinamento contnuo, mais fcil desenvolver um processo de conscientizao em segurana da informao, que, por sua vez, contribui para que o ambiente de trabalho das pessoas esteja constantemente possibilitando o crescimento profissional e como ser humano do funcionrio ou prestador de servio. medida que a pessoa se sente considerada para treinamentos e outras aes, o ambiente social torna-se mais positivo. necessrio que todos, ao entrarem na organizao, recebam um treinamento inicial em segurana da informao e, ao longo da sua permanncia na empresa, recebam treinamento peridico sobre o assunto, tanto com foco de conscientizao quanto com uma abordagem mais tcnica. A realizao de campanhas de segurana recomendvel, mas elas devem fazer parte de um conjunto de medidas praticadas por toda a vida da organizao. Hoje, j h elementos que ajudam neste processo: palestras, livros, teatro corporativo, entre outros. 4.5. Profissionalismo Muitas organizaes ainda possuem um clima amador nas relaes com seus funcionrios e entre eles. Um processo de segurana da informao ser mais bem-sucedido quando o ambiente pautado pelo profissionalismo. O amadorismo / informalismo profissional em questes empresariais aparece mais nas empresas mdias e nas familiares (independente do tamanho) e este elemento est intimamente ligado com a questo das polticas, normas e procedimentos. Organizaes pautadas pelo profissionalismo desenvolvem e implantam mais facilmente regulamentos deste tipo.

5. Aspectos tcnicos
5.1. Atualizao da tecnologia Estamos em um mundo que tem uma fantstica rapidez na mudana e aprimoramento da tecnologia, fazendo com que o negcio utilize cada vez mais estes novos recursos. Desta forma, a segurana da informao tem de alcanar esta nova tecnologia e definir quais sero os novos controles. Esse fato, muitas vezes, faz com que a questo esteja (considerando o cronograma) atrs das iniciativas do negcio. O que devemos garantir que esta diferena seja aceitvel e no ponha em risco o negcio. Precisamos considerar como a rea de segurana da informao se manter atualizada em termos de tecno. logia. Para isso, as formas variam desde uma soluo interna at a utilizao de um parceiro competente. O que importante que o responsvel pela rea de segurana da informao tenha isso esclarecido. 5.2. O fornecedor da soluo Quando uma organizao adota uma soluo ou um fornecedor de tecnologia, de uma maneira mais ou menos forte, ele fica refm desta soluo ou do provedor de recurso. Sendo assim, muito importante que sempre seja considerada a continuidade da soluo (ou do fornecedor). Nos ltimos anos, mesmo empresas slidas foram adquiridas por outras organizaes que simplesmente congelavam uma soluo da primeira, obrigando os clientes mudar para a soluo da organizao compradora.

24

Porm, estes acontecimentos no devem impedir a utilizao de parceiros. Homem algum uma ilha, j dizia um pensador. Organizao alguma sobrevive sozinha, a nossa realidade. Precisamos de parceiros e teremos parceiros sempre. necessrio termos uma viso profissional que nos permita analisar e gerenciar o risco que estes relacionamentos e dependncias trazem para a organizao. 5.3. Requisitos de segurana devem ser mantidos No pelo fato de estarmos utilizando uma nova tecnologia ou soluo que os requisitos de segurana devem ser deixados de lado. Identificao individual, registro dos acessos realizados, controle de acesso, cpias de segurana, continuidade de negcio etc. so aspectos da segurana da informao que sempre devem ser considerados, independente da soluo ou tecnologia. Todo profissional da rea deve ter claro os seus principais requisitos, que so vlidos h sculos e continuaro assim por muitos outros. Em alguns momentos, a tecnologia disponvel no facilita; em outras vezes, ela torna possvel e facilita a implantao de requisitos especficos. No devemos confundir os requisitos de segurana com as facilidades que a tecnologia nos disponibiliza para implantar estes requisitos.

O planejamento e implantao do processo de segurana da informao necessitam de recursos financeiros para a sua execuo. Pessoalmente, sou da opinio de que todas as organizaes tm condies de planejar, implantar e manter um processo de segurana da informao. Todas tm recursos financeiros suficientes para ter uma proteo da informao compatvel com o porte e seu negcio/objetivo. O que se precisa identificar como o recurso financeiro realizar o processo de segurana. Isto , de quem ser a verba financeira para o processo de segurana. Por exemplo: a compra de equipamentos tipo firewall e os respectivos produtos sero pagos pela rea de tecnologia ou pela rea de segurana da informao? necessrio que este aspecto esteja explcito para que o planejamento do recurso financeiro esteja sincronizado com o cronograma do planejamento, desenvolvimento e manuteno do processo de segurana da informao.

6. Aspectos financeiros

A segurana para sistemas de informao no uma atividade trivial, pois deve considerar tanto os aspectos tcnicos quanto os do ambiente da pessoa e do ambiente da organizao. Cada um dos aspectos apresentados pode (e deve) ser subdividido. O importante que voc entenda este conceito e aplique quando da implantao e manuteno do processo de segurana da informao em uma organizao.

7. Concluso

Planejamento Estratgico da Segurana da Informao

25

Captulo 5

Servios internos
Christiane Mecca O grande desafio enfrentado pelos CIOs (Chief Information Officers) no cenrio atual o alinhamento do trabalho da rea de tecnologia da informao (TI) estratgia de negcios da organizao. Os servios oferecidos no passado tinham como principais caractersticas o atendimento ao usurio, foco na tecnologia, uso de recursos internos e comportamento reativo. medida que a TI passou a trabalhar com o objetivo de atender seus clientes e processos internos, gerando valor para a organizao e maximizando o retorno para os negcios dos investimentos realizados na rea, novos conceitos, como melhores prticas e qualidade do servio, foram introduzidos no cenrio atual. Atualmente, o atendimento ao cliente, foco no processo e comportamento proativo so extremamente valorizados. At mesmo atender demanda interna dos processos de negcios e suas certificaes da qualidade, como ISO 9001, ISO/TS:16494 e tantas outras, levaram a rea de TI a reavaliar seus servios, no sentido de estar estruturada para atender aos requisitos destas normas. Como processo de suporte para os principais processos da organizao, faz-se necessrio o conhecimento dos requisitos das normas que impactam diretamente a performance dos processos principais, e que so passveis de auditorias internas e externas. A TI deve se preparar, no com o objetivo principal de obter a certificao do prprio processo, mas para atender os requisitos mnimos que impactam os processos clientes. Quando falamos em servios de TI, fundamental falarmos em ITIL (Information Technology Infrastructure Library) um conjunto das melhores prticas para atender s exigncias dos cenrios atuais. Nela, a definio de servio pode ser encontrada como um ou mais sistemas de TI que habilitam um processo de negcio. Um sistema est baseado em hardware, software, pessoas e processos. ITIL pode ser considerado um referencial para se estabelecer servios de qualidade integrando pessoas, processos e tecnologia, e gerenciando a TI como um negcio da organizao. O valor do servio de TI percebido por meio do alinhamento com a estratgia da organizao, custo, tempo de resposta s demandas internas e qualidade. O gerenciamento dos servios de TI com qualidade exigem equilbrio das demandas internas e recursos disponveis, com custos aprovados pelo negcio. O nvel de servio oferecido e acordado com o negcio, SLA (Service Level Agreement), um indicador da performance e qualidade do processo TI. Por meio dele se pode medir a satisfao do cliente, isto , como ele percebe o servio prestado. Os SLAs dos servios que afetam o desempenho dos negcios, como disponibilidade dos sistemas crticos, infraestrutura de rede, help desk, fornecimento de equipamentos de TI etc., quando no atingem os nveis acordados devem ser utilizados como parmetros para o processo de melhoria contnua do processo TI. Um plano de ao deve ser desenvolvido e apresentado para as reas de negcio da organizao. O desenvolvimento e implantao de controles internos so fundamentais para avaliao da maturidade do gerenciamento de servios de TI e garantia de alinhamento estratgia e processos do negcio. Bibliografia FOINA, Paulo Rogrio. Tecnologia da informao planejamento e gesto. 2 Ed. So Paulo: Atlas, 2006. MAGALHES, Ivan Luizio, PINHEIRO, Walfrido Brito. Gerenciamento de servios de TI na prtica: uma abordagem com base na ITIL. So Paulo: Novatec, 2007.

26

Captulo 6

Provedores externos
lvaro Tefilo Neste captulo, trataremos dos desafios de uma organizao ao contratar servios externos. Veremos tambm os desafios que estes terceiros representam no cotidiano da gesto de segurana, tanto no cumprimento de seus prazos SLAs (Service Level Agreement) quanto na conformidade dos mesmos com a poltica vigente em sua organizao.

cada vez maior o nmero de organizaes que tomam a deciso de terceirizar parte de suas operaes. Muitos iniciaram este campo contratando parceiros para execuo de servios de tecnologia e de operaes muito especficas (como os call centers) a outras empresas de grande e mdio porte, para que estas fizessem pela organizao o que at ento era responsabilidade de seus prprios funcionrios. A principal razo da terceirizao , sem dvida, a reduo de custos diretos e indiretos que um determinado servio gera para uma organizao. Agregado a isso, a especializao de algumas empresas em executar determinadas funes com maior conhecimento atrai muitos gestores, que precisam de um servio de qualidade, mais livre para se alinhar ao negcio da organizao e oferecer novos servios a ela. No entanto, se torna mais usual que operaes de backoffice e at mesmo servios que so considerados core . business, ou seja, a alma do negcio das organizaes, sejam transferidas para um parceiro de negcios. Apesar de forma ainda tmida, j existem vrias iniciativas que indicam que as organizaes, procurando ganhar eficincia e que iro claramente para um caminho sem volta de terceirizar parte de suas operaes mais crticas, trazendo discusso a necessidade de entendermos e enderearmos os impactos destas decises sob o ponto de vista de riscos. Terceirizar servios necessrios, mas que no sejam o core business da organizao e que possuem um alto custo administrativo, como um call center, pode ter um excelente retorno. Ao terceirizar uma operao importante para o negcio, o parceiro selecionado precisa ter reputao e porte para assumir os problemas operacionais desta funo.

1. Introduo

Independente do grau de profundidade que a terceirizao de operaes j atingiu em uma organizao, algum deve assumir, dentro de cada corporao, o papel de orientar homens de negcios e de tecnologia a respeito de quais preocupaes devem ser endereadas no momento em que uma externalizao de operaes feita. Obviamente, necessrio que a organizao compreenda a importncia desta deciso e as conseqncias que a falta de uma avaliao e gesto de riscos operacionais pode trazer para ela. Com esta questo reconhecida, cada organizao deve definir quem far o papel de gesto de riscos em operaes terceirizadas. Normalmente, temos visto a prpria rea de segurana da informao como a lder da gesto de parceiros em grandes organizaes. Neste sentido, importante se observar algumas questes: a) A terceirizao deve ter um gestor, responsvel por acompanhar as mtricas e fazer com que os SLAs sejam cumpridos. b) O apoio jurdico importantssimo na hora de se estabelecer os SLAs e as penalidades pelo seu no-cumprimento. c) No subestime o impacto que uma m contratao pode ocasionar em sua operao. A responsabilidade continua sendo do gestor; e, para os clientes, os problemas so sempre da sua organizao.

2. Gesto de parceiros de negcios

Uma das perguntas mais comuns no mercado a respeito da questo da terceirizao : por onde comear a gesto? Antes de tudo, tenha em mente que existem dois mundos que precisam ser trabalhados paralelamente: a)

3. Quem, quando e o que avaliar

Planejamento Estratgico da Segurana da Informao

27

a gesto de servios e operaes que j esto terceirizadas; e b) a gesto de novas terceirizaes. A gesto de riscos de servios j contratados deve ser iniciada a partir de um levantamento completo de todos . os servios prestados fora de sua organizao. Algumas outras reas internas podero ajudar na sua pesquisa, especialmente as reas de gesto de contratos, jurdico, compras e at mesmo tecnologia. Voc ter de definir uma pessoa ou equipe que ter a responsabilidade, dentro de sua rea, de executar esta tarefa em tempo integral. Separar estas operaes por nvel de criticidade para os negcios envolve um esforo razovel e, neste sentido, . encontramos duas variveis que conseguem dar peso a elas e nos ajudam a determinar a priorizao das avaliaes: a) Quanto maior o nvel de dependncia da operao externalizada para a sua organizao, maior deve ser a prioridade dada sua gesto de riscos. importante deixar claro que a dependncia aqui est relacionada importncia que a operao traz para a organizao e, obviamente, de que forma a falha da entrega de seus servios pode impactar seus negcios. b) O armazenamento de informaes de clientes deve ser visto como um fator crtico na avaliao de parceiros. A possibilidade de vazamento de uma base de dados ou um incidente envolvendo a divulgao de informaes de clientes pode levar a organizao contratante a uma sria exposio de imagem, cujas consequncias so sempre difceis de serem medidas. Avalie o grau de dependncia da operao terceirizada e a sensibilidade das informaes confiadas a terceiros. .

O primeiro passo deste trabalho deve ser feito junto ao jurdico da organizao. A existncia de clusulas de responsabilidade, privacidade e segurana devem ser avaliadas contrato por contrato, o que gera um esforo razovel para advogados e gestores. Deve-se tambm incluir no aditamento uma clusula de acordo onde a empresa se compromete a adotar todas as polticas e medidas de segurana que a contratante exigir, bem como aceitar a existncia de auditorias peridicas que avaliaro seu nvel de adaptao a estas polticas. Estas clusulas tambm devem ser utilizadas nos novos contratos que a organizao assinar no futuro. A existncia das clusulas no deve ser considerada como uma premissa para o incio do trabalho de avaliao, mas as experincias das organizaes encaram esta questo de uma forma bastante conservadora. Se h, por exemplo, uma boa relao entre contratante e contratado, muito provvel que a avaliao de riscos possa ser feita antes do aditamento. Com a lista de operaes crticas em mos e com a questo contratual endereada, hora de definir qual ser o nvel e a profundidade das avaliaes de risco. Neste momento, a organizao dever construir questionrios que incluam todas as disciplinas de segurana que desejam ser avaliadas, como a existncia de polticas de segurana, a gesto de segurana de redes, atendimento s legislaes e compliance, entre outros. Uma boa ferramenta encontra-se livre na Internet e pode ser utilizada por qualquer indivduo que tenha interesse em utiliz-la. Construda pelo BitsInfo, o processo chamado Financial Institution Shared Assessment Program produziu uma planilha que cobre com bastante extenso as principais aes e processos de gesto e controle de riscos de segurana em ambientes fsicos e lgicos. A planilha encontra-se no prprio site da instituio, em www.bitsinfo.org.

4. Avaliando e monitorando o risco

Com os questionrios desenvolvidos e definidos, deve-se construir um processo com diversas fases que indiquem o comeo, meio e fim do processo, incluindo, pelo menos, dez pontos: 1) O envio de uma carta ao provedor de servios, informando a existncia do processo de avaliao de riscos e solicitando o seu acordo, bem como a determinao de um nome de gerente ou diretor responsvel pelo atendimento da demanda; 2) A definio do escopo de trabalho baseado na realidade de cada operao; 3) A definio de cronograma de trabalho entre as partes; 4) O envio e devoluo dos questionrios aos responsveis na empresa parceira; 5) A visita ao site para testes dos controles declarados pelo provedor;

5. Implantando o processo

28

. ) A gerao de relatrio draft que indique os primeiros resultados do trabalho, que deve ser usado como 6 base para uma discusso com o parceiro; 7) A emisso de relatrio final, informando o nvel de aderncia do parceiro s prticas exigidas pela orga. nizao; 8) A determinao de plano de ao de melhorias, se for necessrio, bem como a obteno do comprome. timento da empresa parceira declarada 9) O acompanhamento da aplicao dos pontos pendentes de acordo com os prazos estabelecidos entre as . partes; 10) A reavaliao peridica (a cada ano, por exemplo) do processo, passando por todas as fases anteriores. . Observe que este processo pode tambm ser aplicado para a segunda dimenso de trabalho que destacamos neste documento. A contratao de novas operaes terceirizadas pode utilizar os mesmos passos para ajudar s reas de negcios a avaliar empresas que esto concorrendo em um novo contrato. Temos vivido experincias bastante positivas em relao a este tema, percebendo que, uma vez apoiados desde o primeiro momento em que tomam a deciso de externalizar uma operao, homens de negcios utilizam nossas avaliaes como um dos principais fatores de deciso sobre qual empresa contratar. Neste momento, tambm tivemos a ideia clara de que a gesto de riscos em operaes terceirizadas muitas vezes ignorada pela simples falta de conhecimento e experincia dos gestores de negcios. uma questo cultural que ns, gestores de segurana da informao, podemos trabalhar na empresa e que geramos resultados excelentes na relao entre segurana e negcios. Neste caso, estreitamos relacionamentos, geramos valor agregado para os negcios e temos muito mais claramente uma foto de onde esto os riscos associados a este tipo de operao. Finalmente, com a tendncia clara demonstrada pelo mercado de que a terceirizao continuar sendo . utilizada como um fator de ganho e eficincia, qualidade e redutor de custos, imperativo que um processo muito bem definido garanta que a gesto de riscos operacionais e de segurana faa parte das avaliaes de novas parcerias.

Planejamento Estratgico da Segurana da Informao

29

Captulo 7

Melhores prticas
Valmir Schreiber Andr Pitkowski

Um dos maiores desafios da rea de TI nos dias de hoje estruturar os esforos para obter a conformidade com os critrios da SOX (Sarbanes-Oxley), circulares governamentais ou at mesmo as contratuais, PCI (Payment Card Industry). De modo geral, a maioria das empresas entende que precisam manter estruturas de proteo e segurana para seus sistemas e dados, mas tem dificuldade em entender quanto detalhadamente ou amplamente estes requerimentos devem ser interpretados. Neste ponto, as estruturas de controles internos como o CobiT (Control Objectives for Information and Related Technology), ITIL (Information Technology Infrastructure Library) ou a ISO 27001 (padro relacionado segurana da informao) podem ajudar o profissional. Estruturas de controle e governana como o CobiT, ITIL ou catlogos de prticas como a ISO 27001 podem . ajudar as empresa de trs formas distintas: Explicitando as dimenses dos requerimentos de segurana e governana; Demonstrando as vrias opes para se atingir estes requerimentos; e Estruturando um programa de conformidade. 1.1. As dimenses Fcil pensar nos aspectos de conformidade como sendo o mesmo que um dos mecanismos que podem ajudar o profissional de TI a atingir suas metas de segurana. Por exemplo, seria o mesmo que os profissionais de segurana pensarem em seus firewalls, autenticao e mecanismos de autorizao quando considerarem como sua informao deve ser protegida. Uma forma mais produtiva ver a segurana sob a perspectiva do que e como a organizao costuma se proteger. Estruturas de controle exigem uma avaliao de riscos e a classificao de informaes e ativos a serem protegidos antes de decidir como proteg-los. Ao considerar os riscos associados a uma atividade de conformidade, a avaliao de riscos ir forar a organizao a perceber quais das suas informaes e processos iro impactar a preciso, transparncia e responsabilidade final sobre os seus relatrios financeiros. A identificao e o processo de avaliao de riscos permitem organizao definir o escopo das atividades de conformidade e os riscos que devero ser mitigados. As estruturas de controle como o CobiT e ITIL expem o fato de que segurana mais do que simplesmente controles sobre sistemas e aplicativos. O escopo total da segurana inclui como uma organizao est estruturada corporativamente os checklists elaborados para desenvolver, manter e auditar os processos de negcio que esto contidos no escopo do Compliance. Inclua neste escopo mais do que as atividades internas, mas as externas, como os provedores de servios e contratos com terceiros, por exemplo. 1.2. Os mecanismos As estruturas de controle ajudam na identificao das ofertas de mecanismos, servios e metodologias que as organizaes podem fazer uso para mitigar riscos. Enquanto os tecnlogos tendem a estabelecer solues tcnicas, os padres do CobiT, ITIL e da ISO enfatizam a necessidade de polticas e procedimentos baseados em processos de negcios corretamente estruturados para gerenciar riscos. Por exemplo, existem momentos em que os mecanismos mais efetivos para garantir que somente os usurios apropriados obtenham acesso s informaes financeiras da organizao so envolver as pessoas corretas na aprovao e certificao destes controles de acesso. Algumas organizaes podem passar ao largo da necessidade de mecanismos de segurana simplesmente configurando polticas que declarem qual informao

1. Introduo

30

sensvel para o negcio deve estar contida em determinados ambientes de processamento de dados apropriadamente protegidos e devem ser transmitidas de forma particular. Esta medida compensatria simplifica tremendamente a tarefa de conformidade.

Uma parte importante a ser considerada no texto de um documento de compliance deve ser a dedicada ao . processo de continuidade de melhoria do prprio compliance, que, com qualquer regulamentao, contrato ou padro, requer uma abordagem cclica e estruturada para que se atinjam as metas. O CobiT apresenta e descreve os seguintes processos, que podem ser encontrados tambm em outras estruturas de controle: Definir as metas especficas para o contexto do negcio e da organizao da empresa; Seleo dos controles para atender estas metas; Organizar e implementar estes controles; Avaliar a efetividade dos controles; Repetir o processo. Na medida em que o negcio evolui e se adequa ao mercado, o ambiente de trabalho acompanha estas mudanas. Cresce, encolhe, oferece novos produtos, instala novos processos ou se torna exposto a novas ameaas. Se os riscos mudam, os controles acompanham estas mudanas. H de se considerar, tambm, que uma prtica considerada boa hoje poder no mais atender s demandas de mercado amanh. Em outras palavras, faz-se necessrio um processo que se adapte e reconhea mudanas do negcio para as atividades de compliance, isto : de uma estrutura de controle. O pblico-alvo do CobiT a alta administrao das organizaes, como tambm diretores e gerentes de IT e auditores em geral. O CobiT consiste em quatro sees: Avaliao executiva; Estrutura; Contedo principal (objetivos de controle, guia de gerenciamento e modelos de maturidade); Apndices (mapas, referncias e glossrio). A seo contedo principal dividida em 34 processos, nos quais em cada um deles est descrito em quatro subsees de cerca de uma pgina cada. Cada subseo contempla: Viso geral dos objetivos de controle, que inclu um resumo das metas do processo, mtricas e prticas; Uma descrio dos objetivos e um mapeamento do processo e seus domnios, critrios de informao e recursos de TI; Objetivos detalhados dos controles dos processos, que prov um total de 214 indicadores divididos entre os 34 processos; Guias de gerenciamento, que incluem as entradas e sadas do processo, a tabela RACI (responsible, accountable, consulted, and informed), metas e mtricas; Modelo de maturidade para o processo, que orientada ao. Este material tem como objetivo ajudar s organizaes a responder perguntas gerenciais, tais como: Quanto a empresa pretende investir? Os custos so justificados pelos benefcios? Quais so os indicadores que medem boas performances? Quais so os fatores crticos de sucesso? Quais so os riscos se os objetivos da organizao no forem alcanados? O que outras organizaes iguais minha esto fazendo? E como elas fazem para medir e comparar? 2.1. Um modelo unificado O CobiT contempla os modelos estabelecidos, como o CMM (Capability Maturity Model, ou Modelo de Maturidade de Capacidade) do Instituto de Engenharia de Software, ISO 9000, ITIL e ISO 27001 (modelo de segurana padro, agora ISO 27001). Na realidade, 13 dos 34 objetivos de controle de alto nvel so derivados diretamente do ITIL Service Support e Service Delivery.

2. CobiT

Planejamento Estratgico da Segurana da Informao

31

Em funo da sua larga abrangncia e tambm porque est baseado em muitas prticas existentes, o CobiT pode agir como um integrador que traz prticas dispersas debaixo de um modelo nico, ajudando a alinhar atividades com os objetivos do negcio. Orientado para governana de TI, prov um modelo amplo e genrico, o que o torna aplicvel na maioria das organizaes. Podem ser usados outros padres que cubram reas especficas com mais detalhe, como ITIL e ISO 27001, e que, em conjunto com o CobiT, permitem criar uma melhor orientao a resultados.

O ITIL prov diretrizes para melhores prticas de processos de ITSM (ou gerenciamento de servios de TI) para melhor alinhar a TI aos negcios. O CobiT ajuda a organizao a moldar os processos de ITIL s suas necessidades e metas, alm de ajudar a estabelecer um ponto de incio e um para o fim; ou seja, avalia onde a organizao est agora e onde ela quer chegar. Sabendo-se estas metas, ento, criar ou desenvolver as atividades para atingir esse objetivo. 3.1. ITIL viso geral O ITIL pode ser definido como um guia para as melhores prticas dos processos de TI. Desenvolvido na dcada de 1980 pela OGC (Office of Government Commerce), uma agncia do governo britnico, o ITIL define processos em alto nvel, deixando para as organizaes a tarefa de implantar os processos da maneira mais satisfatria s suas necessidades. O ITIL tem se tornado um padro mundial de fato, desde que milhares de organizaes adotaram este guia como modelo de gesto de TI. A principal contribuio do ITIL promover o alinhamento de TI ao negcio. O ITIL define qualidade de servio como objetivo e promove o alinhamento entre os servios a serem entregues e as necessidades atuais do negcio. Organizaes que queiram certificar suas reas de TI em gesto de processo podero faz-lo por meio do ISO 20000, baseado no ITIL. Embora o ITIL tenha uma cobertura abrangente, seu foco principal o ITSM. O ITIL prov um modelo compreensivo, consistente e coerente de melhores prticas para o ITSM e seus processos relacionados, promovendo foco na qualidade, visando alcanar efetividade empresarial e eficincia no uso de sistemas de informao.

3. ITIL

4. CobiT e ITIL agregando resultados


4.1. Combinando ITIL e CobiT para atingir os desafios dos negcios As reas de TI esto cada vez mais sob crescente presso para alinhar-se s metas empresariais de suas organizaes. Desafio que pode estar sob a presso de atender a regulamentaes como a lei SOX e Basilia II. Obter esta conformidade requer forte capacidade de governana, com evidncias claras para auditores externos. Em virtude de representar um papel to importante para os negcios, a rea de TI se v cada vez mais comprometida a prover os meios de demonstrar essa capacidade de responder a estes desafios. Para tal, confiam em diretrizes como o ITIL e o CobiT para ajudar a entender e enderear estes desafios. Este tpico discute como ITIL e CobiT podem ser usados em conjunto com uma breve avaliao sobre ambos e uma anlise de sua complementaridade. Tanto ITIL quanto CobiT permitem que as organizaes alcancem trs objetivos: Por meio do uso de melhores prticas, prover gerenciamento por processos alm de gerenciar TI por meio de uma perspectiva empresarial focada em resultado e conformidade; Foco em processos com metas claras, baseado nos objetivos de negcios da organizao e provendo recursos que permitam a medio deste progresso; Assegurar governana efetiva de TI ao nvel de controle de processos e permitindo TI demonstrar que atende ou excede os requisitos estipulados pela rea de negcios ou por regras externas TI. Porm, h certa confuso nas reas de TI sobre estes modelos. Alguns pensam que eles so duas alternativas para uma mesma meta, enquanto outros pensam que eles so mutuamente exclusivos. Na realidade, eles

32

so altamente complementares e juntos provem muito mais valor do que se usados separadamente. O CobiT esboa o que voc precisa fazer para enfrentar estes desafios, enquanto o ITIL mostra como chegar l. 4.2. Combinao de modelos Organizaes que querem adotar o ITIL precisam estruturar um modelo para a governana efetiva de TI. O CobiT prov um modelo amplo de governana, que inclui diretrizes para ajudar a estruturar a rea de TI para as exigncias organizacionais. O CobiT tambm prov um mecanismo para medir a capacidade da atividade (pessoas, processos e tecnologia) para alcanar um resultado que satisfaa as exigncias organizacionais, por medir seu desempenho. Embora o CobiT seja orientado a processos de TI, no inclui as atividades ou etapas de processos. Focaliza sobre o que a organizao precisa fazer em lugar de como fazer isto. focado nas exigncias empresariais e prov orientao do que necessrio para satisfazer estas exigncias. Por outro lado, o ITIL define as melhores prticas dos processos para o ITSM e como chegar l. Focaliza em mtodos e define um jogo mais inclusivo de processos que o CobiT, provendo um guia para a construo destes processos. CobiT e ITIL provem uma excelente combinao para ajudar s organizaes a gerenciar TI a partir de uma perspectiva de negcios, em um modelo conhecido como Gerenciamento de Servios de Negcios (Business Service Management, ou BSM). Repetindo: o ITIL prov diretrizes para melhores prticas de processos de ITSM para melhor alinhar TI com os negcios. O CobiT ajuda a organizao a moldar os processos de ITIL s suas necessidades e metas. Ajuda a organizao a estabelecer um ponto de incio e um para o fim; ou seja, avaliando onde a organizao se encontra e onde quer chegar. Sabendo-se estas metas, criar ou desenvolver as atividades para atingir esse objetivo. O CobiT tambm prov um mecanismo efetivo para gerenciar e medir o progresso da implantao dos processos do ITIL, ajudando a organizao a entender seus objetivos, alm de medir o progresso para atingi-los, em melhoria contnua uma das maiores contribuies de projetos baseados no ITIL. Para maior proveito, sugerido, inclusive, o uso do documento Alinhando CobiT, ITIL, ISO 2000 e ISO 27001 para Gerenciamento dos Negcios (Aligning CobiT, ITIL, ISO 20000, and ISO 27001 for Business Benefit Management Summary), criado pelas entidades ITGI (IT Governance Institute), OGC (Office of Government Commerce), itSMF (IT Service Management Forum) e BSI (British Standards Institution), que apresenta um guia sobre como implementar melhor a combinao do CobiT, ITIL e srie ISO 27000.

H mais de uma dcada, o COSO (Committee of Sponsoring Organizations of the Treadway Commission) publicou a obra Internal Control Integrated Framework para ajudar s organizaes a avaliar e aperfeioar seus sistemas de controles internos. Desde ento, a referida estrutura foi incorporada em polticas, normas e regulamentos adotados por milhares de organizaes para controlar melhor suas atividades, visando o cumprimento dos objetivos de negcio estabelecidos. Nos ltimos anos, intensificou-se o foco e a preocupao com a gesto de riscos e tornou-se cada vez mais clara a necessidade de uma estratgia slida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um projeto com esta finalidade e solicitou PricewaterhouseCoopers que desenvolvesse uma estratgia de fcil aceitao e utilizao pelas organizaes para avaliar e melhorar o prprio gerenciamento de riscos. O perodo de desenvolvimento desta estrutura foi marcado por uma srie de escndalos e quebras de negcios, de grande repercusso, que gerou prejuzos significativos a investidores, empregados e outras partes interessadas. Na esteira destes eventos, vieram solicitaes de melhoria dos processos de governana corporativa e gesto de riscos, por meio de novas leis, regulamentos e de padres a serem seguidos. Tornou-se ainda mais necessria uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os princpios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientao claros. O COSO de opinio que o documento Gerenciamento de Riscos Corporativos Estrutura Integrada vem para preencher esta lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizaes, bem como por todas as partes interessadas. Nos Estados Unidos, entre as consequncias, destacam-se a Lei SOX, de 2002, e a

5. COSO

Planejamento Estratgico da Segurana da Informao

33

legislao semelhante que est sendo promulgada ou analisada em outros pases. Esta lei amplia a exigncia de que as companhias que negociam aes em bolsas de valores norte-americanas mantenham sistemas de controles internos, demandem a certificao da administrao e contratem os servios de auditores independentes para atestar a eficcia dos referidos sistemas. A obra Internal Control Integrated Framework, que vem sendo submetida ao teste do tempo, serve como norma de ampla aceitao para o atendimento dos requisitos de comunicao. A obra Gerenciamento de Riscos Corporativos Estrutura Integrada amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema, mais abrangente, de gesto de riscos corporativos, cuja estrutura proposta, embora no tenha por meta substituir a estrutura de controles internos das organizaes, incorpora a estrutura de controles internos em seu contedo. Alm disso, poder ser por elas utilizada, tanto para atender s suas necessidades de controles internos quanto para adotar um processo completo de gesto de riscos. A premissa inerente ao gerenciamento de riscos corporativos que toda organizao existe para gerar . valor s partes interessadas (donos, acionistas, investidores e controladores). Todas as organizaes enfrentam as incertezas do mercado onde atuam e o desafio de seus administradores determinar at que ponto pode aceitar esta incerteza e definir como ela pode interferir no esforo para gerar valor s partes interessadas. As incertezas representam os riscos e as oportunidades de negcio, com potencial para destruir ou agregar valor. A gesto de riscos corporativos possibilita aos administradores tratar com eficcia as incertezas, isto , os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor maximizado quando a organizao estabelece estratgias e objetivos para alcanar o equilbrio . ideal entre as metas de crescimento e de retorno de investimentos, considerando os riscos a elas associados, e para explorar os seus recursos com eficcia e eficincia na busca dos objetivos da organizao. O gerenciamento de riscos corporativos tem por finalidade: Alinhar o apetite a risco com a estratgia adotada: os administradores avaliam o apetite a risco da organizao ao analisar as estratgias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar estes riscos; Fortalecer as decises em resposta aos riscos: o gerenciamento de riscos corporativos possibilita o rigor na identificao e na seleo de alternativas de respostas aos riscos como evitar, reduzir, compartilhar e aceitar os riscos; Reduzir as surpresas e prejuzos operacionais: as organizaes adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuzos associados; Identificar e administrar riscos mltiplos e entre empreendimentos: todo empreendimento enfrenta uma variedade de riscos que podem afetar diferentes reas da organizao. A gesto de riscos corporativos possibilita uma resposta eficaz a impactos interrelacionados e, tambm, respostas integradas aos diversos riscos; Aproveitar oportunidades: pelo fato de considerar todos os eventos em potencial, a organizao posiciona-se para identificar e aproveitar as oportunidades de forma proativa; Otimizar o capital: a obteno de informaes adequadas a respeito de riscos possibilita administrao conduzir uma avaliao eficaz das necessidades de capital como um todo e aprimorar a alocao deste capital. Estas qualidades, inerentes gesto de riscos corporativos, ajudam os administradores a atingir as metas de desempenho e de lucratividade da organizao, evitando a perda de recursos. A gesto de riscos corporativos contribui para assegurar comunicao eficaz e o cumprimento de leis e regulamentos, bem como evitar danos reputao da organizao e suas consequncias.

O CBK (Common Body Of Knowledge) uma compilao feita pela ISC2 (International Information Systems Security Certification Consortium) do conhecimento relativo rea de segurana da informao em dez domnios distintos, que compreendem desde a segurana fsica at a anlise de risco. A ISC criou tambm um

6. CBK

34

programa de treinamento e certificao do profissional de segurana, chamado CISSP (Certified Information Systems Security Professional).

7. Associaes
7.1. ISACA A ISACA (Information Systems Audit and Control Association) uma associao internacional formada por profissionais que atuam nas reas de auditoria de sistemas, segurana da informao e, principalmente, governana de TI. Iniciou suas atividades em 1967, com um pequeno grupo de auditores que atuavam em organizaes nas quais os sistemas informatizados comeavam a cada vez mais desempenhar operaes crticas. Os associados da ISACA (mais de 86 mil em todo o mundo) so caracterizados por sua diversidade. Estes membros vivem e atuam em mais de 160 pases e em diferentes posies relativas tecnologia da informao (auditores de sistemas, consultores, profissionais de segurana da informao, CIOs, professores e pesquisadores, dentre outros). importante notar que a maioria dos associados desempenha suas funes em organizaes de todos os segmentos econmicos indstria, comrcio, finanas e governo. Esta , positivamente, a origem da fora e expressividade da ISACA (www.isaca.org). As experincias adquiridas e trocadas entre os associados o fator mais importante da associao, que possui uma base de conhecimento muito rica e diversificada disponvel aos associados. Esta representatividade da ISACA tambm reside na sua abrangncia global com mais de 175 captulos estabelecidos em mais de 70 pases. Estes captulos provem s suas comunidades oportunidades de treinamentos, compartilhamento de recursos, suporte, network profissional e facilidade de interagir pelos cinco continentes e uma srie de benefcios em nvel local e internacional. Mundialmente, a ISACA organiza, patrocina e controla a certificao para profissionais que atuam nas reas de auditoria de sistemas (CISA Certified Information Systems Auditor), de segurana da informao (CISM Certified Information Security Manager) e de Governana de TI (CGEIT Certified in the Governance of Enterprise IT). Estas certificaes so internacionais, reconhecidas e altamente valorizadas no mundo inteiro, constituindo hoje uma comunidade de mais de 38 mil profissionais certificados. No Brasil, a ISACA (www.isaca.org.br) possui captulos em So Paulo, Rio de Janeiro, Braslia e em formao em outras regies, com uma rede de mais de 450 associados e em ascenso. 7.2. ISSA A ISSA (Information Systems Security Association) uma associao de profissionais de segurana da informao presente hoje em 24 pases, com mais de 13 mil associados. Seu objetivo estimular o relacionamento entre os associados e trazer benefcios a estes por meio de parcerias, eventos, treinamentos e contedo. Uma de suas caractersticas ser focada especificamente em segurana da informao, embora a associao possua programas diversificados que beneficiam desde o tcnico iniciante at o executivo tomador de decises das organizaes. Da ISSA nasceu a ISC2, responsvel pela certificao de Profissionais SSCP (Systems Security Certified Practitioner), voltada certificao tcnica de profissionais de segurana e CISSP (Certified Information Systems Security Professional), uma das mais respeitadas certificaes de segurana no mundo, baseada nos dez domnios do CBK, que cobrem praticamente todos os tpicos referentes segurana da informao. Para obter a certificao CISSP, necessrio comprovar experincia em pelo menos um dos domnios e realizar uma prova com 250 questes sobre os dez domnios em um prazo mximo de seis horas. No Brasil, a ISSA possui um captulo regional que pode ser acessado pelo endereo www.issabrasil.org e a ISC2 pode ser acessada pelo endereo www.isc2.org.

Planejamento Estratgico da Segurana da Informao

35

Captulo 8

Gerenciamento de mudanas
Ricardo Castro, CISA CFE Neste captulo, trataremos das questes que envolvem a gesto de mudanas, os desafios relacionados a este processo crtico da tecnologia da informao (TI), como dois dos mais conhecidos modelos de melhores prticas tratam o tema e como possvel avaliar se um processo de gesto de mudanas alinhado ao planejamento estratgico de segurana da informao (PESI) entrega, de fato, valor ao negcio.

Um percentual significativo dos problemas que ameaam a disponibilidade, a integridade e a aderncia regulatria nos servios crticos da TI tem sua origem na execuo inadequada e pouco planejada de mudanas. Desta forma, ao invs de voltar sua ateno na gesto de incidentes, que trata do problema depois de seu aparecimento, a TI deve olhar, de forma preventiva, para a gesto de mudanas para evitar a ocorrncia de incidentes. Na verdade se os processos de gesto de mudanas no so estruturados e constantemente aprimorados (no melhor entendimento do modelo PDCA Plan, Do, Check and Action, ou planejamento, execuo, verificao e ao), provavelmente o departamento de TI entrar em um ciclo vicioso, onde parte dos incidentes de segurana ser causada por aes oriundas da prpria TI; e mesmo as aes corretivas podem ser a origem de novos incidentes. Segundo o ITIL (Information Technology Infrastructure Library), os principais problemas relacionados a este processo so: A falta de informao para anlise de riscos o surgimento de situaes no previstas decorre da falta de uma base de configurao atualizada com as informaes necessrias para fazer uma adequada anlise de impacto; A falta de integrao entre processos a utilizao de uma ferramenta adequada apia o controle de mudanas e a sua integrao aos demais processos auxilia o planejamento da mudana; Priorizao de todas as mudanas as mudanas devem ser planejadas e agendadas no tempo correto e de acordo com as necessidades de negcio. Devem ser tratadas apenas como mudanas urgentes quelas que implicam na indisponibilidade atual ou imediata de um servio. A cultura da empresa influenciar na adeso e implantao deste processo e seus controles. O fator humano essencial na mudana de paradigma. importante fazer com que a equipe em TI esteja consciente dos efeitos positivos do processo como um todo. A falta de comprometimento da equipe um dos pontos crticos em se tratando da gesto de mudanas. Da mesma forma, os usurios e a alta administrao precisam estar conscientes de que o planejamento e os controles no so inimigos da flexibilidade, mas contribuem para um ambiente operacional equilibrado, estvel e disponvel. Para colocar um pouco mais de ordem neste cenrio extremamente desafiador, podemos lanar mo dos modelos de melhores prticas do CobiT 4.1, mais especificamente no processo AI6 Gerenciar mudanas.

1. Mudanas como causas de incidentes

As exigncias pela excelncia nos nveis de servios para alcanar os objetivos do negcio so crescentes. Derivado desta necessidade, possvel perceber a rea de TI em constante mudana para atender a demanda da evoluo do cenrio de negcios, implantando novas solues, aumentando a capacidade e criando novos controles. Como fazem os tubares, preciso estar sempre em movimento, atento e, principalmente, sem se deixar levar pelo pnico. Planejar, ponderar e agir com lucidez so requisitos para que decises emotivas no nos levem ao fracasso.

2. Desafios na gesto de mudana

36

A princpio todas as mudanas, previstas ou no, seriam contempladas em um processo de gesto de mudanas. Contudo, na maioria das vezes impraticvel tratar todas as mudanas desta forma. Sinteticamente, podemos dizer que as principais atividades que envolvem a gesto de mudanas so:

RFC

Registro e Aceite

Classificao

Aprovao e Planejamento

Implementao

Avaliao e Encerramento

Monitorao e direcionamento do processo de mudana; Registro, avaliao e aceite ou rejeio das requisies de mudana (request for change ou, simplesmente, RFCs) recebidas; Classificao e priorizao das mudanas junto aos comits de negcio competentes para aprovao das RFCs; Coordenao do desenvolvimento e implantao da mudana; Avaliao dos resultados da mudana e encerramento do processo de mudana em caso de sucesso. Todas as mudanas, incluindo aplicao de patches e manutenes emergenciais, sejam relacionadas infraestrutura ou aplicaes em ambiente de produo, devem ser formalmente geridas de maneira controlada. As mudanas (incluindo de procedimentos, processos, sistemas e parmetros de servio) so registradas, avaliadas e autorizadas antes de sua implantao e revisadas frente aos benefcios planejados. Estas etapas garantem certo conforto de que impactos negativos no afetem dois dos principais pilares da segurana da informao: a disponibilidade e a integridade do ambiente de produo. A gesto de mudanas no pode ser uma cruzada individual da TI. O envolvimento e o apoio da rea de negcio so vitais para o sucesso desta empreitada. Desde o primeiro momento, comits de negcio devem ser formados visando no s a participao das principais reas da empresa, mas a formao de uma cultura de gesto recursos e governana da TI. Outro suporte altamente recomendvel a aplicao de um modelo de maturidade na indicao dos nveis de formalizao e automatizao das atividades.

Segundo o modelo de boas prticas e controles da ISACA, os controles sobre o processo da TI de gerir mudanas visam, de forma direta, a gerao de solues que reduzam defeitos e retrabalho, requisitos alinhados as estratgias de negcio de qualquer companhia. Para isso, preciso focar nos controles relacionados a avaliaes de impacto, na autorizao e implantao de todas as mudanas infraestrutura da TI e na implantao de solues tcnicas. Estas aes minimizam erros originados de requisies de mudana incompletas ou podem chegar a suspender uma implantao de mudanas no autorizadas. Estes objetivos, contudo, so alcanados pela definio e comunicao de procedimentos de mudana, incluindo-se a as mudanas emergenciais. Soma-se a este procedimento o desenvolvimento e aplicao de mtodo para avaliao, priorizao e autorizao de mudanas e, por fim, o rastreamento de status e reporte das mudanas. O processo em si de gesto de mudanas subdividido em cinco atividades, a saber: 1) Padres e procedimentos de mudana: estabelecimento de procedimentos formais de mudana para gerir de forma padronizada todas as solicitaes (incluindo manuteno e patches) para mudanas em aplicaes, procedimentos, processos, sistemas e parmetros de servio, em suas respectivas plataformas. 2) Avaliao de impacto, priorizao e autorizao: avaliao de todas as requisies de mudana (RFCs) de forma estruturada para determinar o impacto nos sistemas em operao e suas funcionalidades. Alm disso, garantir que todas as mudanas sejam categorizadas, priorizadas e, principalmente, autorizadas. 3) Mudanas Emergenciais: estabelecimento de um processo para definio, identificao, teste, documentao, avaliao e autorizao de mudanas emergenciais que, eventualmente, no seguiro o processo prestabelecido de mudanas. 4) Rastreamento de status das mudanas e reporte: estabelece um sistema, automatizado ou no, para rastreamento e reportado as mudanas rejeitadas, comunicao do status das alteraes aprovadas, em ava-

3. Gesto de mudanas segundo o CobiT

Planejamento Estratgico da Segurana da Informao

37

liao, em andamento e das mudanas finalizadas. Ter segurana de que toda as alteraes aprovadas foram implementadas conforme planejado. 5) Encerramento e documentao: independente da mudana implementada, deve-se atualizar os sistemas relacionados, bem como a documentao do usurio e procedimentos. Espera-se que, fruto da implantao destas atividades, tenha-se os seguintes resultados: Uma abordagem padronizada e consensual para avaliao de impactos de forma eficiente e eficaz; Expectativas formalmente definidas para impactos de mudanas, emergenciais ou no, baseadas nos riscos do negcio e em medies de desempenho; Procedimentos consistentes de mudana, emergenciais ou no; Uma abordagem padronizada e consensual para documentao das mudanas; Mudanas revisadas e aprovadas de forma consistente e coordenada; Procedimentos consistentes para mudanas e documentao. Como em qualquer processo, vital que todas as atividades gerem um resultado formal, rastrevel e auditvel.

O processo de gesto de mudanas tem impactos em virtualmente todos os recursos da TI, como os humanos, infra-estrutura, informaes ou aplicaes. Da mesma forma, aspectos de eficincia, eficcia, integridade, disponibilidade e confiabilidade das informaes (este ltimo, de forma secundria) podem ser afetados negativamente caso um processo formal e bem controlado no esteja implantado. Algumas das principais ameaas TI que podem ser controladas so: Autorizao de acesso especial no-revogado adequadamente; Efeitos adversos na capacidade e desempenho da infraestrutura; Mudanas no registradas ou rastreadas; Documentao de configurao que no reflete as configuraes atuais do sistema; Falta de aderncia s normas e polticas internas; Falta de habilidade na resposta as necessidades emergenciais de mudana; Alocao incorreta de recursos; Dependncia crescente em pessoas; Probabilidade crescente de que mudanas no autorizadas so introduzidas nos sistemas-chave da companhia; Alocao insuficiente de recursos; Controle insuficiente sobre as mudanas emergenciais; Falta de documentao dos processos de negcio; Falta de gesto na priorizao das mudanas; Perda do rastreamento das mudanas; Disponibilidade de sistema reduzida; Mudanas no autorizadas implantadas, resultando em comprometimento da segurana e acesso no autorizado s informaes da companhia; Mudanas no detectadas e no autorizadas em ambiente de produo.

4. Mantendo os riscos sob controle

A eficincia e a eficcia deste processo podem ser medidas pela implantao de alguns indicadores de desempenho, a saber: Nmero de falhas graves ou erros de dados causados por uma especificao imprecisa ou uma avaliao de impacto incompleta; Volume de retrabalho em aplicaes ou infraestrutura causado pela especificao inadequada de mudanas; Percentual de mudanas que seguem o processo formal de controle de mudanas.

5. Medindo a eficincia dos controles

38

Um processo fruto de entradas e sadas. Ao se implantar um processo para gesto de mudanas, quais seriam as principais fontes dentro da TI e do negcio a serem consideradas? Considerando o CobiT como modelo, consulte os processos PO1, PO4, PO6, PO6 ,PO7, PO8, PO9, PO10, DS3, DS5, DS8, DS9 e DS10. Leitura recomendada: CobiT Mapping Documents. Disponvel em: http://www.isaca.org/cobitmapping.

6. Pergunta para pensar

Planejamento Estratgico da Segurana da Informao

39

Captulo 9

Aspectos jurdicos do PESI2


Renato Opice Blum Juliana Abrusio

No mundo moderno, o bem mais valioso a informao. As empresas esto preocupadas com o chamado capital intelectual. Tudo o que se quer evitar a ocorrncia do dano, aqui entendido como qualquer evento que atinja a propriedade imaterial da empresa, causando-lhe prejuzos. Muitas vezes tais leses so irreparveis, vez que se est diante de um patrimnio que no comporta a simples devoluo da coisa mvel. Diante de tal complicao, questiona-se a qual tutela legal as empresas podem recorrer para se protegerem da melhor forma possvel. E mais, quais os procedimentos jurdicos devem ser incorporados ao mundo corporativo visando no somente prevenir o evento danoso, mas, tambm, municiar a empresa de provas contra futuros processos judiciais. preciso adotar um Plano Estratgico da Segurana da Informao (PESI) para garantir o binmio preveno e reao. O primeiro para evitar a ocorrncia de fraudes, invases, descuido de funcionrios, condutas de m-f dos insiders, sabotagem, concorrncia desleal, fraudes eletrnicas etc. O segundo, como dito, para cercar a parte lesada no caso, a empresa que j sofreu o ataque de todas as provas possveis para o processo judicial. H, ainda, um terceiro requisito, no menos importante, que, ao lado do binmio preveno e reao, essencial para a vida de uma empresa bem preparada em sede de segurana da informao, ou seja, a condio em que se encontra toda estrutura de tecnologia da informao da empresa, para, se preciso for, perici-la. dizer, a condio da empresa em responder a incidentes e gerar provas diante de tais incidentes, de modo a coletar as provas relacionadas corretamente, para que no sejam desconsideradas no futuro.

1. Introduo

As questes relacionadas segurana da informao conquistaram lugar de destaque nas estratgias corporativas em mbito mundial. Proteger e conservar a informao das inmeras ameaas tornou-se essencial para garantir a continuidade do negcio, minimizando riscos e maximizando o retorno sobre os investimentos. Diversas normas regem os procedimentos relativos segurana da informao. Entre elas, a ABNT ISO/IEC 27001, ABNT ISO/IEC 27002, e outras tais como a Basilia II e a Sarbanes-Oxley. Porm, no podemos esquecer que o universo corporativo est alocado em um Estado de direito, onde o exerccio aos direitos sociais e individuais assegurado, como valores supremos da sociedade, por meio de vasta legislao. A adoo e a implantao do Cdigo de prticas para a gesto da segurana da informao devem estar obrigatoriamente alinhadas s leis, estatutos, regulamentaes e obrigaes contratuais inerentes,3 sob pena de sofrer as sanes legalmente previstas. Em que pese referidas prticas estarem restritas ao universo corporativo, em hiptese alguma se deve deixar de considerar os aspectos legais envolvidos.

2. A estratgia da organizao frente s normas de segurana

A primeira grande preocupao no assunto a conformidade com a legislao ptria vigente, incluindo todas as leis trabalhistas, civis, criminais e administrativas. preciso repelir a violao de qualquer legislao, bem como de estatutos, regulamentaes e obrigaes contratuais inerentes aos requisitos de segurana da
2 3

3. Conformidade com requisitos legais

Plano Estratgico da Segurana da Informao.

Legislao: conjunto de leis decretadas ou promulgadas em um pas, disciplinando matria em carter geral ou especfico. Ex.: Constituio Federal, Cdigo Civil, Cdigo Penal, Consolidao das Leis do Trabalho, Lei do Software, Lei da Propriedade Industrial. Estatutos: complexo de regras estabelecidas e observadas por uma instituio jurdica a serem adotadas como lei orgnica, que fixam os princpios institucionais de uma corporao pblica ou privada. Ex.: Estatuto Social, Estatuto dos Funcionrios Pblicos. Regulamentos: conjunto de normas ou regras, em que se fixam o modo de direo ou conduo de uma instituio ou associao. Ex.: Regulamento de Segurana da Informao. Obrigaes Contratuais: obrigaes oriundas de acordo de duas ou mais pessoas fsicas ou jurdicas para entre si, constituir, regular ou extinguir uma relao jurdica. Ex.: Contrato de Compra e Venda, Contrato de Trabalho, Contrato com Empresas Terceirizadas.

40

informao. Anote-se, ainda, que extremamente necessria a interligao entre o setor de auditoria e a rea jurdica para terem a tranqilidade de atuar conforme os ditames legais, sem incorrer em qualquer irregularidade. O tipo de controle sugerido para a identificao da legislao vigente fundamentado na verificao da documentao. A norma ABNT ISO/IEC 27002 preconiza que todos os requisitos estatutrios, regulamentares e contratuais relevantes, bem como o enfoque da organizao para atender tais requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao.

A organizao deve aplicar, internamente, um documento apto a render-lhe a maior segurana possvel, considerando os elementos de preveno, reao e condio forense. Tal documento conhecido como Regulamento Interno de Segurana da Informao (RISI), que constitui um conjunto de normas e regras de segurana da informao, que visam possibilitar o compartilhamento de informaes dentro da infraestrutura tecnolgica da organizao, por meio de seus recursos computacionais. Por informao deve ser entendido todo o patrimnio que se refere cultura da organizao ou ao seu negcio, podendo elas ser de carter comercial, tcnico, financeiro, legal, recursos humanos, ou de qualquer outra natureza que tenham valor para organizao e que se encontrem armazenadas em seus recursos computacionais, com trfego dentro da sua infraestrutura tecnolgica. A eficcia do regulamento depende da vinculao de todas as pessoas que mantm contato com a organizao, como empregados, prestadores de servios, colaboradores.4 Assim, dentro do regulamento sero inseridas clusulas relativas aos usurios da rede; senhas e amplitude de acesso a arquivos; controle de ameaas (vrus, crackers etc.); uso e instalao de software e hardware; utilizao de equipamentos (computadores, impressoras, notebooks, smartphones etc.); procedimentos de acesso internet e ao correio eletrnico; dentre outras.

4. Regulamento Interno de Segurana da Informao

O Termo de Uso de Segurana da Informao (TUSI) tambm deve ser utilizado pela organizao em conjunto com o RISI. O TUSI consiste em um compromisso assumido, individualmente, de forma expressa e escrita, pelos empregados, prestadores de servios ou colaboradores, declarando estarem subordinados ao cumprimento das atribuies e responsabilidades advindas do RISI. O TUSI um documento importante medida que garante a cincia das partes e poder ser um excelente meio de prova, j que a pessoa se compromete por escrito. Ambos os documentos (RISI e TUSI) devem ser feitos com base nas mais atualizadas e confiveis diretrizes de segurana mundiais, em especial a NBR ISO IEC 27002 e NBR ISO IEC 27001; na reforma do Brgerliches Gesetzbuch (BGB) envolvendo documentos eletrnicos; no Data Protection Working Party, da Unio Europia, no Statuto dei Lavoratori Italiani; Codice della Privacy (Itlia); Diretiva 2002/58/CE; Decreto Legislativo Italiano n.196 de 30 de junho de 2003 (Misure di sicurezza) e outros. O RISI e o TUSI so os dois principais instrumentos jurdicos que compem o PESI. Tais instrumentos resguardam no somente a organizao, como tambm os administradores, os empregados e terceiros envolvidos em todas as esferas do direito.

5. Termo de Uso da Segurana da Informao

O monitoramento de e-mails pode ser considerado como vlido, desde que se atente a alguns requisitos. O Tribunal Superior do Trabalho, bem como os Tribunais Regionais do Trabalho brasileiros, vm cristalizando a jurisprudncia ptria no sentido de permitir o monitoramento dos meios eletrnicos da corporao para verificao do mau uso dos recursos de processamento da informao, o que possibilita, inclusive, a dispensa
4

6. Monitoramento de e-mails

Empregados: considerando os prepostos da empresa que mantm vnculo empregatcio (CLT).

Prestadores de servios: tendo em vista os prepostos de empresas contratadas, ou autnomos, que, de qualquer forma, estejam alocados na prestao de algum servio em favor da empresa, por fora de contrato de prestao de servios, sem qualquer vnculo empregatcio. Colaboradores: outras pessoas como estagirios, cooperados e quaisquer terceiros que no se enquadrem no conceito de empregado ou prestador de servios, mas que, direta ou indiretamente, exeram alguma atividade dentro ou fora da empresa.

Planejamento Estratgico da Segurana da Informao

41

motivada por justa causa, inexistindo expectativa de privacidade por parte dos empregados da organizao. Acertadamente e a fim de evitar maiores discusses, salutar que todos os usurios estejam conscientes do escopo de suas permisses de acesso e da monitorao realizada, o que pode ser viabilizado por meio de registro de autorizaes escritas, devidamente assinadas por funcionrios, fornecedores e terceiros envolvidos na organizao, o que, mormente, denominado de Termo de Uso dos Sistemas de Informao. Recomenda-se, ainda, a apresentao de mensagem no momento da conexo inicial, advertindo ao usurio que o recurso de processamento da informao utilizado de propriedade da organizao e que no so permitidos acessos no-autorizados, necessitando de confirmao do usurio para o prosseguimento do processo de conexo.

O Cdigo Civil Brasileiro, em seu art. 186, prev a responsabilidade civil para aquele que viola direito ou causa dano a outrem, ainda que exclusivamente moral, por ao ou omisso voluntria, negligncia ou imprudncia, configurando-se ato ilcito, ficando obrigado a repar-lo independentemente de culpa, quando a atividade normalmente desenvolvida pelo autor do dano implicar por natureza em risco para outrem (art. 927, CC). Ainda na mesma trilha de entendimento, referido diploma legal preconiza, por meio do art. 1.016, a responsabilidade solidria dos administradores perante a sociedade e terceiros prejudicados no desempenho de suas funes. Tais dispositivos demonstram de forma evidente a necessidade de resguardar juridicamente a corporao na gesto da segurana da informao, considerando-se que o objetivo maior das corporaes na adoo da norma a minimizao dos riscos inerentes e no a gerao de mais riscos. Especificamente, em relao aos gestores da segurana da informao, estes esto ligados ao complexo de atividades relacionadas s diversas formas de utilizao dos recursos proporcionados pelo computador, e como conseqncia, so responsveis por proporem solues capazes de maximizar o uso das ferramentas tecnolgicas, bem como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a organizao, seja com relao perda de dados, vrus, entre outros. O gestor tem o dever de promover o processo de conscientizao e treinamento. Assim, recomendvel que elabore uma espcie de relatrio com a descrio da atual situao da empresa, no que tange tecnologia empregada. Alis, a Resoluo 3.380 do BACEN, de 2006, inauguradora da primeira fase da adoo da Basilia II no Brasil, acentua a preocupao com a elaborao de relatrios, contendo as questes crticas das instituies financeiras. sabido que ningum pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o gestor dever estar sempre atualizado acerca dos aspectos jurdicos que envolvem sua profisso. muito importante que exista este tipo de conhecimento, pois o gestor de segurana poder ser responsabilizado, civil e criminalmente, por seus atos, seja em virtude da conivncia com certos comportamentos, ou ainda, por no ter agido com o cuidado e diligncia do que se espera normalmente do profissional. Ademais, o empregado, em razo do cargo ou funo que ocupa, poder tomar conhecimento de informaes sigilosas, como componentes de frmulas criadas por empresas que elaborem produtos; detalhes sobre a vida de clientes que sejam partes em demandas judiciais; dados cadastrais de clientes; planejamento para desenvolver a atividade comercial durante o ano; entre outras. Por tais motivos, alguns dispositivos do Cdigo Penal podero ter incidncia, conforme listado abaixo: Divulgao de segredo Art. 153 Divulgar algum, sem justa causa, contedo de documento particular ou de correspondncia confidencial, de que destinatrio ou detentor, e cuja divulgao possa produzir dano a outrem: Pena deteno, de um a seis meses, ou multa. 1 Somente se procede mediante representao. 1-A. Divulgar, sem justa causa, informaes sigilosas ou reservadas, assim definidas em lei, contidas ou no nos sistemas de informaes ou banco de dados da Administrao Pblica:

7. Responsabilidades

42

Pena deteno, de 1 (um) a 4 (quatro) anos, e multa. 2 Quando resultar prejuzo para a Administrao Pblica, a ao penal ser incondicionada. Divulgao de segredo Art. 154 Revelar algum, sem justa causa, segredo, de que tem cincia em razo de funo, ministrio, ofcio ou profisso, e cuja revelao possa produzir dano a outrem: Pena deteno, de 3 (trs) meses a 1 (um) ano, ou multa. Pargrafo nico Somente se procede mediante representao. No obstante a isso, pode acontecer de um funcionrio acessar, sem a devida autorizao, documentos ou informaes confidenciais que no lhe seja permitido o conhecimento. Assim, ocorrer o descumprimento de ordens de seu empregador ou superior hierrquico, podendo o empregado ser demitido por justa causa em virtude de ato de indisciplina ou de insubordinao (artigo 482, alnea h da CLT). Ademais, o gestor pode se deparar com concorrncia desleal, que so as prticas antiticas ou ilegais no exerccio da atividade econmica, previstas no art. 1955 da Lei 9.279/96.

Em concluso s ponderaes legais colacionadas, recomenda-se que as principais posturas a serem adotadas pela organizao sejam: Divulgao de poltica de conformidades com direitos de propriedade intelectual, que contenha definio expressa sobre o uso legal de software. Ser adequado que a poltica mencione a legislao vigente sobre o tema; Aquisio de software somente por meio de fontes idneas para assegurar que o direito autoral no seja violado; Conscientizar os empregados por meio de polticas e adotar aes disciplinares em face dos que violarem tais polticas. Seria adequado que as aes disciplinares culminem at em demisso por justa causa; Manter o registro de ativos e identificar todos os possivelmente relacionados aos direitos de propriedade intelectual. Assim, deve-se verificar e registrar tudo dentro da organizao que esteja submetido legislao pertinente; Manter provas da propriedade de licenas, tais como contrato de licena, recibos, manuais, discos mestres; Implantao de controles para que o nmero de usurios permitidos seja compatvel com o nmero de licenas adquiridas; tal recomendao extrema importncia, haja vista o disposto na Lei n. 9609/98 (lei do software);
5 EArt. 195. Comete crime de concorrncia desleal quem: I publica, por qualquer meio, falsa afirmao, em detrimento de concorrente, com o fim de obter vantagem; II presta ou divulga, acerca de concorrente, falsa informao, com o fim de obter vantagem; III emprega meio fraudulento, para desviar, em proveito prprio ou alheio, clientela de outrem; IV usa expresso ou sinal de propaganda alheios, ou os imita, de modo a criar confuso entre os produtos ou estabelecimentos; V usa, indevidamente, nome comercial, ttulo de estabelecimento ou insgnia alheios ou vende, expe ou oferece venda ou tem em estoque produto com essas referncias; VI substitui, pelo seu prprio nome ou razo social, em produto de outrem, o nome ou razo social deste, sem o seu consentimento; VII atribui-se, como meio de propaganda, recompensa ou distino que no obteve; VIII vende ou expe ou oferece venda, em recipiente ou invlucro de outrem, produto adulterado ou falsificado, ou dele se utiliza para negociar com produto da mesma espcie, embora no adulterado ou falsificado, se o fato no constitui crime mais grave; IX d ou promete dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, faltando ao dever do emprego, lhe proporcione vantagem; X recebe dinheiro ou outra utilidade, ou aceita promessa de paga ou recompensa, para, faltando ao dever de empregado, proporcionar vantagem a concorrente do empregador; XI divulga, explora ou utiliza-se, sem autorizao, de conhecimentos, informaes ou dados confidenciais, utilizveis na indstria, comrcio ou prestao de servios, excludos aqueles que sejam de conhecimento pblico ou que sejam evidentes para um tcnico no assunto, a que teve acesso mediante relao contratual ou empregatcia, mesmo aps o trmino do contrato; XII divulga, explora ou utiliza-se, sem autorizao, de conhecimentos ou informaes a que se refere o inciso anterior, obtidos por meios ilcitos ou a que teve acesso mediante fraude; ou XIII vende, expe ou oferece venda produto, declarando ser objeto de patente depositada, ou concedida, ou de desenho industrial registrado, que no o seja, ou menciona-o, em anncio ou papel comercial, como depositado ou patenteado, ou registrado, sem o ser; XIV divulga, explora ou utiliza-se, sem autorizao, de resultados de testes ou outros dados no divulgados, cuja elaborao envolva esforo considervel e que tenham sido apresentados a entidades governamentais como condio para aprovar a comercializao de produtos. Pena deteno, de 3 (trs) meses a 1 (um) ano, ou multa. 1 Inclui-se nas hipteses a que se referem os incisos XI e XII o empregador, scio ou administrador da empresa, que incorrer nas tipificaes estabelecidas nos mencionados dispositivos. 2 O disposto no inciso XIV no se aplica quanto divulgao por rgo governamental competente para autorizar a comercializao de produto, quando necessrio para proteger o pblico.

8. Implementao

Planejamento Estratgico da Segurana da Informao

43

Proceder constantes verificaes para que somente sejam instalados produtos de software autorizados e licenciados na corporao; Criar normas para manuteno das condies adequadas de licenas; Adotar contratos para transferncia de software para terceiros; Utilizar ferramentas de auditoria adequadas; Identificar e respeitar termos e condies para software obtido a partir de redes pblicas; No duplicar, alterar para outro formato ou ainda extrair registros de filme ou udio alm do que permitido pela lei de direito autoral, qual seja, Lei n. 9610/98; No copiar livros, artigos ou outros documentos, fora dos padres admitidos pela Lei de Direitos Autorais n. 9610/98.

44

Captulo 10

Computao Forense
Giuliano Giova A informao est substituindo a autoridade. Peter Druker

Nada melhor do que comearmos esta rpida viagem no mundo da percia forense tendo como guia o professor Peter Druker, mente brilhante que nos explica os segredos que entrelaam poder e informao. Raramente houve poder maior do que aquele que emanava do fara. No era apenas um rei no Egito antigo, podia decidir sozinho o destino da nao e de cada um dos seus habitantes. Dono de autoridade absoluta e cercado por milhares de escravos, o fara era capaz de construir monumentos que assombraram o mundo, administrar sozinho a justia, desenvolver as cincias e conduzir os exrcitos; no bastasse isso, era considerado o verdadeiro e nico representante de Deus na terra. Exatamente nesse ponto, os ensinamentos de Druker nos ajudam a compreender que, por trs de tanto poder, . havia a posse e utilizao inteligente de informaes to importantes que seriam consideradas privilegiadas por qualquer bolsa de valores atual. O observador mais atento percebia que o poder dos faras vinha, de fato, dos seus sacerdotes, os verdadeiros conhecedores do sistema de construo das pirmides, da astronomia que trazia alimento e prosperidade ao prever secas e o momento para plantar e colher e, ainda, conhecedores da medicina que aliviava o sofrimento do povo. Os sacerdotes eram os nicos que sabiam ler escritos antigos sobre matemtica, qumica e posio dos astros. Guardies dos grandes segredos, eles interpretavam sonhos, dominavam magias que curavam ou amaldioavam e conduziam rituais. Assim, a felicidade e a prpria sobrevivncia do fara e do seu reino dependiam bem mais do conhecimento detido pelo sacerdote do que do poder absoluto do seu governante, ou seja, mesmo na antiguidade posse e utilizao da boa informao era mais importante do que apenas ser ungido como autoridade.

1. O poder do fara

Foram precisos alguns milhares de anos para que a humanidade conseguisse produzir mquinas eficazes para o tratamento de informaes. Nas dcadas de 1950 e 1960, imensos computadores, os famosos mainframes, ofereceram um novo tipo de magia sacerdotal: coletar e processar milhes de dados e fornecer servios de processamento de dados simultaneamente a legies de usurios. O Eniac, o System/360 da IBM e outros da Burroughs e HP forneceram a governos e empresas capacidade de atender cada vez mais clientes e processar mais servios, levando reduo de custos via ganhos de escala e, paulatinamente, substituio do trabalho braal por processos automticos, tendo o desemprego como efeito colateral. Nesta poca, as diretorias de informtica e O&M (organizao e mtodos) ostentavam o ttulo de mais poderosas, eleitas pontas de lana da alta administrao para modificar e desenvolver comportamentos na organizao, novas guardis da informao e entes responsveis por sua aplicao nas questes prticas da empresa, mostrando a cara do dono. Novamente, presenciamos o efeito Druker, pois vimos o poder dos conselhos e da presidncia executiva materializa-se pelas reas que dominam e aplicam as informaes relevantes. Como conseqncia, as reas de informtica e O&M inicialmente cresceram muito, com quadros que chegavam a centenas ou milhares de funcionrios, mas algum tempo depois no mais davam conta do recado. Acumulavam anos de backlog, enormes listas de servios pendentes sem previso razovel de atendimento, tornando-se mais um problema no desenvolvimento da empresa do que uma soluo confivel. A contrapartida veio naturalmente, ao longo dos anos 1970 e 1980, com o surgimento comercial do microcomputador, equipamento inicialmente desacreditado para aplicaes mais srias na empresa, mas que logo se imps ao trazer autossuficincia informtica aos usurios finais.

2. Milhares de anos depois

Planejamento Estratgico da Segurana da Informao

45

A despeito das previses catastrficas no quesito segurana da informao, pelo alto risco de perda ou cpia indevida dos dados, o novo equipamento pessoal multiplicou-se rapidamente porque os usurios sentiram-se livres para criar suas prprias aplicaes sem ter de negociar prioridades e prazos com a rea de desenvolvimento de sistemas. Usurios finais dominaram a tecnologia e desenvolveram seus prprios sistemas de pequeno e mdio porte, muitas vezes em Lotus 123, Excel, Access ou mesmo algum dialeto xBase. Gerentes de reas administrativas especializavam-se na tarefa de controlar e consolidar informaes. Muitas dessas aplicaes nasceram timidamente stand-alone e depois foram se integrando, entre si e com mainframes. O resultado no poderia ser outro: a partir do momento em que a integrao dos sistemas mostrou-se confivel, foram demitidos gerentes que se dedicavam a consolidar informaes operacionais das suas reas (vendas, compras, recursos humanos etc.) e repass-las aos colegas e superiores. Os sistemas integrados mostraram-se mais eficazes e confiveis do que as pessoas na tarefa de sincronizar metas organizacionais, reas funcionais e projetos, fortalecendo a adoo de estruturas matriciais em detrimento das puramente hierrquicas, e vindas de encontro a movimentos como rightsizing, downsizing e reduo de nveis hierrquicos. Nesta nova fase, o controle efetivo sobre as informaes relevantes da empresa moveu-se para as mos dos executivos responsveis pelo core business. Visivelmente, o centro do poder abandonou o CPD a partir do momento em que deixou de propor e tornar efetivos novos negcios que faziam a empresa galgar etapas e diferenciar-se no mercado. Salta aos olhos quando a rea de tecnologia mostra-se mera hospedeira e mantenedora de dados e software, travestida de coadjuvante focada apenas na tarefa de assegurar o nvel dos servios prestados. Perdeu a posio de lder e somente presta servios para os verdadeiros donos do poder, as reas fim da empresa. Chegamos, ento, aos anos 1990 e ao incio de um novo sculo presenciando algumas novas magias no jogo da informao e do poder. Computadores e redes de comunicao alcanaram desempenhos jamais imaginados. Sistemas tornaram-se flexveis e capazes de se ajustar ao desejo individual de cada usurio final, uma liberdade de escolha jamais vista. No apenas esvaram-se as previses catastrficas que gravavam sobre a cabea dos rebeldes que ousaram afastar-se das rigorosas normas, procedimentos e sistemas impostos pela cpula administrativa, como tambm se abriram inmeros novos horizontes na esteira da internet. O pndulo do poder desloca-se um pouco mais na direo do usurio final e da vontade do mercado, os verdadeiros detentores das informaes relevantes.

Mesmo computadores mais simples, adquiridos em supermercados, apresentam desempenho impensvel h poucos dias. No prazo de um segundo, durao de uma simples piscadela de olho, equipamentos deste tipo processam dois bilhes de instrues (2.0 GHz), vasculham meio bilho de caracteres (HD 500 MB), transmitem quase um bilho de bits (rede gigabit) e podem interagir com um bilho de computadores (IPv6). So frutos da nanotecnologia, com componentes medidos na escala de um bilionsimo de metro. Software e dados abandonam os ultrapassados desktops e se teletransportam no melhor estilo do Capito Kirk6 para celulares, automveis, geladeiras, controles de acesso, outdoors e equipamentos mdicos. Atravessam o mundo na velocidade da luz, saltando de chip em chip, seus abrigos preferidos, onipresentes em qualquer caminho escolhido, seja em terra firme, nas profundezas dos oceanos ou no espao sideral. Como que possudas, pessoas relegam a vida no mundo dito real e se sentem prias se no passam dia e noite ligadas a um sistema de mensagens, se escasseiam os torpedos ou se no h novos scraps em seu perfil. Jovens no podem ser considerados um bom partido enquanto no forem prospectados via webcam ou se tiverem poucos amigos virtuais. Governos, empresas e igrejas tornam-se inteis sem conexes eletrnicas. Pela primeira vez aps milhares de anos, a humanidade abandona o mundo real e pisa com ambos os ps no mundo virtual.

3. E hoje?

Contos escritos por Gene Roddenberry.

46

Esta breve sinopse nos ajudou a recordar que, desde a antiguidade, a informao sempre foi personagem de destaque em todas as disputas pelo poder. Mostrou-nos, ainda, que nessa longa jornada o domnio sobre a informao nunca foi pacato; ao contrrio, esteve imerso em disputas lancinantes das quais no escaparam ilesos bruxas, Galileu, polticos, renomados executivos ou dedicados funcionrios. Porm, curiosamente, algo diferente parece ocorrer hoje em dia. Fica flanando entre ns um sentimento geral de que neste novo mundo digital no h, ou pelo menos no deveria haver, grandes disputas sobre a criao, posse e uso de informaes. Um esprito adolescente de que no haveria necessidade de limites e se pode tudo, afinal o noticirio mostra diariamente que qualquer um invade computadores dos servios secretos ou opera rdios piratas. Um olhar mais atento logo percebe que este sentimento no aderente aos crescentes ndices que medem a quantidade de processos judiciais sobre conflitos, erros e procedimentos indevidos e ilcitos praticados por meios eletrnicos. inexorvel que provedores de informaes, construtores de software, gestores de sistemas e operadores do direito busquem compreender esse aparente paradoxo. Os grandes pensadores econmicos nos ensinaram, h muito tempo, que os bens so escassos e que, por isso, tm custo de oportunidade e preo de mercado. Em outras palavras, tudo o que vale a pena no escapa da sina de ser almejado e disputado por dois ou mais indivduos. Este o real significado do termo conflito de interesse, a disputa entre dois ou mais indivduos pela posse e uso de bens escassos, bastando lembrar quantas contendas, latrocnios e guerras j resultaram desta disputa. O comportamento conhecido desde a pr-histria, uma vez que sempre foi trabalhoso, complexo e demorado reproduzir objetos do dito mundo real, como armas para caar alimentos, arados, relgios ou hidroeltricas. Imagine quantos insumos so necessrios para copiar uma simples bolsa, desde a obteno de todas as matrias-primas e a realizao das sucessivas transformaes at que seja obtida uma nova unidade, pronta e embalada. Assim, parece explicvel que sejam freqentes conflitos de interesse relacionados a bens do mundo fsico, levados tutela do Estado. Todavia, ao contrrio do que ocorre no mundo real, replicar um objeto digital, parece ser uma tarefa muito simples, barata e sem riscos. Bastam comandos triviais como copiar e colar, por mais complexo que seja o componente digital reproduzido. Fica o sentimento ingnuo de que podem ser reproduzidos, quase que instantaneamente e de graa, milhes de objeto virtuais, um mundo nababesco com infinita fartura, a verdadeira universalizao das benesses ao alcance de um simples clique. O paradoxo est, ento, em saber por qual motivo surgem tantos conflitos de interesse no mundo virtual se, aparentemente, nele existiria imensa fartura objetos digitais? Para ilustrar esta viso, qual motivo poria indivduos em conflito pela posse do ar atmosfrico se ele um bem largamente disponvel e sem preo de mercado, pelo menos por enquanto? Mentes brilhantes debruam-se sobre tais temas. Muitos defendem regras e sistemas mais rgidos para proteger e manter motivados criadores e empreendedores que continuamente revolucionam a tecnologia e geram riquezas para a humanidade. Outros pretendem reduzir as restries legais sobre direitos autorais, marcas e bens universais como o espectro de radiofreqncia, afirmando que somos todos piratas luz da legislao atual. Muitas outras frentes de batalha convivem no mesmo caldeiro virtual, alimentadas por personagens to heterogneos como crackers, pedfilos, estelionatrios, chantagistas, seqestradores, traficantes, sabotadores, espies, scios infiis, funcionrios revoltados, enamorados ciumentos e espertalhes de todo o tipo. Este confronto conceitual, cultural e financeiro com tempero high-tech cada vez mais palpitante, pois a soluo dos conflitos que embutem alta tecnologia jamais ser tarefa simples ou rpida. Devemos primeiramente considerar que na anlise destes conflitos no pode faltar seu principal elemento diretor: o conceito de nao, intimamente relacionado aos costumes dos seus habitantes e ao conjunto de leis fundamentais que regem a vida e as relaes entre governo, pessoas e empresas. Em segundo lugar, preciso considerar que a grande velocidade da evoluo tecnolgica impede que a legislao e at mesmo simples normas tcnicas prevejam e definam regras para as novas situaes onde podem ocorrer conflitos. Em terceiro lugar, a sobrevivncia da humanidade e das empresas depende de existirem con-

4. Revisitando o velho conflito de interesses

Planejamento Estratgico da Segurana da Informao

47

tnuas inovaes nas relaes sociais e nos modelos de negcios, impulsionadas e demandadas ciclicamente pelo prprio avano tecnolgico. Finalmente, devemos ter presente que os dispositivos digitais tornaram-se essenciais em todas as atividades humanas e passaram a ser foco de tantos interesses distintos que projetos de lei sobre crimes informticos ficam anos se entrechocando em interminveis debates parlamentares. O resultado geral que se avolumam as questes sobre alta tecnologia a serem resolvidas pelos tribunais com o apoio de especialistas, tanto peritos oficiais dos institutos de criminalstica como peritos judiciais nomeados pelos magistrados entre os profissionais acreditados nos tribunais. Mais ainda, este cenrio agrava-se rapidamente devido crescente complexidade dos ambientes a serem examinados, tornando cada vez mais difcil, cara e demorada a misso dos operadores do direito, dos peritos e assistentes tcnicos das partes. Tarefas que antes eram cumpridas por apenas um perito, muitas vezes agora requerem equipes multidis. ciplinares com profissionais como cientistas da computao, engenheiros de telecomunicaes, contabilistas e mdicos, afinal tudo se tornou digital. Alm disso, no bastam mais as competncias pessoais porque os imensos volumes de dados, as inmeras formas de armazenamento e a completa mobilidade dos dispositivos requerem mtodos e ferramentas sofisticados de anlise que esto disponveis apenas nos laboratrios mais bem equipados, muito distantes dos milhares de comarcas espalhadas pelo Pas. Como veremos mais adiante, se a tarefa pericial no for corretamente preparada e conduzida, a complexidade inerente tecnologia da informao e s telecomunicaes aumentar muito o risco de que culpados sejam considerados inocentes ou, pior, que inocentes sejam considerados culpados.

Em termos gerais, podemos considerar que computao forense7 consiste no emprego de conhecimentos sobre computao e telecomunicaes para responder questionamentos jurdicos. Trata-se, portanto, do emprego do mtodo cientfico, um sistema racional para adquirir conhecimento em oposio mera opinio ou dogma, e do prprio conhecimento resultante desse mtodo, adequadamente organizado e continuamente revisado. No marcantemente cincia pura, mas cincia aplicada ou, melhor ainda, um campo interdisciplinar que faz uso das descobertas de outras cincias e reas como direito e computao para atender necessidades especficas da justia. O termo abrange, tambm, comunidades tcnicas e cientficas que atuam nas diversas disciplinas e campos de estudos fundamentais ou limtrofes computao forense, inclusive colaborando com ela por meio de conhecimento prtico, no necessariamente cientfico, e algumas vezes mais prximo s inovaes empricas da indstria e dos costumes policiais e judiciais. Entre as comunidades, podem ser consideradas tambm as diversas instituies voltadas comunicao tcnica e cientfica, manuteno de grupos de pesquisa, aos estudos usualmente em nvel tcnico ou de ps-graduao, elaborao de normas e padres e certificao de profissionais. O termo forense8 remete ampla discusso pblica sob o comando do direito. Neste caso, dos fatos sobre tecnologia da informao e telecomunicaes, em respeito ao princpio constitucional do contraditrio que assegura a toda a pessoa em juzo o direito de ampla defesa ou a proteo do direito de quem busca a tutela do Estado. Portanto, fica claro, por exemplo, que no pode ser considerado suficiente para se apurar a verdade dos fatos o simples apontamento de um endereo IP (Internet Protocol) no cabealho tcnico de uma mensagem ou no log de um computador servidor. essencial que estes vestgios sejam submetidos ampla discusso tcnica forense para que, por meio de um conjunto de atividades de verificao e demonstrao se chegue verdade dos fatos, produo das provas.9 Ainda com base no exemplo anterior, h alguns anos o debate tcnico em busca de evidncias possivelmente estaria focado no conjunto de protocolos conhecidos pela sigla TCP/IP10 utilizados para a comunicao
7 8 9

5. Computao forense

Forense computacional, entre outros termos. Do Latim: fornsis pblico, relativo aos tribunais; foro lugar onde se discutem os assuntos pblicos. Dinamarco, 2005. TCP: Transmission Control Protocol (Protocolo de Controle de Transmisso); IP: Internet Protocol (Protocolo de Interconexo).

10

48

entre computadores em rede, mapeando-se todo o trajeto da mensagem, desde o computador emitente at aquele de destino. Porm, com a ampla disseminao da computao mvel, provavelmente o endereo IP de origem da mensagem apontar apenas para o computador gateway da empresa operadora de telecomunicao mvel celular, dado insuficiente para identificar o equipamento celular emitente da mensagem, uma vez que o mesmo sistema pode ser utilizado por diversos usurios ao mesmo tempo. Novos conhecimentos tcnicos, investigaes e verificaes sero agora necessrios para se comprovar a origem da mensagem, pois parte do seu trajeto ocorre por circuitos e tecnologias prprios do sistema mvel celular. A prpria determinao da localizao geogrfica de emisso da mensagem ganha novas dimenses, implicando, especialmente para casos mais crticos, no estudo de elementos tcnicos inusitados at ento, como estaes rdio base, azimutes e reflexo de ondas eletromagnticas.

Edmund Locard, cientista forense e diretor de um dos primeiros laboratrios europeus nesta rea, enuncia que, na cena de um crime, sempre existir algum rastro proveniente da permuta de materiais como fibras ou fios de cabelo, quando houver contato entre itens distintos. O princpio de Locard aplica-se perfeitamente aos eventos do mundo digital, pois computadores que processam bilhes de instrues por segundo certamente registraro alguma mudana em funo de qualquer contato externo, seja proveniente de uma tecla pressionada, da movimentao do mouse, da conexo de um pendrive, da execuo de software ou de um acesso via rede. A crescente capacidade de processamento e de armazenamento dos computadores fez com que tanto o software bsico quanto os aplicativos aumentassem muito seu nvel de log, passando a coletar e registrar automaticamente grande quantidade de informaes histricas sobre os eventos que ocorrem no equipamento, material relevante para o investigador forense atento ao princpio de Locard.

6. Princpio de Locard

Talvez, Locard tenha se inspirado nos estudos de Heisenberg sobre o observador alterar os eventos que observa na dimenso da fsica quntica. No mundo digital, ocorre algo similar. Por isso, fundamental recordar que no apenas o suspeito deixa rastros na cena do crime virtual, mas o prprio investigador tambm deixa ou modifica rastros ao fazer suas observaes. Muitas vezes, cuidados elementares previnem a contaminao da cena do crime, especialmente no voltil e complexo mundo digital. Ao suspeitar que algo indevido ou ilcito possa estar ocorrendo na empresa, seus gestores e funcionrios devem saber que averiguar os fatos sem a metodologia correta certamente far perder evidncias essenciais, pela contaminao da cena do crime. O prprio especialista pode ser trado pela urgncia de apresentar respostas ao comando da empresa ou repor a operao normal de um sistema afetado. Alm da sempre possvel perda de vestgios, mesmo aqueles preservados e submetidos autoridade policial ou ao judicirio tero seu valor probante reduzido se tiverem sido contaminados, situao que pode se revelar durante os debates forenses. Portanto, desde as primeiras investigaes at a coleta e exame de evidncias, essencial que sejam adotados mtodos e ferramentas adequados e confiveis.

7. Heisenberg e a fsica quntica

A metodologia e as melhores prticas periciais determinam que todos os eventos relacionados investigao de incidentes e coleta de vestgios devem ser detalhadamente registrados. Esta postura ainda mais relevante porque algumas vezes inevitvel que o observador contamine ou transforme a cena do crime. O mecanismo para este registro denomina-se cadeia de custdia, um documento onde devem ser claramente e detalhadamente registrados todos os vestgios encontrados, toda e qualquer manuseio que ocorrer e seu objetivo, as pessoas que com eles tiveram contato, alm de data, hora e local de cada evento. A existncia de cadeia de custdia confivel fundamental para que as evidncias resultantes no possam ser facilmente contestadas. Um dos elementos importantes na cadeia de custdia de componentes digitais a gerao do cdigo hash, um pequeno conjunto de caracteres digitais que representa um conjunto bem maior de

8. Cadeia de custdia

Planejamento Estratgico da Segurana da Informao

49

bytes armazenados em um disco rgido ou em um arquivo, por exemplo. Tendo-se o hash, possvel demonstrar em qualquer momento posterior que o conjunto original de dados permanece inalterado. Portanto, tenha sempre muita ateno com evidncias que no estejam acompanhadas por registro da cadeia de custdia original e confivel.

Quesitos so perguntas formuladas pelo juiz ou pelas partes ao perito para a instruo da causa em questes tcnicas. Geralmente, quesitos so apresentados logo aps a deciso de se realizar a percia tcnica, um momento preparatrio no qual, provavelmente, ainda no so conhecidas todas as variveis e dificuldades que devero ser enfrentadas at que se chegue verdade dos fatos. Este quadro mostra-se mais grave medida que os novos computadores possuem capacidade enorme de armazenamento, obrigando o perito a examinar bilhes de bytes para tentar encontrar alguns poucos bytes de interesse pericial, muitas vezes, travestidos por codificaes e formataes inesperadas. Junte-se a isso o frequente cenrio de sobrecarga de servio e falta de ferramentas periciais adequadas. Resulta clara a importncia de que quesitos sejam sempre muito bem formulados, pois se forem apresentados quesitos vagos ou incompletos o resultado do trabalho pericial ser inaproveitvel ou, ainda mais grave, levar o julgador e as partes a erro. Cumpre sempre recordar que quesitos so perguntas cuja resoluo requer esforo mental e trabalho braal de investigao e anlise. Portanto, devem ser adequadamente detalhados para assegurar que os inmeros componentes de um sistema digital tenham sido efetivamente e corretamente examinados.

9. Quesitos

Os exames periciais so procedimentos de investigao tcnica e cientfica que tm por objetivo responder os questionamentos jurdicos sob um prisma tipicamente multidisciplinar. Certamente, por um lado, cabe ao perito restringir-se determinao judicial e aos quesitos recebidos, sem devaneios ou incurses estranhas misso que lhe foi confiada pelo magistrado. Por outro lado, responsvel eticamente e tecnicamente, inclusive frente ao seu conselho profissional, pela busca da verdade registrada nas peas examinadas. Nem sempre fcil compatibilizar estes dois aspectos do trabalho pericial. Muitas vezes, o primeiro vestgio encontrado no revela a verdade real dos fatos e pode at mesmo levar o perito e o julgador a erro. Por exemplo, ao encontrar erro no cdigo fonte de um software, pode haver a tendncia imediata de se atribuir a falha ao programador, esquecendo-se que ele no trabalha ou no deveria trabalhar sozinho. Ao contrrio, o programador est submetido a uma estrutura tcnica de superviso, treinamento, metodologia, normas, ferramentas, especificaes, testes e homologaes; portanto, talvez seja aquele com menor responsabilidade pelo problema ocorrido. Percebemos facilmente que a anlise pericial pode focar no apenas o componente especfico, mas, tambm, todo o sistema dentro de uma viso multidisciplinar e abrangente, no sentido de reiterar incurses de anlise e sntese at que a verdade real seja encontrada. Outra falha tpica ocorre, ainda como exemplo, na avaliao de sistemas de gesto, em embates entre empre. sas produtoras destes softwares e seus clientes. Algumas vezes, o perito limita-se a avaliar se os procedimentos operativos do sistema contestado apresentam interrupes ou erro nos dados ou nas regras de negcio. Mas o principal problema pode estar em nveis bastante distintos. Por exemplo, a prpria oferta e contratao podem ter sido inadequados se o sistema tiver um projeto voltado reduo de custos e mo-de-obra, um antigo conceito de 50 anos atrs, e a empresa procurar, ao contrrio, um sistema atual de gesto que lhe permita inovar continuamente, isto , tornar-se uma nova empresa a cada novo dia, saltando etapas e superando os concorrentes. Nesse contexto, parece ter um peso bem maior avaliao da compatibilidade entre os objetivos da empresa e do sistema nas dimenses estratgica e ttica. Ainda no contexto da determinao dos fatos ocorridos e respectivas responsabilidades tcnicas, no se pode deixar de avaliar a responsabilidade da estrutura organizacional nos atos inadvertidos, indevidos ou ilcitos que ocorram na empresa. Usualmente, cumpre ao perito a tarefa de apurar no apenas o evento no qual algum recurso da empresa foi utilizado indevidamente, mas, tambm, se a companhia foi zelosa ao estabelecer contratos, normas de uso, orientao e controle adequados quanto sua infraestrutura.

10. Exames tcnicos

50

Portanto, a investigao pericial torna-se cada vez mais sistmica, estruturada e multidisciplinar no sentido de apurar a verdade real e as responsabilidades tcnicas compartilhadas.

O objetivo final do laudo pericial o magistrado, que poder tom-lo em considerao para seu convencimento. Cumpre recordar que o Brasil adota o princpio do livre convencimento motivado do julgador, significando que o juiz decide a causa de acordo com o seu livre convencimento, mas deve fundamentar e explicar o que decidiu no contexto do material probatrio levado aos autos. Disto resulta claro que um laudo pericial redigido conforme as melhores prticas da computao forense elemento essencial para a qualidade da deciso do magistrado e at mesmo para a fundamentao da sua deciso. Infelizmente, no esta a realidade de muitos laudos periciais apresentados em nossos tribunais. Descrevem os objetivos, as peas submetidas percia e as concluses obtidas, mas falta-lhes a indispensvel fundamentao tcnica. Com isso, prejudicam ou at mesmo inviabilizam o contraditrio, impossibilitam a avaliao da qualidade do trabalho pericial, tornam-se contestveis e podem levar a graves erros. Um laudo pericial bem elaborado apresenta fundamentao clara, tcnica e facilmente compreensvel e verificvel at mesmo por leigos. A Associao Brasileira de Normas Tcnicas (ABNT) indica que laudo a pea na qual o perito relata o que observou e avalia fundamentadamente o valor de coisas ou direitos. J o Conselho Regional de Engenharia e Arquitetura (CREA) esclarece que laudo uma pea escrita, fundamentada, que expe as observaes e estudos efetuados. O dicionrio Aurlio define que laudo pea escrita, fundamentada, na qual os peritos expem as observaes e estudos que fizeram e registram as concluses da percia. Assim, todas estas definies so unnimes ao impor a presena da fundamentao nos laudos pericial, sendo inaceitvel que o perito simplesmente apresente suas concluses sem que as evidncias estejam preservadas, sem que as concluses estejam fundamentadas e sem que os exames possam ser repetidos para validar os resultados obtidos.

11. Laudo pericial

Neste nosso breve trabalho, verificamos que a informao alcana valor cada vez maior, por ser elemento essencial para a diferenciao de empresas e das pessoas que sabem inovar, possibilitando-lhes saltar frente dos concorrentes. Constatamos que as medidas de segurana devem proteger a empresa, mas no podem bloquear a flexibilidade essencial para que a inovao flua livremente, seno ela sucumbir rapidamente neste novo mundo virtual. O cenrio tecnolgico mundial, muito complexo, disperso geograficamente e com pouco comprometimento, aumenta fortemente o risco, impondo maior zelo e vigilncia e, portanto, maiores custos com segurana preventiva e com a investigao de incidentes. O sistema judicirio passa a depender cada vez mais da avaliao feita por especialistas em alta tecnologia, contudo, a crescente complexidade dos dispositivos digitais encarece e sujeita o trabalho pericial a graves falhas, impondo empresa e s pessoas medidas acauteladoras no sentido de resguardar-se dos riscos digitais.

12. Finalmente

Planejamento Estratgico da Segurana da Informao

51

52