SlideShare uma empresa Scribd logo
1 de 18
Baixar para ler offline
Um estudo sobre os habilitadores do COBIT®
5 sob a
perspectiva da segurança da informação
Luzia Moreira de Abreu Dourado, André Luiz Alves
Pontifícia Universidade Católica de Goiás (PUC Goiás)
Goiânia – GO, Brasil.
lmdourado@gmail.com, andre.luiz@pucgoias.edu.br
Resumo. A informação é um recurso primordial para todas as organizações,
uma vez que seus dirigentes necessitam de informações confiáveis para tomar
decisões corporativas de forma segura e eficaz. Como essas informações estão
expostas a vários tipos de ameaças que podem modificá-las ou destruí-las,
elas devem ser adequadamente protegidas, garantindo a continuidade do
negócio e a reputação da organização. Este artigo tem como objetivo
apresentar uma análise da aplicabilidade dos habilitadores do framework de
governança de tecnologia da informação COBIT®
5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em
combinação com as normas de segurança da informação e boas práticas
encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
Palavras-chave: COBIT®
5, governança, segurança da informação, ISO/IEC
27002:2013, ABNT NBR ISO/IEC 27014:2013.
Abstract. Information is a key resource for all organizations, since their
leaders need reliable information to make business decisions safely and
effectively. As this information is exposed to various types of threats that can
modify them or destroy them, they must be adequately protected, ensuring
business continuity and reputation of the organization. This article aims to
present an analysis of the applicability of the enablers of information
technology governance framework COBIT®
5 in information security in order
to succinctly describe this application in combination with information
security standards and good practices founded in literature, in order to assist
in the implementation of effective governance and information security
management.
Keywords: COBIT®
5, governance, information security, ISO/IEC
27002:2013, ABNT NBR ISO/IEC 27014:2013.
1. Introdução
A informação é um recurso primordial para todas as organizações, uma vez que seus
dirigentes necessitam de informações confiáveis para tomar decisões corporativas de
forma segura e eficaz. Porém, com o aumento de constantes ameaças às quais essas
informações estão expostas, as organizações vivem sob constante risco de sofrer com
vazamento ou perda de informações, bem como a indisponibilidade de seus serviços,
comprometendo a continuidade dos negócios e a sua reputação.
A preocupação com segurança da informação vem aumentando nos últimos
anos. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança), que é responsável por tratar incidentes de segurança em computadores que
envolvam redes conectadas à internet brasileira, divulgou as estatísticas de incidentes
reportados entre 1999 a 2015, conforme pode ser visto na figura abaixo:
Figura 1 Total de Incidentes de Segurança no período de 1999 a 2015. Fonte:
[CERT.br 2015]
Como pode ser visto, o total de notificações recebidas em 2014 foi 197% maior
que o total de 2013, havendo uma redução em 2015 de 31% com relação à 2014. A
título de ilustração, dentre os incidentes reportados, houve um aumento de 128% nas
notificações de ataques a servidores Web em relação a 2014, totalizando 65.647
notificações. Além disso, 54,02% dos ataques reportados tem origem do Brasil
[CERT.br 2015].
Diante desse quadro, as organizações estão cada vez mais preocupadas com a
segurança de suas informações. Mas para assegurar isso, é necessário que a alta
administração da organização planeje e implemente uma adequada governança e gestão
da segurança da informação e, para isso, pode contar com a orientação do framework de
governança de TI COBIT®
5.
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos
habilitadores do framework de governança de tecnologia da informação COBIT®
5 na
segurança da informação com o objetivo de descrever sucintamente essa aplicação, em
combinação com as normas de segurança da informação e boas práticas encontradas na
literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão
de segurança da informação.
Foram utilizados como insumos principais para esta análise o framework de
governança de TI COBIT®
5, o guia COBIT®
5 para a Segurança da Informação, assim
como as normas de segurança da informação ISO/IEC27002:2013 e a ABNT NBR
ISO/IEC 27014:2013.
O presente trabalho está organizado em cinco seções: a seção 2 apresenta os
conceitos de segurança da informação; a seção 3 apresenta as normas de segurança da
informação; a seção 4 apresenta o COBIT®
5 e o COBIT®
5 para a Segurança da
Informação; a seção 5 apresenta a análise dos habilitadores do COBIT®
5 com foco na
segurança da informação, demonstrando o inter-relacionamento entre os habilitadores e
a seção 6 apresenta a conclusão desse trabalho.
2. Segurança da Informação
A segurança da informação refere-se à proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,
maximizar o retorno sobre os investimentos e as oportunidades de negócio.
O principal objetivo da segurança informação é a entrega de informações
confiáveis para que a alta administração da organização possa realizar a tomada de
decisões de forma eficaz e segura e assim evitar impactos financeiros, operacionais e de
imagem.
A segurança da informação é obtida a partir da implementação de um conjunto
de controles adequados, incluindo políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessário, para garantir que os objetivos do negócio e de segurança da organização
sejam atendidos [ISO 2013b].
3. Normas de segurança da informação: ISO/IEC 27001:2013, ISO/IEC
27002:2013 e ABNT NBR ISO/IEC 27014:2013
A norma ISO ABNT 27014:2013 fornece orientação sobre conceitos e princípios para a
governança de segurança da informação, pela qual as organizações podem avaliar,
dirigir, monitorar e comunicar as atividades relacionadas com a segurança da
informação dentro da organização. Apresenta seis princípios que direcionam as
diretrizes e ações de segurança da informação, a saber [ABNT 2013]:
1. Estabelecer a segurança da informação em toda a organização.
2. Adotar uma abordagem baseada em riscos.
3. Estabelecer a direção de decisões de investimento.
4. Assegurar conformidade com os requisitos internos e externos.
5. Promover um ambiente positivo de segurança.
6. Analisar criticamente o desempenho em relação aos resultados de negócios.
Além disso, apresenta um modelo de implantação da governança de segurança
da informação por meio de processos, que são:
Avaliação, para avaliar o alcance dos objetivos de segurança estabelecidos na
estratégia e determinar ajustes necessários para otimizar o alcance dos objetivos
estratégicos no futuro, considerando as necessidades atuais e futuras do negócio;
Direção, no qual a alta administração fornece o direcionamento para a estratégia
de segurança da informação;
Monitoramento, para acompanhar o desempenho das atividades de segurança da
informação por meio de indicadores mensuráveis, e assegurar conformidade com
requisitos internos e externos;
• Comunicação, para que as partes interessadas sejam notificadas sobre o nível de
segurança da informação praticada pela organização;
Garantia, que é executado por uma auditoria independente de segurança da
informação.
Por sua vez, a norma ISO/IEC 27001:2013 é referência internacional para a
gestão da segurança da informação, fornecendo requisitos para estabelecer,
implementar, manter e melhorar continuamente um sistema de gestão de segurança da
informação (SGSI). A fim de auxiliar no processo de implementação de um SGSI, a
norma ISO/IEC 27002:2013 fornece diretrizes para práticas de gestão de segurança da
informação, por meio de 114 controles de segurança.
4. COBIT®
5
O COBIT®
5, desenvolvido e difundido pela ISACA (Information System Audit and
Control) e publicado em 2012, é um framework de governança e gestão corporativa de
TI que tem como objetivo permitir que a TI seja governada e gerenciada de forma
holística por toda a organização e ajudar as organizações a criar valor para TI, mantendo
o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e o uso de
recursos [ISACA 2012a].
Este framework é fundamentado em 5 princípios de governança corporativa de
TI que permitem que a organização construa um framework efetivo de governança e
gestão de TI. Esses princípios são:
1. Atender as necessidades das partes interessadas
2. Cobrir a organização de ponta a ponta
3. Aplicar um framework (modelo) único e integrado
4. Permitir uma abordagem holística
5. Distinguir a governança da gestão
Este framework é baseado em um conjunto holístico de 7 categorias de enablers
(ou habilitadores) que otimizam investimentos em tecnologia e informação utilizados
para o benefício das partes interessadas. Essas categorias de habilitadores são:
Princípios, políticas e modelos: são os veículos que traduzem o
comportamento desejado em um guia prático para a gestão diária;
Processos: descrevem um conjunto organizado de práticas e atividades para
atingir determinados objetivos e produzem um conjunto de saídas que
auxiliam no cumprimento dos objetivos de TI.
Estruturas organizacionais: são as entidades-chave responsáveis pela tomada
e decisão em uma organização;
Cultura, ética e comportamento dos indivíduos e da organização: muito
frequentemente subestimada como um fator de sucesso nas atividades de
governança e gestão;
Informação: que representa todas as informações produzidas e utilizadas pela
organização e é imprescindível para manter a organização em funcionamento
e bem governada;
Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e
aplicações que fornecem à organização os serviços de TI;
Pessoas, habilidades e competências: estão associadas às pessoas e são
necessárias para que as atividades sejam executadas com sucesso e para que
decisões e ações corretivas sejam realizadas de forma correta.
Além disso, O COBIT®
5 possui um modelo de referência de processos que
subdivide os 37 processos de TI em domínios de governança e gestão.
Sob a ótica da segurança da informação, a ISACA apresenta o COBIT®
5 para a
Segurança da Informação que provê um guia específico detalhando cada um desses
habilitadores de forma a auxiliar na implementação de uma eficiente governança e
gestão de segurança da informação [ISACA 2012b]. Além desse guia, outros modelos
podem ser utilizados para auxiliar nessa implementação, tais como as normas ISO/IEC
27002:2013 e ABNT 27014:2013.
5. Habilitadores do COBIT®
5 sob a perspectiva da segurança da informação
Habilitadores são fatores que, individualmente e/ou em conjunto, influenciam no
funcionamento de algo, nesse caso, na governança e gestão de segurança da informação.
Os habilitadores são orientados pelos objetivos de segurança da informação, ou seja,
esses objetivos definem o que os diferentes habilitadores deverão alcançar [ISACA
2012a].
Conforme descrito na seção 3, o framework COBIT®
5 define sete categorias de
habilitadores. No tocante à segurança da informação, cada habilitador é descrito no guia
COBIT®
5 para a segurança da informação e neste artigo é analisado sucintamente
considerando as orientações desse guia, além do que preconiza as normas de segurança
da informação e as referências bibliográficas pesquisadas. Esses habilitadores são
descritos da seguinte forma:
5.1.1.Princípios, Políticas e Modelos
Os princípios, as políticas e os modelos são o veículo pelo qual as decisões relativas à
governança e gestão de segurança da informação são institucionalizadas e, por essa
razão, agem como elementos integradores entre o estabelecimento da direção e as
atividades de gestão [ISACA 2012a].
Para que as ações de segurança da informação possam contribuir com os
objetivos estratégicos da organização, inicialmente é necessária a definição de princípios
para a segurança da informação, a elaboração de políticas e o desenvolvimento de
modelo de governança e gestão de segurança da informação.
Os princípios, que norteiam todas as diretrizes e ações de segurança da
informação, são a declaração de alto nível de como a segurança da informação será
utilizada no negócio da organização [Manoel 2014].
Como exemplos de princípios, [ABNT 2013] define os seis princípios para a
segurança da informação que foram descritos na seção 3.
Ao definir os princípios de segurança da informação, é necessário que a
organização elabore um conjunto de políticas e normas para a segurança da informação
para que o processo de proteção da informação possa ser elaborado, implantado e
mantido. As políticas fornecem orientações sobre como colocar esses princípios em
prática e influenciam como a tomada de decisão se alinha aos princípios. Para cada
política definida é necessária a elaboração de um conjunto de normas de segurança, de
maneira a garantir que os procedimentos estejam coerentes com a política.
O COBIT®
5 para Segurança da Informação recomenda que a organização
elabore um modelo de políticas, composto de uma política geral e de um conjunto de
políticas mais específicas. Segundo [Fontes 2012], a organização pode estabelecer uma
arquitetura de regulamentos para segurança das informações, conforme apresentado na
figura abaixo:
Figura 2 Arquitetura de Regulamentos de Segurança da Informação. Fonte:
[Fontes 2012]
No primeiro nível, a organização define uma política de segurança da
informação, que contém as diretrizes gerais a serem seguidas e que deverá ser aprovada
pelo Presidente da organização.
No segundo nível, há o conjunto de políticas mais específicas que detalham a
política de segurança da informação a fim de orientar a implementação dos controles de
segurança. É fundamental que esse conjunto de políticas contemple os controles
definidos pelas normas internacionais de segurança da informação. Portanto, esse
conjunto pode abordar os tópicos de segurança da informação definidas na norma
ISO/IEC 27002:2013, a saber:
controle de acesso físico e lógico à informação;
gestão de ativos;
classificação e tratamento da informação;
segurança física e do ambiente;
cópias de segurança;
controles criptográficos;
manutenção, desenvolvimento e aquisição de sistemas;
relacionamento com fornecedores;
gerenciamento das operações e comunicações;
gerenciamento de incidentes.
gerenciamento da continuidade de negócio.
conscientização e treinamento de usuários.
gestão de riscos.
A partir do terceiro nível são definidas as normas que contém as regras básicas
de como deve ser implementado o controle (ou conjunto de controles) que foi definido
pelas políticas, e os procedimentos que contém atividades que detalham como deve ser
implantado o controle ou conjunto de controles.
Cada política deve definir seus objetivos, escopo, obrigações e
responsabilidades, assim como deve ser periodicamente revisada para adequá-la às
mudanças que ocorrem na organização ou no ambiente em que opera [ISACA 2012a].
Como forma de auxiliar na elaboração da política de segurança da informação,
[Fontes 2012] definiu um padrão mínimo de política de segurança da informação que
pode ser um patamar inicial de controles de segurança e facilitar para a organização que
está começando seu processo de segurança da informação.
Para que esse conjunto de políticas alcance os objetivos de segurança da
informação da organização, é necessário que sejam comunicadas a todas as partes
interessadas (internas e externas) da organização, por meio de um programa de
conscientização, educação e treinamento, e sejam disponibilizadas em local de fácil
acesso [ISO 2013b].
Por fim, a organização pode estabelecer um modelo de governança e gestão para
prover estrutura, orientação e ferramentas que possibilitem a governança e o
gerenciamento apropriados [ISACA 2012a]. Como exemplos de modelos, tem-se a lista
abaixo. Essa lista não é exaustiva nem exclusiva, podendo ser adotado outros modelos:
Governança de segurança da informação: ABNT 27014:2013;
Gestão de segurança da informação: ISO/IEC 27001:2013, complementado
pelas práticas de controle da ISO/IEC 27002:2013.
Para a implementação desses modelos, pode-se seguir as orientações do COBIT®
5 e COBIT®
5 para Segurança da Informação.
Os Princípios, Políticas e Modelos possuem uma forte ligação com o habilitador
Cultura, Ética e Comportamento, pois refletem os valores culturais e éticos da
organização, e devem estimular o comportamento desejado. Além disso, as Estruturas
Organizacionais podem definir e implementar as políticas dentro da sua própria
abrangência de controle e as suas atividades também são definidas por essas políticas. O
habilitador Processos com suas práticas e atividades também podem auxiliar na
implementação dessas políticas [ISACA 2012a].
5.1.2.Processos
Processos descrevem um conjunto organizado de práticas e atividades para alcançar
determinados objetivos e produzir um conjunto de saídas para apoiar o alcance de metas
relacionadas à tecnologia da informação de uma organização [ISACA 2012a].
O COBIT®
5 possui um modelo de referência de processos que subdivide os 37
processos de TI em domínios de governança e gestão, sendo cinco processos
relacionados à governança e 32 ligados à gestão de TI.
Como não é possível determinar um conjunto de processos que possa ser
aplicado a todas as organizações, convém selecionar e implementar processos com base
no diagnóstico de segurança da informação e nos cenários de risco e que sejam capazes
de melhorar a segurança da informação da organização, maximizando assim a entrega
de valor para as partes interessadas.
[Manoel 2014] elaborou uma matriz de alinhamento entre os processos do
modelo de governança de segurança da informação ABNT 27014:2013 com os
processos do COBIT®
5 que são suficientes para implantar os processos-chave desse
modelo de governança, conforme tabela abaixo:
Tabela 1 Modelos de Governança de Segurança da Informação. Fonte: [Manoel
2014]
Implantação dos Modelos de Governança de Segurança da Informação
ABNT 27014:2013 COBIT®
5
Avaliação MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade
MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno
MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos
Externos
Direção
APO01 – Gerenciar o Framework de Gestão de Segurança da Informação
APO02 – Gerenciar a Estratégia
APO04 – Gerenciar a Inovação
APO05 – Gerenciar o Portfólio
APO06 – Gerenciar o Orçamento e os Custos
APO08 – Gerenciar Relacionamentos
APO11 – Gerenciar a Qualidade
APO12 – Gerenciar os Riscos
APO13 – Gerenciar a Segurança
Monitoração
MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade
MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno
MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos
Externos
Comunicação APO08 – Gerenciar as Relações
Garantia
MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno
MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos
Externos
Para a implementação dos processos na perspectiva da segurança da informação,
o COBIT®
5 para Segurança da Informação apresenta informações complementares para
cada um dos processos, incluindo detalhes de objetivos, métricas e atividades
específicas de segurança da informação.
Como forma de auxiliar na seleção das práticas de segurança da informação
contidas na ISO/IEC 27002:2013 a serem implementadas, [Pimentel, Tavares & Ferreira
2015] realizou um mapeamento das práticas de segurança da informação contidas nessa
norma com os processos do COBIT®
5, a fim de ser mais um recurso para orientação na
implementação dos processos.
O habilitador Processos se relaciona com o habilitador Informações, pois
processos necessitam de informações (como um dos tipos de entrada) e podem produzir
informações (como um produto do trabalho). Processos necessitam de Estruturas
Organizacionais e papéis para funcionar, conforme demonstrado nas tabelas RACI,
como por exemplo, comitê de segurança da informação, diretor de segurança da
informação, gerente de segurança da informação, diretor executivo, etc.
Além disso, Processos podem depender de outros processos; podem produzir, e
também requerer, capacidades de serviço definidas no habilitador Serviços,
Infraestrutura e Aplicativos e necessitar de políticas e procedimentos definidos no
habilitador Princípios, Políticas e Modelos para garantir a consistência da
implementação e execução. Por fim, a qualidade da execução dos processos é
determinada pelo habilitador Cultura, Ética e Comportamento, por meio dos aspectos
culturais e comportamentais da organização [ISACA 2012a].
5.1.3.Estruturas organizacionais
As estruturas organizacionais são as principais entidades de tomada de decisão de uma
organização que devem direcionar, organizar e estruturar as atividades de governança e
gestão de segurança da informação.
Para o funcionamento adequado dessas estruturas, é necessário que sejam
definidas as disposições práticas sobre como a estrutura operará, a composição,
competências, responsabilidades de cada papel dentro da estrutura, duração do mandato,
nível de autoridade e procedimentos de escalação com as ações necessárias no caso de
problemas com a tomada de decisão [ISACA, 2012a].
Os principais papéis e estruturas organizacionais relacionadas à segurança da
informação comumente encontradas nas organizações são [ITGI 2008][Manoel
2014][ISACA 2012b]:
5.1.3.1. Comitê de Segurança da Informação
O Comitê de Segurança da Informação tem a finalidade de formular e conduzir
diretrizes para a segurança da informação em conformidade com os objetivos
estratégicos da organização, deliberar sobre os aspectos que demandam o envolvimento
da alta administração e garantir, por meio de monitoramento, que as boas práticas de
segurança da informação sejam aplicadas de forma eficaz e consistente na organização
[ISACA, 2012a]. As responsabilidades desse Comitê incluem, mas não estão limitadas a
[Manoel 2014]:
decisão sobre os investimentos de Segurança da Informação;
aprovação do Plano Estratégico de Segurança da Informação;
cobrança dos resultados positivos da área de gestão que são esperados do
modelo de governança de segurança da Informação.
5.1.3.2. Diretor de Segurança da Informação
O Diretor de Segurança da Informação, também conhecido como Chief Information
Security Officer (CISO), é o responsável geral pelo programa de segurança da
informação da organização. Segundo [Manoel 2014], ele deve estar subordinado
diretamente ao presidente da organização e não à área de TI, pois essa área é a mais
afetada com as ações de segurança da informação e, como a área de segurança da
informação é responsável por fiscalizar e auditar o cumprimento de suas determinações,
pode ocorrer conflito de interesse ao expor as infrações da área de TI.
O Diretor de Segurança da Informação deve fazer o alinhamento das decisões
estratégicas de Segurança da Informação (que serão disponibilizadas em forma de
diretrizes pelo Comitê de Segurança da Informação) com a gestão de segurança da
Informação. As responsabilidades do Diretor de Segurança da Informação incluem, mas
não estão limitadas a [ITGI 2008] [ISACA 2012b][Manoel 2014]:
Elaborar e enviar o Plano Estratégico de Segurança da Informação para
aprovação do Comitê de Segurança da Informação;
Coordenar o comitê de Segurança da Informação;
Promover a divulgação de segurança da informação no âmbito da
organização;
Acompanhar as investigações de incidentes de Segurança da Informação e as
avaliações dos danos decorrentes de quebra de segurança.
Estabelecer, manter e monitorar o sistema de gestão de segurança da
informação (SGSI).
5.1.3.3. Gerente de Segurança da Informação
O Gerente de Segurança da Informação é o responsável que administra, projeta,
supervisiona e/ou avalia a segurança da informação de uma organização. As
responsabilidades do Gerente de Segurança da Informação incluem, mas não estão
limitadas a [ISACA 2012b]:
Realizar avaliações de risco de informação e definir o perfil de risco da
informação;
Desenvolver plano de segurança de informação que identifica o ambiente de
segurança da informação e os controles a serem implementados pela equipe
para proteger os ativos organizacionais.
Monitorar os controles internos implementados, coletar e analisar
desempenho e conformidade dos dados relativos à segurança da informação e
gerenciamento de risco;
Fornecer maneiras de melhorar a eficiência e eficácia da função de segurança
da informação (por exemplo, através da capacitação de pessoal de segurança
da informação; documentação de processos, tecnologia e aplicações; e
automação padronização do processo).
5.1.3.4. Equipe de Segurança da Informação
A Equipe de Segurança da Informação deve implementar as ações de segurança
conforme orientações do Diretor de Segurança da Informação. As responsabilidades da
Equipe de Segurança da Informação incluem, mas não estão limitadas a [Manoel 2014]:
Definir, implementar, controlar e revisar controles de segurança da
informação;
Avaliar os procedimentos de segurança da informação, reportando seus
resultados e discutindo com os envolvidos as melhorias necessárias;
Tratar os incidentes de segurança da informação.
Prover e administrar salvaguardas físicas contra acessos não autorizados,
protegendo contra eventuais prejuízos no negócio da organização;
O habilitador Estruturas organizacionais possuem relacionamento com o
habilitador Políticas, Princípios e Modelos, pois as atividades que as estruturas
organizacionais desempenham e os seus níveis de autoridade são estabelecidos pelas
políticas da organização, como por exemplo, a política de segurança da informação.
Além disso, relaciona-se com o habilitador Processos à medida que os papéis e
estruturas organizacionais são associadas às atividades de processos por meio de
matrizes RACI que descrevem o nível de envolvimento de cada papel em cada prática
de processo: Responsável, Aprovador, Consultado ou Informado.
Ainda possui relação com o habilitador Cultura, Ética e Comportamento porque
este determina a eficiência e eficácia das estruturas organizacionais e de suas decisões; o
habilitador Pessoas, Habilidades e Competências definem o conjunto adequado de
habilidades adequadas dos membros que compõem as estruturas
organizacionais[ISACA 2012a].
5.1.4.Cultura, Ética e Comportamento
O habilitador Cultura, Ética e Comportamento referem-se ao conjunto de
comportamentos individuais e coletivos de cada organização. O comportamento de
todos os membros da organização determina a sua cultura, logo o comportamento
humano é o fator chave para o sucesso da segurança da informação em uma organização
[ISACA 2012a].
As pessoas são o ativo organizacional mais vulnerável, uma vez que sempre
estará sujeito a ameaças como ataques de engenharia social, que são um tipo de ameaça
de segurança contra pessoas inocentes que podem resultar em perda de dados ou
vazamento de informações. Segundo a Pesquisa Global de Segurança da Informação
2016 realizada pela PricewaterhouseCoopers (PwC), 34% dos incidentes de segurança
são atribuídos aos empregados das organizações e no Brasil esse percentual sobe para
41% [PWC 2016].
Portanto, para mitigar esses riscos e para que as ações de segurança da
informação sejam eficazmente realizadas, a alta administração deve comunicar e
incentivar toda a organização o comportamento em segurança da informação desejado.
Isso é obtido por meio da divulgação das políticas de segurança da informação que
orienta detalhadamente sobre esse comportamento desejado.
Além disso, a organização deve estabelecer uma cultura de segurança da
informação por meio do desenvolvimento de um programa de educação e
conscientização de segurança da informação, que trata de educar todas as pessoas em
uma organização para que elas possam ajudar a proteger os ativos de informação da
organização.
Esse programa de educação e conscientização de segurança da informação deve
fazer com que as pessoas compreendam e respeitem as políticas e princípios de
segurança da informação, sejam conscientizadas da sua responsabilidade pela proteção
das informações e encorajadas a praticar a segurança em suas operações diárias. Além
disso, devem ser capacitadas para identificar um incidente de segurança da informação e
como reportar e reagir caso isso ocorra.
[ISACA 2012b] recomenda que se faça uma avaliação da cultura organizacional
de segurança da informação, por meio da aferição de comportamentos, que podem
incluir, dentre outros:
Uso de crachá;
Discussão pública de informação confidencial;
Força das senhas;
Proteção de senha do usuário na prática;
Percentual de adequada rotulação de informações classificadas (eletrônicas e
impressas)
Além disso, recomenda a conscientização do comportamento que a organização
deseja seja reforçada por exemplos de comportamentos exercidos pela alta
administração e outras lideranças, tais como gestores de risco, profissionais de
segurança e executivos.
O habilitador Cultura, Ética e Comportamento se relaciona com o habilitador
Princípios, políticas e modelos, pois aquele é um mecanismo de comunicação muito
importante dos valores corporativos e do comportamento desejado; com o habilitador
Processos, pois os resultados do processo serão alcançados somente se as partes
interessadas do processo se comprometam a realizar as atividades do processo conforme
planejado e se relaciona com o habilitador Estruturas Organizacionais porque as pessoas
responsáveis por essas estruturas precisam estar comprometidas com a implementação
as decisões que elas tomam [ISACA 2012a].
5.1.5.Informação
A Informação é um habilitador chave para a segurança da informação, pois a alta
administração da organização utiliza informações para a tomada de decisões, como por
exemplo, o Comitê de Segurança da Informação pode utilizar o diagnóstico da situação
atual de segurança da organização para desenvolver a estratégia de segurança da
informação. Esse habilitador intrage com todos os demais habilitadores [ISACA 2012b].
Para cada tipo de informação existente na organização é necessário identificar as
partes interessadas na informação, bem como o relacionamento entre essas partes e o
tipo de informação. Esses relacionamentos definem quem é o produtor da informação,
quem aprova a informação, quem é informado sobre ela e quem pode utilizá-la.
Além disso, a norma ISO/IEC 2702:2013 recomenda a classificação das
informações em termos do seu valor, requisitos legais, sensibilidade e criticidade para
evitar modificação ou divulgação não autorizada, a fim de fornecer às pessoas que lidam
com informações uma indicação concisa de como tratar e proteger a informação. Essa
classificação auxilia na definição de procedimentos de segurança para o tratamento,
processamento, armazenamento, compartilhamento, transmissão, uso e descarte da
informação [ABNT 2013].
Para que a segurança das informações seja garantida, o guia COBIT®
5 para
segurança da informação relaciona os tipos de informações que são relevantes na
governança e gestão de segurança da informação, a saber [ISACA 2012b]:
Estratégia de segurança da informação;
Plano de investimentos em segurança;
Plano e políticas de segurança da informação;
Requisitos de Segurança da Informação, que podem incluir requisitos de
configuração de segurança da informação e acordos de níveis de serviço;
Materiais de conscientização;
Relatórios de revisão, incluindo relatório sobre a maturidade da segurança na
organização, de ameaças e vulnerabilidades;
Catálogo de serviços de segurança da informação;
Relatórios sobre o gerenciamento de riscos da informação;
Dashboard de segurança da informação, que inclui o acompanhamento dos
indicadores de resultados, os problemas e incidentes de segurança da
informação.
Para cada tipo de informação supracitada, esse guia especifica as partes
interessadas e seus relacionamentos com o tipo de informação.
5.1.6.Serviços, Infraestrutura e Aplicações
O habilitador Serviços, Infraestrutura e Aplicações identifica as capacidades de
serviços que são necessários para prover a segurança da informação [ISACA 2012b].
Para isso, os serviços necessitam de infraestrutura e de aplicações adequadas além de
serem bem gerenciados, com a mensuração de seus resultados que contribuam para o
negócio da organização.
Segundo [ISACA 2012a], as capacidades de serviço possuem um ciclo de vida e
são descritas em uma arquitetura. Essa arquitetura norteia a implementação dessas
capacidades, descrevendo as conexões e as relações entre os serviços, aplicativos e
infraestrutura planejados.
No tocante à segurança da informação, os serviços relacionados à segurança são
planejados para prover a implementação dos controles de segurança selecionados para a
mitigação dos riscos levantados na análise/avaliação de riscos, assim como para
implementar as diretrizes das políticas de segurança. A lista a seguir contém exemplos
de serviços relacionados com a segurança [ISACA 2012b] [ISO 2013b]:
Fornecer uma arquitetura de segurança;
Fornecer conscientização de segurança;
Fornecer avaliações de segurança;
Fornecer resposta a incidentes;
Assegurar a proteção adequada contra software malicioso, ataques externos e
tentativas de intrusão;
Fornecer serviços de monitoramento e alerta para eventos relacionados à
segurança;
Proporcionar o desenvolvimento seguro em conformidade com as normas de
segurança;
Fornecer sistemas adequadamente protegidos e configurados, de acordo com
requisitos e arquitetura de segurança;
Proporcionar acesso de usuários e direitos de acesso em conformidade com
requisitos de negócio;
Fornecer testes de segurança;
Os serviços, infraestrutura e aplicações se relacionam com o habilitador
Informações, pois se utilizam de informações de negócio da organização para serem
planejados; e para que sejam bem aplicados, se relaciona com o habilitador Cultura,
Ética e Comportamento, para que seja criada uma cultura orientada a serviços
relacionados à segurança, além de se ter Estruturas Organizacionais que tenham
responsabilidades no gerenciamento desses serviços. Além disso, essas capacidades de
serviço podem ser requeridas como entradas para os processos de governança e gestão
ou geradas como resultados da execução desses processos [ISACA 2012a].
5.1.7.Pessoas, Habilidades e Competências
Para que a execução da governança e gestão de segurança da informação seja bem
sucedida, é necessário que as pessoas envolvidas possuam habilidades técnicas e
comportamentais e qualificação para exercer os papéis relacionados à segurança da
informação.
A organização precisa periodicamente avaliar a sua base de habilidades e
competências para identificar aquelas que necessitam de melhorias e poder planejar a
sua evolução, seja por meio do desenvolvimento das habilidades (com treinamentos) ou
pela aquisição destas (por meio de contratação de pessoas com tais habilidades).
Nesse processo de avaliação e planejamento, a organização precisa garantir um
quantitativo de empregados suficiente para a execução de funções relativas à segurança
da informação e que possuam as seguintes habilidades e competências dentro de sua
área de atuação [ISACA 2012b]:
Governança de segurança da informação: para estabelecer e manter o modelo
de governaça de segurança da informação que garanta que a estratégia de
segurança da informação esteja alinhada com os objetivos estratégicos da
organização e que os recursos sejam adequadamente gerenciados;
Formulação estratégica de segurança da informação: para definir e
implementar a visão, missão e objetivos da segurança da informação
alinhadas à estratégia da organização;
Gerenciamento de riscos da informação: para garantir que o risco da
informação seja gerenciado;
Desenvolvimento de arquitetura de segurança: para supervisionar a concepção
e implementação da arquitetura de segurança da informação;
Operações de segurança de informação: para gerenciar um programa de
segurança da informação;
Teste, avaliação e conformidade em segurança da informação: para garantir
conformidade do processamento da informação com leis, regulamentos,
diretivas e normas;
Boas práticas de segurança da informação para usuários finais.
O guia COBIT®
5 para segurança da informação detalha cada habilidade e
competência supracitada, descrevendo a experiência e qualificações requeridas para
cada habilidade/competência; os conhecimentos, habilidades técnicas e
comportamentais, além dos papéis/estruturas organizacionais relacionadas à
habilidade/competência. Como exemplo, para a habilidade Gerenciamento de riscos da
informação, são necessárias as seguintes experiências, qualificações, conhecimentos,
habilidades técnicas e comportamentais [ISACA 2012b]:
Tabela 2 Atributos da habilidade Gerenciamento de riscos da informação.
Fonte: [ISACA 2012b]
Experiência
Avaliação de riscos relacionados com as práticas de segurança da
informação
Mitigação de riscos com base nas necessidades da organização
Gestão de risco, perfil de risco e avaliações de ameaças.
Qualificação CRISC (Certified in Risk and Information Systems Control)
Conhecimentos
Métodos para estabelecer um modelo de classificação de ativos de
informação consistente com os objetivos de negócios
Avaliação de riscos
Processos de negócios
Padrões de segurança da informação (ex. NIST, PCI, etc)
Leis e regulamentos relacionados com a segurança da informação
Frameworks e modelos de risco
Habilidades
técnicas
Compreensão das práticas e atividades de segurança da informação e os
riscos associados a elas
Análise de risco e controles para mitigação destes
Habilidades
comportamentais
Pensador abstrato
Expertise em resolução de problemas
As habilidades e competências são necessárias para realizar as atividades dos
processos de governança e gestão de segurança da informação e tomar decisões em
estruturas organizacionais. Reciprocamente, alguns processos visam apoiar o ciclo de
vida das habilidades e competências. Há ainda uma relação com a cultura, ética e
comportamento através das habilidades comportamentais, que orientam o
comportamento do indivíduo e são influenciadas pela ética da pessoa e pela ética da
organização [ISACA 2012a].
6. Conclusão
Para que seja possível a implementação de governança e gestão de segurança da
informação em uma organização, é necessário não somente focar na implementação de
processos ou de mecanismos de segurança, mas também focar nos demais fatores que
influenciam nessa implementação. Esses fatores são conhecidos no framework de
governança de gestão de TI COBIT®
5 como habilitadores e foram objeto de estudo
nesse artigo.
As organizações podem se valer desse estudo para o planejamento das iniciativas
de segurança da informação em seu ambiente, mas vale ressaltar que cada organização
precisa definir seus próprios habilitadores de segurança da informação com base nos
seus objetivos de negócio e nos riscos avaliados.
7. Referências
[ABNT 2013] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ISO/IEC
27014:2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de
Segurança da Informação. Brasil, 2013b.
[CERT.br 2015] “Estatísticas dos Incidentes Reportados ao CERT.br”. Disponível em:
http://www.cert.br/stats/incidentes/. Acesso em 06/10/2016.
[Fontes 2012] Fontes, Edison. Políticas e Norma para a Segurança da Informação. Ed.
Brasport, 2012.
[ISO 2013a] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION
ISO/IEC 27001:2013 – Information Technology – Security techniques – Information
security management systems — Requirements. Switzerland, 2013a.
[ISO 2013b] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION
ISO/IEC 27002:2013 – Information Technology – Security techniques – code of
practice for information security controls. Switzerland, 2013b.
[ISACA 2012a] ISACA, COBIT®
5: A Business Framework for the Governance and
Management of Enterprise IT, USA, 2012a.
[ISACA 2012b] ISACA, COBIT®
5 for Information Security, USA, 2012b.
[ITGI 2008] IT GOVERNANCE INSTITUTE. Information Security Governance:
Guidance for Information Security Managers. USA, 2008.
[Manoel 2014] Manoel, Sérgio da Silva. Governança de Segurança da Informação
Como criar oportunidades para o seu negócio. Ed. Brasport. 2014.
[Pimentel, Tavares & Ferreira 2015] Pimentel, Denise da Silva; Tavares, Leandro do
Anjos; Ferreira, Thamiris Silvestre. “Aderência do framework COBIT®
5 em relação
a norma de segurança da informação ABNT NBR ISO/IEC 27002:2013”. Edição
Temática em Tecnologia Aplicada, vol. 5 no 4. Centro Universitário Senac-SP, 2015
Disponivel em: http://www1.sp.senac.br/hotsites/blogs/revistainiciacao/wp-
content/uploads/2016/01/114_IC_artigo_revisado.pdf. Acesso em: 15/09/2016.
[PWC 2016] “Pesquisa Global de Segurança da Informação 2016”. Disponível em:
http://www.pwc.com.br/pt/10minutes/assets/2016/pwc-10min-pesq-global-seg-inf-
16.pdf. Acesso em 06/10/2016.

Mais conteúdo relacionado

Mais procurados

Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)
Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)
Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)Rafael Targino
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de tiSilvino Neto
 
Gestão de Serviços de TI com a ITIL. Uma introdução
Gestão de Serviços de TI com a ITIL. Uma introduçãoGestão de Serviços de TI com a ITIL. Uma introdução
Gestão de Serviços de TI com a ITIL. Uma introduçãoRildo (@rildosan) Santos
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOAdriano Martins Antonio
 
Introdução a Computação em Nuvem.pptx
Introdução a Computação em Nuvem.pptxIntrodução a Computação em Nuvem.pptx
Introdução a Computação em Nuvem.pptxManoelGuilherme2
 
Cobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoCobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoFernando Palma
 
Projeto de implantação de um sistema ERP
Projeto de implantação de um sistema ERPProjeto de implantação de um sistema ERP
Projeto de implantação de um sistema ERPVictor Claudio
 
ITIL,COBIT and IT4IT Mapping
ITIL,COBIT and IT4IT MappingITIL,COBIT and IT4IT Mapping
ITIL,COBIT and IT4IT MappingRob Akershoek
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Métricas e Indicadores baseados na ITIL
Métricas e Indicadores baseados na ITILMétricas e Indicadores baseados na ITIL
Métricas e Indicadores baseados na ITILCompanyWeb
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...dgovs_pucrs
 
Curriculum Profissional Ti
Curriculum Profissional TiCurriculum Profissional Ti
Curriculum Profissional TiJoão Dias
 
Sistemas de Gestão de Bases de Dados e de Gestão de Ficheiros
Sistemas de Gestão de Bases de Dados e de Gestão de FicheirosSistemas de Gestão de Bases de Dados e de Gestão de Ficheiros
Sistemas de Gestão de Bases de Dados e de Gestão de FicheirosMariana Hiyori
 
Apresentação itil
Apresentação itilApresentação itil
Apresentação itilolivanlima
 

Mais procurados (20)

Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)
Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)
Proposta de um Processo de Arquitetura Corporativa (Enterprise Architecture)
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
 
Gestão de Serviços de TI com a ITIL. Uma introdução
Gestão de Serviços de TI com a ITIL. Uma introduçãoGestão de Serviços de TI com a ITIL. Uma introdução
Gestão de Serviços de TI com a ITIL. Uma introdução
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPO
 
Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500
 
Introdução a Computação em Nuvem.pptx
Introdução a Computação em Nuvem.pptxIntrodução a Computação em Nuvem.pptx
Introdução a Computação em Nuvem.pptx
 
Cobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de ImplementaçãoCobit 5 Parte 05: Guia de Implementação
Cobit 5 Parte 05: Guia de Implementação
 
Projeto de implantação de um sistema ERP
Projeto de implantação de um sistema ERPProjeto de implantação de um sistema ERP
Projeto de implantação de um sistema ERP
 
ITIL,COBIT and IT4IT Mapping
ITIL,COBIT and IT4IT MappingITIL,COBIT and IT4IT Mapping
ITIL,COBIT and IT4IT Mapping
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Métricas e Indicadores baseados na ITIL
Métricas e Indicadores baseados na ITILMétricas e Indicadores baseados na ITIL
Métricas e Indicadores baseados na ITIL
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
 
Curriculum Profissional Ti
Curriculum Profissional TiCurriculum Profissional Ti
Curriculum Profissional Ti
 
Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
 
Sistemas de Gestão de Bases de Dados e de Gestão de Ficheiros
Sistemas de Gestão de Bases de Dados e de Gestão de FicheirosSistemas de Gestão de Bases de Dados e de Gestão de Ficheiros
Sistemas de Gestão de Bases de Dados e de Gestão de Ficheiros
 
Apresentação itil
Apresentação itilApresentação itil
Apresentação itil
 
Entenda os tipos de visão
Entenda os tipos de visãoEntenda os tipos de visão
Entenda os tipos de visão
 
EA Report.pdf
EA Report.pdfEA Report.pdf
EA Report.pdf
 

Semelhante a Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação

Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
GID - Governança Integrada de Dados
GID - Governança Integrada de DadosGID - Governança Integrada de Dados
GID - Governança Integrada de DadosBusiness Station
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 

Semelhante a Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação (20)

Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_Riscos
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
GID - Governança Integrada de Dados
GID - Governança Integrada de DadosGID - Governança Integrada de Dados
GID - Governança Integrada de Dados
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo  ads - 6. semestre enviarPortfolio em grupo  ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviar
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 

Último

ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx2m Assessoria
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx2m Assessoria
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASMarcio Venturelli
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAMarcio Venturelli
 
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfAula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfInocencioHoracio3
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 

Último (8)

ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfAula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da informação

  • 1. Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação Luzia Moreira de Abreu Dourado, André Luiz Alves Pontifícia Universidade Católica de Goiás (PUC Goiás) Goiânia – GO, Brasil. lmdourado@gmail.com, andre.luiz@pucgoias.edu.br Resumo. A informação é um recurso primordial para todas as organizações, uma vez que seus dirigentes necessitam de informações confiáveis para tomar decisões corporativas de forma segura e eficaz. Como essas informações estão expostas a vários tipos de ameaças que podem modificá-las ou destruí-las, elas devem ser adequadamente protegidas, garantindo a continuidade do negócio e a reputação da organização. Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação. Palavras-chave: COBIT® 5, governança, segurança da informação, ISO/IEC 27002:2013, ABNT NBR ISO/IEC 27014:2013. Abstract. Information is a key resource for all organizations, since their leaders need reliable information to make business decisions safely and effectively. As this information is exposed to various types of threats that can modify them or destroy them, they must be adequately protected, ensuring business continuity and reputation of the organization. This article aims to present an analysis of the applicability of the enablers of information technology governance framework COBIT® 5 in information security in order to succinctly describe this application in combination with information security standards and good practices founded in literature, in order to assist in the implementation of effective governance and information security management. Keywords: COBIT® 5, governance, information security, ISO/IEC 27002:2013, ABNT NBR ISO/IEC 27014:2013.
  • 2. 1. Introdução A informação é um recurso primordial para todas as organizações, uma vez que seus dirigentes necessitam de informações confiáveis para tomar decisões corporativas de forma segura e eficaz. Porém, com o aumento de constantes ameaças às quais essas informações estão expostas, as organizações vivem sob constante risco de sofrer com vazamento ou perda de informações, bem como a indisponibilidade de seus serviços, comprometendo a continuidade dos negócios e a sua reputação. A preocupação com segurança da informação vem aumentando nos últimos anos. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança), que é responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à internet brasileira, divulgou as estatísticas de incidentes reportados entre 1999 a 2015, conforme pode ser visto na figura abaixo: Figura 1 Total de Incidentes de Segurança no período de 1999 a 2015. Fonte: [CERT.br 2015] Como pode ser visto, o total de notificações recebidas em 2014 foi 197% maior que o total de 2013, havendo uma redução em 2015 de 31% com relação à 2014. A título de ilustração, dentre os incidentes reportados, houve um aumento de 128% nas notificações de ataques a servidores Web em relação a 2014, totalizando 65.647 notificações. Além disso, 54,02% dos ataques reportados tem origem do Brasil [CERT.br 2015]. Diante desse quadro, as organizações estão cada vez mais preocupadas com a segurança de suas informações. Mas para assegurar isso, é necessário que a alta administração da organização planeje e implemente uma adequada governança e gestão da segurança da informação e, para isso, pode contar com a orientação do framework de governança de TI COBIT® 5. Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na
  • 3. literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação. Foram utilizados como insumos principais para esta análise o framework de governança de TI COBIT® 5, o guia COBIT® 5 para a Segurança da Informação, assim como as normas de segurança da informação ISO/IEC27002:2013 e a ABNT NBR ISO/IEC 27014:2013. O presente trabalho está organizado em cinco seções: a seção 2 apresenta os conceitos de segurança da informação; a seção 3 apresenta as normas de segurança da informação; a seção 4 apresenta o COBIT® 5 e o COBIT® 5 para a Segurança da Informação; a seção 5 apresenta a análise dos habilitadores do COBIT® 5 com foco na segurança da informação, demonstrando o inter-relacionamento entre os habilitadores e a seção 6 apresenta a conclusão desse trabalho. 2. Segurança da Informação A segurança da informação refere-se à proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. O principal objetivo da segurança informação é a entrega de informações confiáveis para que a alta administração da organização possa realizar a tomada de decisões de forma eficaz e segura e assim evitar impactos financeiros, operacionais e de imagem. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos [ISO 2013b]. 3. Normas de segurança da informação: ISO/IEC 27001:2013, ISO/IEC 27002:2013 e ABNT NBR ISO/IEC 27014:2013 A norma ISO ABNT 27014:2013 fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. Apresenta seis princípios que direcionam as diretrizes e ações de segurança da informação, a saber [ABNT 2013]: 1. Estabelecer a segurança da informação em toda a organização. 2. Adotar uma abordagem baseada em riscos. 3. Estabelecer a direção de decisões de investimento. 4. Assegurar conformidade com os requisitos internos e externos. 5. Promover um ambiente positivo de segurança.
  • 4. 6. Analisar criticamente o desempenho em relação aos resultados de negócios. Além disso, apresenta um modelo de implantação da governança de segurança da informação por meio de processos, que são: Avaliação, para avaliar o alcance dos objetivos de segurança estabelecidos na estratégia e determinar ajustes necessários para otimizar o alcance dos objetivos estratégicos no futuro, considerando as necessidades atuais e futuras do negócio; Direção, no qual a alta administração fornece o direcionamento para a estratégia de segurança da informação; Monitoramento, para acompanhar o desempenho das atividades de segurança da informação por meio de indicadores mensuráveis, e assegurar conformidade com requisitos internos e externos; • Comunicação, para que as partes interessadas sejam notificadas sobre o nível de segurança da informação praticada pela organização; Garantia, que é executado por uma auditoria independente de segurança da informação. Por sua vez, a norma ISO/IEC 27001:2013 é referência internacional para a gestão da segurança da informação, fornecendo requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). A fim de auxiliar no processo de implementação de um SGSI, a norma ISO/IEC 27002:2013 fornece diretrizes para práticas de gestão de segurança da informação, por meio de 114 controles de segurança. 4. COBIT® 5 O COBIT® 5, desenvolvido e difundido pela ISACA (Information System Audit and Control) e publicado em 2012, é um framework de governança e gestão corporativa de TI que tem como objetivo permitir que a TI seja governada e gerenciada de forma holística por toda a organização e ajudar as organizações a criar valor para TI, mantendo o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e o uso de recursos [ISACA 2012a]. Este framework é fundamentado em 5 princípios de governança corporativa de TI que permitem que a organização construa um framework efetivo de governança e gestão de TI. Esses princípios são: 1. Atender as necessidades das partes interessadas 2. Cobrir a organização de ponta a ponta 3. Aplicar um framework (modelo) único e integrado 4. Permitir uma abordagem holística 5. Distinguir a governança da gestão Este framework é baseado em um conjunto holístico de 7 categorias de enablers (ou habilitadores) que otimizam investimentos em tecnologia e informação utilizados para o benefício das partes interessadas. Essas categorias de habilitadores são:
  • 5. Princípios, políticas e modelos: são os veículos que traduzem o comportamento desejado em um guia prático para a gestão diária; Processos: descrevem um conjunto organizado de práticas e atividades para atingir determinados objetivos e produzem um conjunto de saídas que auxiliam no cumprimento dos objetivos de TI. Estruturas organizacionais: são as entidades-chave responsáveis pela tomada e decisão em uma organização; Cultura, ética e comportamento dos indivíduos e da organização: muito frequentemente subestimada como um fator de sucesso nas atividades de governança e gestão; Informação: que representa todas as informações produzidas e utilizadas pela organização e é imprescindível para manter a organização em funcionamento e bem governada; Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e aplicações que fornecem à organização os serviços de TI; Pessoas, habilidades e competências: estão associadas às pessoas e são necessárias para que as atividades sejam executadas com sucesso e para que decisões e ações corretivas sejam realizadas de forma correta. Além disso, O COBIT® 5 possui um modelo de referência de processos que subdivide os 37 processos de TI em domínios de governança e gestão. Sob a ótica da segurança da informação, a ISACA apresenta o COBIT® 5 para a Segurança da Informação que provê um guia específico detalhando cada um desses habilitadores de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação [ISACA 2012b]. Além desse guia, outros modelos podem ser utilizados para auxiliar nessa implementação, tais como as normas ISO/IEC 27002:2013 e ABNT 27014:2013. 5. Habilitadores do COBIT® 5 sob a perspectiva da segurança da informação Habilitadores são fatores que, individualmente e/ou em conjunto, influenciam no funcionamento de algo, nesse caso, na governança e gestão de segurança da informação. Os habilitadores são orientados pelos objetivos de segurança da informação, ou seja, esses objetivos definem o que os diferentes habilitadores deverão alcançar [ISACA 2012a]. Conforme descrito na seção 3, o framework COBIT® 5 define sete categorias de habilitadores. No tocante à segurança da informação, cada habilitador é descrito no guia COBIT® 5 para a segurança da informação e neste artigo é analisado sucintamente considerando as orientações desse guia, além do que preconiza as normas de segurança da informação e as referências bibliográficas pesquisadas. Esses habilitadores são descritos da seguinte forma:
  • 6. 5.1.1.Princípios, Políticas e Modelos Os princípios, as políticas e os modelos são o veículo pelo qual as decisões relativas à governança e gestão de segurança da informação são institucionalizadas e, por essa razão, agem como elementos integradores entre o estabelecimento da direção e as atividades de gestão [ISACA 2012a]. Para que as ações de segurança da informação possam contribuir com os objetivos estratégicos da organização, inicialmente é necessária a definição de princípios para a segurança da informação, a elaboração de políticas e o desenvolvimento de modelo de governança e gestão de segurança da informação. Os princípios, que norteiam todas as diretrizes e ações de segurança da informação, são a declaração de alto nível de como a segurança da informação será utilizada no negócio da organização [Manoel 2014]. Como exemplos de princípios, [ABNT 2013] define os seis princípios para a segurança da informação que foram descritos na seção 3. Ao definir os princípios de segurança da informação, é necessário que a organização elabore um conjunto de políticas e normas para a segurança da informação para que o processo de proteção da informação possa ser elaborado, implantado e mantido. As políticas fornecem orientações sobre como colocar esses princípios em prática e influenciam como a tomada de decisão se alinha aos princípios. Para cada política definida é necessária a elaboração de um conjunto de normas de segurança, de maneira a garantir que os procedimentos estejam coerentes com a política. O COBIT® 5 para Segurança da Informação recomenda que a organização elabore um modelo de políticas, composto de uma política geral e de um conjunto de políticas mais específicas. Segundo [Fontes 2012], a organização pode estabelecer uma arquitetura de regulamentos para segurança das informações, conforme apresentado na figura abaixo: Figura 2 Arquitetura de Regulamentos de Segurança da Informação. Fonte: [Fontes 2012]
  • 7. No primeiro nível, a organização define uma política de segurança da informação, que contém as diretrizes gerais a serem seguidas e que deverá ser aprovada pelo Presidente da organização. No segundo nível, há o conjunto de políticas mais específicas que detalham a política de segurança da informação a fim de orientar a implementação dos controles de segurança. É fundamental que esse conjunto de políticas contemple os controles definidos pelas normas internacionais de segurança da informação. Portanto, esse conjunto pode abordar os tópicos de segurança da informação definidas na norma ISO/IEC 27002:2013, a saber: controle de acesso físico e lógico à informação; gestão de ativos; classificação e tratamento da informação; segurança física e do ambiente; cópias de segurança; controles criptográficos; manutenção, desenvolvimento e aquisição de sistemas; relacionamento com fornecedores; gerenciamento das operações e comunicações; gerenciamento de incidentes. gerenciamento da continuidade de negócio. conscientização e treinamento de usuários. gestão de riscos. A partir do terceiro nível são definidas as normas que contém as regras básicas de como deve ser implementado o controle (ou conjunto de controles) que foi definido pelas políticas, e os procedimentos que contém atividades que detalham como deve ser implantado o controle ou conjunto de controles. Cada política deve definir seus objetivos, escopo, obrigações e responsabilidades, assim como deve ser periodicamente revisada para adequá-la às mudanças que ocorrem na organização ou no ambiente em que opera [ISACA 2012a]. Como forma de auxiliar na elaboração da política de segurança da informação, [Fontes 2012] definiu um padrão mínimo de política de segurança da informação que pode ser um patamar inicial de controles de segurança e facilitar para a organização que está começando seu processo de segurança da informação. Para que esse conjunto de políticas alcance os objetivos de segurança da informação da organização, é necessário que sejam comunicadas a todas as partes interessadas (internas e externas) da organização, por meio de um programa de conscientização, educação e treinamento, e sejam disponibilizadas em local de fácil acesso [ISO 2013b].
  • 8. Por fim, a organização pode estabelecer um modelo de governança e gestão para prover estrutura, orientação e ferramentas que possibilitem a governança e o gerenciamento apropriados [ISACA 2012a]. Como exemplos de modelos, tem-se a lista abaixo. Essa lista não é exaustiva nem exclusiva, podendo ser adotado outros modelos: Governança de segurança da informação: ABNT 27014:2013; Gestão de segurança da informação: ISO/IEC 27001:2013, complementado pelas práticas de controle da ISO/IEC 27002:2013. Para a implementação desses modelos, pode-se seguir as orientações do COBIT® 5 e COBIT® 5 para Segurança da Informação. Os Princípios, Políticas e Modelos possuem uma forte ligação com o habilitador Cultura, Ética e Comportamento, pois refletem os valores culturais e éticos da organização, e devem estimular o comportamento desejado. Além disso, as Estruturas Organizacionais podem definir e implementar as políticas dentro da sua própria abrangência de controle e as suas atividades também são definidas por essas políticas. O habilitador Processos com suas práticas e atividades também podem auxiliar na implementação dessas políticas [ISACA 2012a]. 5.1.2.Processos Processos descrevem um conjunto organizado de práticas e atividades para alcançar determinados objetivos e produzir um conjunto de saídas para apoiar o alcance de metas relacionadas à tecnologia da informação de uma organização [ISACA 2012a]. O COBIT® 5 possui um modelo de referência de processos que subdivide os 37 processos de TI em domínios de governança e gestão, sendo cinco processos relacionados à governança e 32 ligados à gestão de TI. Como não é possível determinar um conjunto de processos que possa ser aplicado a todas as organizações, convém selecionar e implementar processos com base no diagnóstico de segurança da informação e nos cenários de risco e que sejam capazes de melhorar a segurança da informação da organização, maximizando assim a entrega de valor para as partes interessadas. [Manoel 2014] elaborou uma matriz de alinhamento entre os processos do modelo de governança de segurança da informação ABNT 27014:2013 com os processos do COBIT® 5 que são suficientes para implantar os processos-chave desse modelo de governança, conforme tabela abaixo: Tabela 1 Modelos de Governança de Segurança da Informação. Fonte: [Manoel 2014] Implantação dos Modelos de Governança de Segurança da Informação ABNT 27014:2013 COBIT® 5 Avaliação MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno
  • 9. MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Direção APO01 – Gerenciar o Framework de Gestão de Segurança da Informação APO02 – Gerenciar a Estratégia APO04 – Gerenciar a Inovação APO05 – Gerenciar o Portfólio APO06 – Gerenciar o Orçamento e os Custos APO08 – Gerenciar Relacionamentos APO11 – Gerenciar a Qualidade APO12 – Gerenciar os Riscos APO13 – Gerenciar a Segurança Monitoração MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Comunicação APO08 – Gerenciar as Relações Garantia MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Para a implementação dos processos na perspectiva da segurança da informação, o COBIT® 5 para Segurança da Informação apresenta informações complementares para cada um dos processos, incluindo detalhes de objetivos, métricas e atividades específicas de segurança da informação. Como forma de auxiliar na seleção das práticas de segurança da informação contidas na ISO/IEC 27002:2013 a serem implementadas, [Pimentel, Tavares & Ferreira 2015] realizou um mapeamento das práticas de segurança da informação contidas nessa norma com os processos do COBIT® 5, a fim de ser mais um recurso para orientação na implementação dos processos. O habilitador Processos se relaciona com o habilitador Informações, pois processos necessitam de informações (como um dos tipos de entrada) e podem produzir informações (como um produto do trabalho). Processos necessitam de Estruturas Organizacionais e papéis para funcionar, conforme demonstrado nas tabelas RACI, como por exemplo, comitê de segurança da informação, diretor de segurança da informação, gerente de segurança da informação, diretor executivo, etc. Além disso, Processos podem depender de outros processos; podem produzir, e também requerer, capacidades de serviço definidas no habilitador Serviços, Infraestrutura e Aplicativos e necessitar de políticas e procedimentos definidos no habilitador Princípios, Políticas e Modelos para garantir a consistência da implementação e execução. Por fim, a qualidade da execução dos processos é determinada pelo habilitador Cultura, Ética e Comportamento, por meio dos aspectos culturais e comportamentais da organização [ISACA 2012a].
  • 10. 5.1.3.Estruturas organizacionais As estruturas organizacionais são as principais entidades de tomada de decisão de uma organização que devem direcionar, organizar e estruturar as atividades de governança e gestão de segurança da informação. Para o funcionamento adequado dessas estruturas, é necessário que sejam definidas as disposições práticas sobre como a estrutura operará, a composição, competências, responsabilidades de cada papel dentro da estrutura, duração do mandato, nível de autoridade e procedimentos de escalação com as ações necessárias no caso de problemas com a tomada de decisão [ISACA, 2012a]. Os principais papéis e estruturas organizacionais relacionadas à segurança da informação comumente encontradas nas organizações são [ITGI 2008][Manoel 2014][ISACA 2012b]: 5.1.3.1. Comitê de Segurança da Informação O Comitê de Segurança da Informação tem a finalidade de formular e conduzir diretrizes para a segurança da informação em conformidade com os objetivos estratégicos da organização, deliberar sobre os aspectos que demandam o envolvimento da alta administração e garantir, por meio de monitoramento, que as boas práticas de segurança da informação sejam aplicadas de forma eficaz e consistente na organização [ISACA, 2012a]. As responsabilidades desse Comitê incluem, mas não estão limitadas a [Manoel 2014]: decisão sobre os investimentos de Segurança da Informação; aprovação do Plano Estratégico de Segurança da Informação; cobrança dos resultados positivos da área de gestão que são esperados do modelo de governança de segurança da Informação. 5.1.3.2. Diretor de Segurança da Informação O Diretor de Segurança da Informação, também conhecido como Chief Information Security Officer (CISO), é o responsável geral pelo programa de segurança da informação da organização. Segundo [Manoel 2014], ele deve estar subordinado diretamente ao presidente da organização e não à área de TI, pois essa área é a mais afetada com as ações de segurança da informação e, como a área de segurança da informação é responsável por fiscalizar e auditar o cumprimento de suas determinações, pode ocorrer conflito de interesse ao expor as infrações da área de TI. O Diretor de Segurança da Informação deve fazer o alinhamento das decisões estratégicas de Segurança da Informação (que serão disponibilizadas em forma de diretrizes pelo Comitê de Segurança da Informação) com a gestão de segurança da Informação. As responsabilidades do Diretor de Segurança da Informação incluem, mas não estão limitadas a [ITGI 2008] [ISACA 2012b][Manoel 2014]:
  • 11. Elaborar e enviar o Plano Estratégico de Segurança da Informação para aprovação do Comitê de Segurança da Informação; Coordenar o comitê de Segurança da Informação; Promover a divulgação de segurança da informação no âmbito da organização; Acompanhar as investigações de incidentes de Segurança da Informação e as avaliações dos danos decorrentes de quebra de segurança. Estabelecer, manter e monitorar o sistema de gestão de segurança da informação (SGSI). 5.1.3.3. Gerente de Segurança da Informação O Gerente de Segurança da Informação é o responsável que administra, projeta, supervisiona e/ou avalia a segurança da informação de uma organização. As responsabilidades do Gerente de Segurança da Informação incluem, mas não estão limitadas a [ISACA 2012b]: Realizar avaliações de risco de informação e definir o perfil de risco da informação; Desenvolver plano de segurança de informação que identifica o ambiente de segurança da informação e os controles a serem implementados pela equipe para proteger os ativos organizacionais. Monitorar os controles internos implementados, coletar e analisar desempenho e conformidade dos dados relativos à segurança da informação e gerenciamento de risco; Fornecer maneiras de melhorar a eficiência e eficácia da função de segurança da informação (por exemplo, através da capacitação de pessoal de segurança da informação; documentação de processos, tecnologia e aplicações; e automação padronização do processo). 5.1.3.4. Equipe de Segurança da Informação A Equipe de Segurança da Informação deve implementar as ações de segurança conforme orientações do Diretor de Segurança da Informação. As responsabilidades da Equipe de Segurança da Informação incluem, mas não estão limitadas a [Manoel 2014]: Definir, implementar, controlar e revisar controles de segurança da informação; Avaliar os procedimentos de segurança da informação, reportando seus resultados e discutindo com os envolvidos as melhorias necessárias; Tratar os incidentes de segurança da informação. Prover e administrar salvaguardas físicas contra acessos não autorizados, protegendo contra eventuais prejuízos no negócio da organização;
  • 12. O habilitador Estruturas organizacionais possuem relacionamento com o habilitador Políticas, Princípios e Modelos, pois as atividades que as estruturas organizacionais desempenham e os seus níveis de autoridade são estabelecidos pelas políticas da organização, como por exemplo, a política de segurança da informação. Além disso, relaciona-se com o habilitador Processos à medida que os papéis e estruturas organizacionais são associadas às atividades de processos por meio de matrizes RACI que descrevem o nível de envolvimento de cada papel em cada prática de processo: Responsável, Aprovador, Consultado ou Informado. Ainda possui relação com o habilitador Cultura, Ética e Comportamento porque este determina a eficiência e eficácia das estruturas organizacionais e de suas decisões; o habilitador Pessoas, Habilidades e Competências definem o conjunto adequado de habilidades adequadas dos membros que compõem as estruturas organizacionais[ISACA 2012a]. 5.1.4.Cultura, Ética e Comportamento O habilitador Cultura, Ética e Comportamento referem-se ao conjunto de comportamentos individuais e coletivos de cada organização. O comportamento de todos os membros da organização determina a sua cultura, logo o comportamento humano é o fator chave para o sucesso da segurança da informação em uma organização [ISACA 2012a]. As pessoas são o ativo organizacional mais vulnerável, uma vez que sempre estará sujeito a ameaças como ataques de engenharia social, que são um tipo de ameaça de segurança contra pessoas inocentes que podem resultar em perda de dados ou vazamento de informações. Segundo a Pesquisa Global de Segurança da Informação 2016 realizada pela PricewaterhouseCoopers (PwC), 34% dos incidentes de segurança são atribuídos aos empregados das organizações e no Brasil esse percentual sobe para 41% [PWC 2016]. Portanto, para mitigar esses riscos e para que as ações de segurança da informação sejam eficazmente realizadas, a alta administração deve comunicar e incentivar toda a organização o comportamento em segurança da informação desejado. Isso é obtido por meio da divulgação das políticas de segurança da informação que orienta detalhadamente sobre esse comportamento desejado. Além disso, a organização deve estabelecer uma cultura de segurança da informação por meio do desenvolvimento de um programa de educação e conscientização de segurança da informação, que trata de educar todas as pessoas em uma organização para que elas possam ajudar a proteger os ativos de informação da organização. Esse programa de educação e conscientização de segurança da informação deve fazer com que as pessoas compreendam e respeitem as políticas e princípios de segurança da informação, sejam conscientizadas da sua responsabilidade pela proteção das informações e encorajadas a praticar a segurança em suas operações diárias. Além disso, devem ser capacitadas para identificar um incidente de segurança da informação e como reportar e reagir caso isso ocorra.
  • 13. [ISACA 2012b] recomenda que se faça uma avaliação da cultura organizacional de segurança da informação, por meio da aferição de comportamentos, que podem incluir, dentre outros: Uso de crachá; Discussão pública de informação confidencial; Força das senhas; Proteção de senha do usuário na prática; Percentual de adequada rotulação de informações classificadas (eletrônicas e impressas) Além disso, recomenda a conscientização do comportamento que a organização deseja seja reforçada por exemplos de comportamentos exercidos pela alta administração e outras lideranças, tais como gestores de risco, profissionais de segurança e executivos. O habilitador Cultura, Ética e Comportamento se relaciona com o habilitador Princípios, políticas e modelos, pois aquele é um mecanismo de comunicação muito importante dos valores corporativos e do comportamento desejado; com o habilitador Processos, pois os resultados do processo serão alcançados somente se as partes interessadas do processo se comprometam a realizar as atividades do processo conforme planejado e se relaciona com o habilitador Estruturas Organizacionais porque as pessoas responsáveis por essas estruturas precisam estar comprometidas com a implementação as decisões que elas tomam [ISACA 2012a]. 5.1.5.Informação A Informação é um habilitador chave para a segurança da informação, pois a alta administração da organização utiliza informações para a tomada de decisões, como por exemplo, o Comitê de Segurança da Informação pode utilizar o diagnóstico da situação atual de segurança da organização para desenvolver a estratégia de segurança da informação. Esse habilitador intrage com todos os demais habilitadores [ISACA 2012b]. Para cada tipo de informação existente na organização é necessário identificar as partes interessadas na informação, bem como o relacionamento entre essas partes e o tipo de informação. Esses relacionamentos definem quem é o produtor da informação, quem aprova a informação, quem é informado sobre ela e quem pode utilizá-la. Além disso, a norma ISO/IEC 2702:2013 recomenda a classificação das informações em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada, a fim de fornecer às pessoas que lidam com informações uma indicação concisa de como tratar e proteger a informação. Essa classificação auxilia na definição de procedimentos de segurança para o tratamento, processamento, armazenamento, compartilhamento, transmissão, uso e descarte da informação [ABNT 2013]. Para que a segurança das informações seja garantida, o guia COBIT® 5 para segurança da informação relaciona os tipos de informações que são relevantes na governança e gestão de segurança da informação, a saber [ISACA 2012b]:
  • 14. Estratégia de segurança da informação; Plano de investimentos em segurança; Plano e políticas de segurança da informação; Requisitos de Segurança da Informação, que podem incluir requisitos de configuração de segurança da informação e acordos de níveis de serviço; Materiais de conscientização; Relatórios de revisão, incluindo relatório sobre a maturidade da segurança na organização, de ameaças e vulnerabilidades; Catálogo de serviços de segurança da informação; Relatórios sobre o gerenciamento de riscos da informação; Dashboard de segurança da informação, que inclui o acompanhamento dos indicadores de resultados, os problemas e incidentes de segurança da informação. Para cada tipo de informação supracitada, esse guia especifica as partes interessadas e seus relacionamentos com o tipo de informação. 5.1.6.Serviços, Infraestrutura e Aplicações O habilitador Serviços, Infraestrutura e Aplicações identifica as capacidades de serviços que são necessários para prover a segurança da informação [ISACA 2012b]. Para isso, os serviços necessitam de infraestrutura e de aplicações adequadas além de serem bem gerenciados, com a mensuração de seus resultados que contribuam para o negócio da organização. Segundo [ISACA 2012a], as capacidades de serviço possuem um ciclo de vida e são descritas em uma arquitetura. Essa arquitetura norteia a implementação dessas capacidades, descrevendo as conexões e as relações entre os serviços, aplicativos e infraestrutura planejados. No tocante à segurança da informação, os serviços relacionados à segurança são planejados para prover a implementação dos controles de segurança selecionados para a mitigação dos riscos levantados na análise/avaliação de riscos, assim como para implementar as diretrizes das políticas de segurança. A lista a seguir contém exemplos de serviços relacionados com a segurança [ISACA 2012b] [ISO 2013b]: Fornecer uma arquitetura de segurança; Fornecer conscientização de segurança; Fornecer avaliações de segurança; Fornecer resposta a incidentes; Assegurar a proteção adequada contra software malicioso, ataques externos e tentativas de intrusão; Fornecer serviços de monitoramento e alerta para eventos relacionados à segurança;
  • 15. Proporcionar o desenvolvimento seguro em conformidade com as normas de segurança; Fornecer sistemas adequadamente protegidos e configurados, de acordo com requisitos e arquitetura de segurança; Proporcionar acesso de usuários e direitos de acesso em conformidade com requisitos de negócio; Fornecer testes de segurança; Os serviços, infraestrutura e aplicações se relacionam com o habilitador Informações, pois se utilizam de informações de negócio da organização para serem planejados; e para que sejam bem aplicados, se relaciona com o habilitador Cultura, Ética e Comportamento, para que seja criada uma cultura orientada a serviços relacionados à segurança, além de se ter Estruturas Organizacionais que tenham responsabilidades no gerenciamento desses serviços. Além disso, essas capacidades de serviço podem ser requeridas como entradas para os processos de governança e gestão ou geradas como resultados da execução desses processos [ISACA 2012a]. 5.1.7.Pessoas, Habilidades e Competências Para que a execução da governança e gestão de segurança da informação seja bem sucedida, é necessário que as pessoas envolvidas possuam habilidades técnicas e comportamentais e qualificação para exercer os papéis relacionados à segurança da informação. A organização precisa periodicamente avaliar a sua base de habilidades e competências para identificar aquelas que necessitam de melhorias e poder planejar a sua evolução, seja por meio do desenvolvimento das habilidades (com treinamentos) ou pela aquisição destas (por meio de contratação de pessoas com tais habilidades). Nesse processo de avaliação e planejamento, a organização precisa garantir um quantitativo de empregados suficiente para a execução de funções relativas à segurança da informação e que possuam as seguintes habilidades e competências dentro de sua área de atuação [ISACA 2012b]: Governança de segurança da informação: para estabelecer e manter o modelo de governaça de segurança da informação que garanta que a estratégia de segurança da informação esteja alinhada com os objetivos estratégicos da organização e que os recursos sejam adequadamente gerenciados; Formulação estratégica de segurança da informação: para definir e implementar a visão, missão e objetivos da segurança da informação alinhadas à estratégia da organização; Gerenciamento de riscos da informação: para garantir que o risco da informação seja gerenciado; Desenvolvimento de arquitetura de segurança: para supervisionar a concepção e implementação da arquitetura de segurança da informação;
  • 16. Operações de segurança de informação: para gerenciar um programa de segurança da informação; Teste, avaliação e conformidade em segurança da informação: para garantir conformidade do processamento da informação com leis, regulamentos, diretivas e normas; Boas práticas de segurança da informação para usuários finais. O guia COBIT® 5 para segurança da informação detalha cada habilidade e competência supracitada, descrevendo a experiência e qualificações requeridas para cada habilidade/competência; os conhecimentos, habilidades técnicas e comportamentais, além dos papéis/estruturas organizacionais relacionadas à habilidade/competência. Como exemplo, para a habilidade Gerenciamento de riscos da informação, são necessárias as seguintes experiências, qualificações, conhecimentos, habilidades técnicas e comportamentais [ISACA 2012b]: Tabela 2 Atributos da habilidade Gerenciamento de riscos da informação. Fonte: [ISACA 2012b] Experiência Avaliação de riscos relacionados com as práticas de segurança da informação Mitigação de riscos com base nas necessidades da organização Gestão de risco, perfil de risco e avaliações de ameaças. Qualificação CRISC (Certified in Risk and Information Systems Control) Conhecimentos Métodos para estabelecer um modelo de classificação de ativos de informação consistente com os objetivos de negócios Avaliação de riscos Processos de negócios Padrões de segurança da informação (ex. NIST, PCI, etc) Leis e regulamentos relacionados com a segurança da informação Frameworks e modelos de risco Habilidades técnicas Compreensão das práticas e atividades de segurança da informação e os riscos associados a elas Análise de risco e controles para mitigação destes Habilidades comportamentais Pensador abstrato Expertise em resolução de problemas As habilidades e competências são necessárias para realizar as atividades dos processos de governança e gestão de segurança da informação e tomar decisões em estruturas organizacionais. Reciprocamente, alguns processos visam apoiar o ciclo de vida das habilidades e competências. Há ainda uma relação com a cultura, ética e comportamento através das habilidades comportamentais, que orientam o comportamento do indivíduo e são influenciadas pela ética da pessoa e pela ética da organização [ISACA 2012a]. 6. Conclusão Para que seja possível a implementação de governança e gestão de segurança da informação em uma organização, é necessário não somente focar na implementação de processos ou de mecanismos de segurança, mas também focar nos demais fatores que
  • 17. influenciam nessa implementação. Esses fatores são conhecidos no framework de governança de gestão de TI COBIT® 5 como habilitadores e foram objeto de estudo nesse artigo. As organizações podem se valer desse estudo para o planejamento das iniciativas de segurança da informação em seu ambiente, mas vale ressaltar que cada organização precisa definir seus próprios habilitadores de segurança da informação com base nos seus objetivos de negócio e nos riscos avaliados. 7. Referências [ABNT 2013] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ISO/IEC 27014:2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da Informação. Brasil, 2013b. [CERT.br 2015] “Estatísticas dos Incidentes Reportados ao CERT.br”. Disponível em: http://www.cert.br/stats/incidentes/. Acesso em 06/10/2016. [Fontes 2012] Fontes, Edison. Políticas e Norma para a Segurança da Informação. Ed. Brasport, 2012. [ISO 2013a] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION ISO/IEC 27001:2013 – Information Technology – Security techniques – Information security management systems — Requirements. Switzerland, 2013a. [ISO 2013b] INTERNACIONAL ORGANIZATION FOR STANDARDIZATION ISO/IEC 27002:2013 – Information Technology – Security techniques – code of practice for information security controls. Switzerland, 2013b. [ISACA 2012a] ISACA, COBIT® 5: A Business Framework for the Governance and Management of Enterprise IT, USA, 2012a. [ISACA 2012b] ISACA, COBIT® 5 for Information Security, USA, 2012b. [ITGI 2008] IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Information Security Managers. USA, 2008. [Manoel 2014] Manoel, Sérgio da Silva. Governança de Segurança da Informação Como criar oportunidades para o seu negócio. Ed. Brasport. 2014. [Pimentel, Tavares & Ferreira 2015] Pimentel, Denise da Silva; Tavares, Leandro do Anjos; Ferreira, Thamiris Silvestre. “Aderência do framework COBIT® 5 em relação a norma de segurança da informação ABNT NBR ISO/IEC 27002:2013”. Edição Temática em Tecnologia Aplicada, vol. 5 no 4. Centro Universitário Senac-SP, 2015 Disponivel em: http://www1.sp.senac.br/hotsites/blogs/revistainiciacao/wp- content/uploads/2016/01/114_IC_artigo_revisado.pdf. Acesso em: 15/09/2016.
  • 18. [PWC 2016] “Pesquisa Global de Segurança da Informação 2016”. Disponível em: http://www.pwc.com.br/pt/10minutes/assets/2016/pwc-10min-pesq-global-seg-inf- 16.pdf. Acesso em 06/10/2016.