Este documento discute a segurança da informação nas organizações. Primeiro, aborda como a informação assumiu um papel fundamental nas organizações modernas e como os dados se transformam em informações e conhecimento. Também discute os riscos à segurança da informação provenientes de dentro e fora da organização e a necessidade de classificar as informações e protegê-las ao longo de seu ciclo de vida. Finalmente, enfatiza a importância de uma abordagem corporativa para segurança da informação, envolvendo diferentes departamentos e níveis hierárquicos da organização
3. Mudanças no paradigma das organizações
› A evolução das Tecnologias de Informação e Comunicação
(TICs), o acesso facilitado a informação e conhecimento, as
mudanças organizacionais e nos métodos de trabalho, novos
modelos de negócio, a comunicação e competitividade,
dentre outros fatores causaram mudanças no paradigma das
organizações contemporâneas.
› A informação assume um papel fundamental na nova
realidade mundial de uma sociedade globalizada, e a
aceitação dessa ideia a coloca como recurso chave de
competitividade, de diferencial de mercado, de lucratividade e
de poder nessa nova sociedade do Século XXI
3
4. A Informação
› A palavra informação deriva do latim, informare, que
significa dar forma ou aparência, criar, representar uma
ideia ou noção de algo que é colocado em forma, em
ordem.
› Comumente encontramos o emprego da palavra
informação como o ato ou efeito de informar,
comunicar-se, algo transmitido e dotado de propósitos.
4
5. A Informação (Definições)
› Algumas definições presentes na literatura:
– “Dado investido de propósito” (Drucker , 2000, p. 13)
– “Informação é um conjunto de fatos organizados de modo a
terem valor adicional, além do valor dos fatos propriamente
ditos”(Stair e Reynolds, 2002, p.10),
– “Dados coletados, organizados, ordenados, aos quais são
atribuídos significados e contexto”(McGee e Prusak, 1994, p.
24)
– “É uma mensagem, geralmente na forma de um documento ou
uma comunicação audível ou visível e que, em um processo
natural, os dados são transformados em informações”
(Davenport, 1994, p. 04)
5
6. O Fluxo da Informação
Dado Informação Conhecimento
6
7. O Fluxo da Informação nas Organizações
7
› Dados são elementos que representam eventos ocorridos em
uma organização, antes de serem organizados em uma forma
entendível, ou seja, os dados são elementos brutos
desprovidos de significados.
– Exemplo: horário que o funcionário bateu o ponto.
› Depois de serem submetidos a um processo de organização,
manipulação, análise e avaliação, os dados passam a ter
valor para a organização, em um contexto especifico, e
assumem a forma de informação.
– Exemplo: O calculo da diferença entre o horário final do funcionário e
o horário que ele bateu o ponto da saída → Quantidade de hora
excedente.
› Tais informações são utilizadas parar tomada de decisão com
base no conhecimento adquirido de experiências vividas.
8. A Informação na Organização
8
› A onipresença da
informação nas
organizações
› Ativo valioso o
funcionamento das
organizações
9. A Informação na Organização
› A informação como o
“Sangue” da empresa.
› Necessário para o
funcionamento dos
subsistemas da empresa.
› Essencial para o
funcionamento da
empresa.
› Fluxo entre as interfaces
dos subsistemas.
9
10. Problemas com a proliferação das
Informações
› À medida que as informações se proliferam nas
organizações, geram-se problemas de difíceis resoluções
práticas.
› A sua importância assume um caráter subjetivo e
dinâmico em função do papel que pode desempenhar
nas atividades da organização.
› Exigindo esforços para distingui-las e classificá-las diante
dos diversos critérios que podem ser adotados
10
11. Classificação das Informações em uma
Organização
› A classificação da informação em uma organização pode
assumir dois papeis distintos e cruciais:
– Importância para o negócio (organização)
– À sua proteção durante o ciclo de vida
11
12. Classificação das Informações em uma
Organização
› Importância para o negócio (organização)
– Critica - essencial à sobrevivência da organização;
– Mínima - essencial para uma boa gestão da organização;
– Potencial - essencial para a obtenção de vantagens
competitivas utilizando-se os sistemas de informação;
– Lixo - desprovida de qualquer valor;
› Deve-se existir um esforço para a manutenção da
informação crítica, mínima e potencial. Além da redução
de desperdícios de recursos com as informações LIXO.
12
14. Classificação das Informações em uma
Organização
› Quanto a sua proteção (requisitos de
segurança) durante o ciclo de vida
– Manuseio: Momento em que a informação
é criada e manipulada
› Formal (deliberadamente planejado)
› Informal (de forma espontânea)
– Armazenamento: Momento em que a
informação é armazenada (banco de
dados, papel, pen-drive, etc)
– Transporte: Momento em que a
informação é transportada (email, ligação,
postagem, etc)
– Descarte: Momento em que a informação
é descartada (lixeira, deleção de um
arquivo, etc)
14
15. Manipulação das Informações
› A circulação das informações pelos setores e processos das
empresas está sujeita a ameaças e vulnerabilidades.
› Em caso de furos, podem haver impactos negativos para a
empresa
› As informações deixaram de estar confinadas em ambientes
físicos e passaram a estar em uma grande TEIA DE
COMUNICAÇÃO INTEGRADA.
– Distribuídas e Compartilhadas
› As vulnerabilidades transcendem os aspectos tecnológicos,
sendo alvo de interferências provocadas por aspectos físicos
e humanos.
15
16. A “miopia” dos executivos
› A informação é o alvo
› Os executivos pensam em
segurança apenas como recursos
tecnológicos.
– Associam apenas a redes,
computadores, vírus, hackers e
internet
– Há outros aspectos de segurança que
são importantes para os negócios.
› Elementos internos e externos que
também se relacionam com a Segurança
da Informação (características físicas,
tecnológicas e humanas das empresa,
mercado, concorrentes, planos e
estratégias de negócio)
16
18. Diversidade panorâmica das ameaças que
põem o negócio em risco
› Na empresa, o desafio é realizar ações que mapeiem e
identifiquem a situação atual da empresa, suas ameaças,
vulnerabilidades, riscos, sensibilidades e impactos, a fim
de permitir o adequado dimensionamento e modelagem
da solução.
› Cada empresa possui características particulares que
levarão à aplicação de uma solução personalizada capaz
de levá-la a um nível de segurança também
personalizado
18
19. Diversidade panorâmica das ameaças que
põem o negócio em risco
› Não existe segurança total. Cada empresa precisará de
um nível distinto.
› Se o nível for alto demais, poderá gerar efeitos colaterais,
como a perda de velocidade em função da
burocratização de processos, a insatisfação de clientes e
parceiros, e até o desinteresse de possíveis investidores,
dentre outros.
› Cai, portanto, o mito de que é possível operar com risco
zero. Sempre haverá risco, e ele deve ser ajustado à
natureza do negócio, considerando todas as variáveis
internas e externas apontadas anteriormente a fim de
viabilizar a operação da empresa.
19
20. Macroaspectos para análise do contexto de
segurança
› Quais os macroaspectos que devemos considerar para a
análise da segurança da informação?
20
22. Por que se preocupar com a Segurança?
› Considere o contexto de uma casa. Na casa há duas
portas: social e serviço
– Qual a importância e o papel dessas portas?
– Quais os ativos que estão protegidos com as portas?
22
23. Por que se preocupar com a Segurança?
› Considere o contexto de uma casa. Na casa há duas
portas: social e serviço
– Qual a importância e o papel dessas portas?
› Resistência aos que querem acessar fisicamente os ambientes
› Proteção aos bens
› Proteção a família
– As portas possuem os mesmos mecanismos de segurança?
› Mesmo tipo de fechadura?
› Mesma proteção?
› Comumente, não! Há níveis de segurança distintos.
23
24. Por que se preocupar com a Segurança?
› E na empresa, o que devemos assegurar analisar quando
queremos implantar Segurança da Informação.
– Aspectos Tecnológicos
– Aspectos Físicos
– Aspectos Humanos.
› Considerando o Laboratórios de Informática do IFAL, como
são assegurados os aspectos acima?
› Será que o investimento em Segurança da Informação está
alinhado com o objetivo estratégico da Organização?
– Melhora o ROI (Retorno Sobre Investimento)
24
25. Segurança nas Empresas
› O nível de Segurança está diretamente associado ao
nível de segurança da “porta mais fraca”.
› É preciso ter uma visão corporativa capaz de viabilizar
uma ação consistente e abrangente.
› A todo instante, os negócios, seus processos e ativos
físicos, tecnológicos e humanos, são alvo de investidas
de ameaças de toda ordem, que buscam identificar um
ponto fraco compatível, uma vulnerabilidade capaz de
potencializar sua ação.
– Quando essa possibilidade aparece, a quebra de segurança é
consumada.
25
28. Segurança das Informações: Erros!
› Atribuir exclusivamente à área tecnológica a segurança
da informação.
› Posicionar hierarquicamente essa equipe abaixo da
diretoria de TI e julgar que esse é o posicionamento
definitivo.
› Definir investimentos subestimados e limitados à
abrangência dessa diretoria.
› Elaborar planos de ação orientados à reatividade.
› Não perceber a interferência direta da segurança com o
negócio.
28
29. Segurança das Informações: Erros!
› Tratar as atividades como despesa e não como
investimento.
› Adotar ferramentas pontuais como medida paliativa.
› Satisfazer-se com a sensação de segurança provocada
por ações isoladas.
› Não cultivar corporativamente a cultura da gestão de
riscos.
› Tratar a segurança como um projeto e não como um
processo.
29
30. Segurança das Informações: Sensibilização
top-down
› Por se tratar de um assunto
estratégico, se faz necessário
mobilizar/sensibilizar a alta
cúpula da empresa para, só
assim, chegar nos níveis de
informações estratégicos e
operacionais.
– Ações, financeiro, priorização,
dentre outros aspectos devem
ser observados.
– Necessidade de
convencimento
30
31. Segurança das Informações:
Retorno sobre o Investimento
› O ROI (retorno sobre o investimento) é uma ferramenta
antiga, velha conhecida dos empreendedores,
investidores e executivos atentos ao mercado e às
oportunidades.
› Construído através do cruzamento de dados reais
relacionados a custos diretos, indiretos e intangíveis,
com a projeção de investimentos, torna-se ótimo
instrumento para nortear as ações desses executivos.
› Analisando-o, consegue-se muitas vezes justificar altos
investimentos, mudanças de rumo e estratégia; afinal,
torna-se possível projetar o retorno do investimento.
– Resposta: Devo realizar esse investimento???
31
33. Segurança das Informações:
Retorno sobre o Investimento
› Ponto de Inflexão
– Situação é indesejada
– O mesmo que investir em
segurança um montante
maior do que o próprio
valor do bem protegido,
considerando e
ponderando, é claro, todos
os aspectos associados à
operação do negócio.
33
34. Segurança das Informações:
Retorno sobre o Investimento (exemplos)
› Se cruzarmos o número de contaminações por vírus de
computador em um ano, o percentual de funcionários atingidos,
o tempo perdido com a paralisação e o custo homem/hora,
perceberemos com nitidez o impacto direto no negócio.
› Se, por ocasião de um desastre, houver a indisponibilidade de um
serviço — por exemplo, Internet Banking —, multiplique o número
de correntistas que o acessam por hora, a economia que a
empresa tem pelo fato de seus correntistas evitarem as agências
e migrarem para a Internet e, assim, terá o impacto direto no
negócio.
› O acesso indiscriminado e controle à internet pode provocar uma
sobrecarga da banda de rede, antecipando investimentos e
causando indisponibilidade.
34
35. Quem são os responsáveis para Segurança
da Informação em uma empresa?
› Quem deve coordenar as ações de Segurança a Informação
nas empresas?
– Muitas empresas relacionam, e muitas vezes encapsulam, o
orçamento e as ações de segurança ao plano diretor de informática
ou plano estratégico de TI.
– Se considerarmos a diversidade das vulnerabilidades, ameaças e
impactos que incidem sobre todos os ambientes e processos da
empresa, veremos que tal modelo não cumpre o papel.
– A empresa pode ter uma coordenação voltada para os recursos
tecnológicos e não considerando os aspectos adicionais (humanos e
físicos).
– As ações precisam estar intimamente alinhadas às diretrizes
estratégicas da empresa, sendo necessário ter uma visão
corporativa, global e ampla, capaz de criar sinergia entre as
atividades e, principalmente, maior ROI.
35
36. Quem são os responsáveis para Segurança
da Informação em uma empresa?
› Um comitê corporativo de segurança da informação deve
ser criado.
› Posicionada no segundo nível hierárquico, ao lado do comitê
executivo que reúne CEO e conselheiros
› Essa unidade deve ser multidepartamental, coordenada e
mediada pelo Security Officer, mas com forte
representatividade das diretorias da empresa.
› Considerando o porte e o modelo organizacional da
empresa, poderá ser necessária a criação de comitês
interdepartamentais de segurança, que irão se reportar ao
comitê corporativo, estes movidos por representantes de
perfil gerencial — sintonizados com o Security Officer
36
38. Uma vez planejado, não muda? Não!
Gerenciamento de Mudanças
› Mudanças podem acontecer a qualquer momento.
› Muitas variáveis podem interferir direto ou indiretamente
nos riscos operacionais dos negócios.
› As mudanças das variáveis podem ser imprescritíveis e
incontroláveis. Logo, as empresas devem estar
respaldadas por uma solução de segurança (não
reativa).
› Se faz necessário um processo que capaz de
acompanhar com velocidade as variações do ambiente
e controlar os riscos para manter-se num nível
adequado.
38
40. Uma vez planejado, não muda? Não!
Gerenciamento de Mudanças
› A segurança que todas deverão buscar deve ser
mantida por um verdadeiro processo de gestão
corporativa de segurança da informação, sustentado
por subprocessos retroalimentados que interajam todo
o tempo com as variáveis e estejam constantemente
sendo ajustados às diretrizes estratégicas do negócio.
– Modelo de Gestão Corporativa de Segurança da Informação
40
41. Modelo de Gestão Corporativa de Segurança
› O Modelo de Gestão Corporativa de Segurança
apresenta uma visão clara de todas as etapas que
compõem o desafio corporativo da segurança e
formalizar os processos que darão vida e dinamismo à
gestão.
41
42. Modelo de Gestão Corporativa de Segurança
› O Modelo é composto pelas seguintes etapas:
– Comitê corporativo de segurança da informação
– Mapeamento de segurança
– Estratégia de segurança
– Planejamento de segurança
– Implementação de segurança
– Administração de segurança
– Segurança na cadeia produtiva
› Cada uma dessas etapas cumpre um papel importante no ciclo e
gera resultados finais que deverão estar devidamente formatados
e alimentam a etapa subsequente.
› Será possível reagir com velocidade às mudanças que
inevitavelmente ocorrerão na operação do negócio, fazendo o
risco oscila
42