SlideShare uma empresa Scribd logo

SGSI para Startups

Thiago Rosa
Thiago Rosa

Artigo cientifico da aula de Metodos de Pesquisa no Centro Universitário das Faculdades Metropolitanas Unidas sobre Sistemas de Gestão da Segurança da Informação para Startups no Brasil com base nas bibliográfias existentes

Tecnologia
1 de 18
MBIS EM SEGURANÇA DA INFORMAÇÃO APLICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO PARA STARTUPS NO BRASIL THIAGO RIBEIRO SANTA ROSA 1185311 Trabalho apresentado à Faculdades Metropolitanas Unidas como requisito para matéria de métodos de pesquisas cientificas no curso de MBIs em Segurança da Informação e tendo como orientadorProf. Me. Antônio Carlos deAlcântaraThimóteo SÃO PAULO 2015
RESUMO O presente estudo tem como base identificar a viabilidade do uso dos controles de um sistema de gestão da segurança da informação para empresas de pequeno porte, chamadas de startups. Estas companhias trabalham com um cenário completamente diferente da industria tradicional e tem grande visibilidade após casos de sucesso no Brasil e no mundo. Para isso, durante este estudo foram apresentados modelos de normas de segurança da informação, os controles necessários para aplicação de um modelo de gestão e uma representação com base em bibliografia acadêmica dos cenários de segurança da informação e de pequenas empresas brasileiras para identificar a aplicabilidade do modelo. Palavras-chave: Segurança da Informação, Startups, Sistemas de Gestão, ISO 27002, Pequenas empresas, Brasil ABSTRACT The present study is based on identifying the feasibility of using the controls of a management system of information security for small businesses, called startups. These companies work with a completely different scenario of traditional industry and has high visibility after successes in Brazil and around the world. For this research were presented models of information security standards, controls necessary for the application of a management model and a representation based on academic bibliography of information security scenarios and small businesses for brazilian industries to identify the applicability of the model. Keywords: Security Information, Startups, Management Systems, ISO 27002
INTRODUÇÃO Toda empresa tem que estabelecer práticas de gestão desde o inicio do seu ciclo de vida, para garantir competitividade e os controles adequados para todos os processos que envolvem o negócio. Não existe grande empresa que não adote controles mínimos para sobreviver nos dias de hoje. Partindo desta premissa e sem entrar no mérito do tamanho da companhia, é necessário controlar o fluxo de informações para garantir que o cenário seja adequado para a continuidade de sua atividade fim. Para a segurança da informação, existem modelos tradicionais e formalmente estabelecidos para este tipo de controle, além de cumprir as obrigações estabelecidas em lei. Mas fatores podem contribuir para que adoção destes controles. Buscando compreender este cenário, o presente trabalho busca questionar a viabilidade da aplicação de um sistema de gestão de segurança da informação para empresas cujo foco são serviços inovadores, geograficamente estabelecidos no Brasil. Será que estas empresas tem condição de gerar e manter uma estrutura com uma série de controles obrigatórios mesmo com tamanho reduzido e o foco na entrega de um produto revolucionário? Será que neste momento, cenário do Brasil é favorável a implementação destas estruturas, mesmo elas tem orçamento reduzido? E como tratar estes valores dentro de metas e objetivos enxutos de recursos? Para identificar possíveis respostas a estas perguntas, este trabalho trata uma breve visão do que é necessário para criar um sistema de gestão da segurança da informação, quais ferramentas fazem parte dos controles necessários, o cenário do Brasil da segurança da informação e da formação de startups de tecnologia dentro do que foi apresentado.
2. REFERENCIAL TEÓRICO Segurança da informação é um principio que garante que a informação esteja íntegra, disponível e que somente pessoas autorizadas tenha acesso ao conteúdo delas, conforme define Beal (2005). Para Sêmola (2003), a definição de segurança da informação é "uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade" Para garantir que a informação tenha estes atributos, é necessário uma série de controles protegendo os dados de manipulação ou qualquer outro tipo de risco que os ativos de tecnologia estão submetidos. (BEAL, 2005) 2.1. SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (SGSI) Todo sistema de gestão de segurança da informação (SGSI) descreve o método utilizado para definir as atividades que uma estrutura de segurança da informação deve ter numa corporação. Para a sistematização deste processo dentro de uma empresa (ISO 27002, 2005) 2.1.1 Etapas de um SGSI Um SGSI deve ter outras quatro tarefas ou subprocessos que devem ser implementados: Planejamento (Plan), Realização (Do), Verificação (Check) e Ação (Act), compondo um ciclo de ação conhecido como PDCA, este obedecendo a mesma definição descrita na norma ISO 9000. (ISO 27002, 2005).
Figura 1: Representação Ciclo PDCA Fonte: ISO 27001 Security (2013). 2.1.1.1 Planejamento (Plan) Segundo a ISO/IEC (2015), a fase de planejamento compõe as atividades principais que deverão ser iniciadas para a elaboração do SGSI. Entre as etapas que deverão ser feitas nesta primeira fase estão a elaboração das políticas de segurança da informação, quais são as regras que deverão ser obedecidas pela companhia ao qual se implementa este sistema, além de processos e procedimentos que serão seguidos por todos os envolvidos nas atividades relacionadas, além da avaliação dos principais riscos envolvidos. 2.1.1.2 Realização (Do) Nesta segunda fase, são implementadas as atividades levantadas na fase de planejamento, colocando se em prática os controles estabelecidos por norma, além da mitigação dos riscos identificados na fase anterior, sendo necessária a execução das atividades neste momento. (ISO/IEC, 2015) 2.1.1.3 Verificação (Check)
Após a execução das atividades previamente levantadas, é necessário avaliar a efetividade da sua execução. Para isso, a etapa de verificação realiza auditorias em cima de uma atividade feita a partir de métodos previamente estabelecidos e documentados, comparando o que foi planejado com o que foi executado. (ISO/IEC, 2015) 2.1.1.3 Ação (Act) A etapa de ação é executada no final do processo para avaliar as lições apreendidas das atividades que já passaram pelas fases anteriores, propondo melhorias que devem ser aplicados aos cenários da corporação. Finalizando esta ação, retorna-se ao primeiro processo de planejamento para novas atividades, gerando um ciclo de melhoria continua para a ação necessária (ISO/IEC, 2015) 2.2. NORMA ISO 27002 A ISO 27002 é a norma internacional que estabelece o conjunto de requisitos técnicos e operacionais para segurança da informação. São 15 seções dentro da norma, sendo que 1 delas explica a estrutura da norma. São ao todo 114 objetivos de controles definidos nestas seções na versão publicada em 2013. Em comparação com a versão 2005, a nova edição é mais granular em termos de objetivo por conta do maior número de seções, uma vez que a publicação anterior tinha 133 objetivos e 11 seções (ISO Directory, 2013) As seções descritas nesta norma são as seguintes: Política de segurança; Organização da Segurança da Informação; Recursos Humanos de Segurança; Gerenciamento de ativos; Controle de acessos; Criptografia; Segurança Física e de Ambiente; Segurança de Operações, Segurança de Comunicações; Manutenção, Desenvolvimento e Aquisição de Sistemas de Informação; Relacionamento com fornecedores, Gerenciamento de Incidentes de Segurança da Informação; Aspectos de Continuidade de Negócio de Segurança da Informação; Conformidade. 2.3 OUTRAS NORMAS DE SEGURANÇA DA INFORMAÇÃO Existem outras normas de segurança da informação que podem ser utilizadas para implementação de um sistema de gestão, com seu próprio modelo de certificação para os requisitos e controles documentados em relação ao padrão internacional (JO/KIM/WON,
2011). Entre vários institutos podemos mencionar o ITSEC (Information Technology Security Evaluation Criteria), ISCS Korea (Information Security Check Service of Korea), ITBPM Germany (Information Technology Baseline Protection Manual of Germany). 2.4 CAMADAS DA SEGURANÇA DA INFORMAÇÃO Para Schneier (2001), vulnerabilidades podem ser exploradas para ataques em diferentes tipos de ativos de uma corporação, seja eles tecnológicos, físicos ou humanos. Um atacante pode potencializar um ataque descobrindo um ponto fraco em qualquer um dos níveis acima. Neste ponto, Sêmola (2003) define três tipos de classificações diferentes: aspectos tecnológicos, aspectos físicos e aspectos humanos. Adachi (2004) representa as camadas com terminologias diferentes: física, lógica e humana. 2.4.1 Camada Física Segundo Adachi (2004), camada física da segurança da informação é onde estão todos os componentes de tecnologia da informação fisicamente instalados. Estes componentes pode ser estações de trabalho, equipamento telefônicos, servidores ou qualquer outro tipo de hardware que seja um ativo valido da corporação. 2.4.2 Camada Lógica Conforme descrito no trabalho de Adachi (2004), camada lógica da segurança da informação são todos os softwares que controlam ou gerenciam ações a serem executadas por um determinado equipamento físico. Por exemplo: uma interface para gerenciamento de um equipamento de firewall. Para controlar os equipamentos da camada física, um software utiliza regras definidas pelo negócio para garantir o controle efetivo que uma política estabelece para o uso daquele equipamento. 2.4.3 Camada Humana Esta camada constitui de todos os ativos humanos de uma corporação que tem acesso ao ambiente de tecnologia de informação do empreendimento. A utilização dos ativos de
tecnologia pelos usuários finais podem constituir riscos altos se não forem analisados devidamente. Por isso, denota-se a importância dos treinamentos dos usuários para uso do ambiente e de técnicas para obtenção de informações não autorizadas como a engenharia social (ADACHI, 2004) 2.5. IMPLANTAÇÃO DE UM SGSI Segundo Martins e Santos (2005), deve ser de ciência de todos os setores da corporação a implementação de uma política de segurança da informação, através de um aceite formal da mesma. Além disso, deve ser criado um escritório de segurança da informação (Security Officer) com objetivo de aproximar a estratégia do negócio dos controles gerenciados pela TI. 2.5.1 Metodologia de Implantação de um SGSI Martins e Santos (2005) desenvolveram uma metodologia para implementar um SGSI dentro de uma corporação, independente do tamanho da empresa, com limitações para o detalhamento dos requisitos específicos para cada organização. Esta metodologia mostra a etapa a ser executada e qual é a entrega da mesma, baseada no ciclo PDCA e em quais normas estão referenciadas. Figura 3: Metodologia para Implantação de um SGSI Fonte: TECSI FEA USP – 2005
2.5.1.1 Política de Segurança da Informação A política de segurança da Informação e o documento base para implementação de um SGSI, pois contêm todos os controles, regras e definições de responsabilidades que devem ser feitas pela corporação impactada. Ela deve ser divulgada para todos os membros da empresa e deve ser baseada nos requisitos da companhia. (IETF, 2000). Uma política de segurança da informação deve ser elaborada pelo escritório ou comitê de segurança da empresa e ser desenvolvida dentro de um fluxo com a classificação das informações da companhia, as definições e metas de segurança da organização, as necessidades de segurança, uma proposta de política para ser discutida com os membros da envolvidos na elaboração e, por conseguinte, apresentação, aprovação e implementação do documento formal para a empresa, conforme determina a ISO/IEC27002 (2011). Como características, a normal também descreve a necessidade do documento ser revisado periodicamente e que qualquer mudança, a mesma deve ser alterada, além de estar de acordo com leis e contratos de trabalho vigentes dos colaboradores da corporação. 2.5.1.2 Definição de Escopo Definir o escopo dos ativos é listar quais são os itens que serão necessários dentro de um sistema de gestão da segurança da informação, que vão desde equipamentos físicos, sistemas de apoio, nome e estrutura da organização, fluxo de comunicação interna e externa, pessoas e serviços relacionados e a classificação da informação (MARTINS E SANTOS, 2005). 2.5.1.3 Analise de Risco Com o escopo definido, o próximo passo é definir quais são os riscos envolvidos para cada um dos ativos da informação inventariados e sua classificação para o negócio. Com este tipo de conhecimento, é possível tomar ações para mitigar o risco caso seja possível. Se não, podemos reduzir ele utilizando controles adequados, transferir o risco para uma outra empresa para gestão dele ou mesmo aceitar e negar o risco. (COBRA, 2002) Para esta fase Martins e Santos (2005), indicam dois tipos de métricas para as informações coletadas: qualitativa ou quantitativa, sem assegurar qual é a melhor abordagem para este tema. Porém, denota uma tendência de mercado em escolher a abordagem
qualitativa para facilitar métricas de uso. Independente do método, uma analise deve identificar e classificar ativos e processo do negócio, a análise das ameaças e vulnerabilidades presentes, além da parametrização e definição do tratamento dos riscos identificados. 2.5.1.4 Gerenciamento dos Riscos Para Sêmola (2003), gerenciar a segurança da informação é algo critico as corporações, devido a todos os desafios inerentes a esta responsabilidade e quais os tipos de de impacto no negócio para cada tipo de ativo impactado. Dentro deste contexto, Martins e Santos (2005) colocam o processo de gerenciamento de riscos como um fluxo continuo, que não acaba após a implementação de um controle de segurança. É necessário estimar o impacto do risco em relação ao negócio e que sejam especificados os controles de segurança necessário, como a implementação de um plano de continuidade de negócios e time de resposta para gerenciamento de incidentes de segurança da informação. A gestão de riscos é uma forma de antecipar eventos e a tomada de ação neste momento, podendo acabar com a implantação de controles mais adequados a necessidade da companhia. 2.5.1.5 Controles de Declaração de Aplicabilidade Após as etapas anteriores, se faz necessário identificar em relação a normal os controles a serem colocados a gestão da segurança da informação para a companhia. A partir deste ponto, serão listados controles aplicáveis para o cenário, entre ferramentas que vão auxiliar na governança da operação, na disponibilidade dos dados e na proteção de informações, através de métodos como criptografia, certificados digitais, firewall, proxies, antivírus e antisspam, entre outros. Deve se elencar qual a função da ferramenta em questão em relação ao objetivo de controle mencionado na norma seguida. (MARTINS E SANTOS, 2005). 2.5.1.6 Implementação e Acompanhamento de Indicadores Para garantir a efetividade do processo, são necessários indicadores de desempenho dos processos. Estes indicadores devem ser específicos ao processo analisado e deve estar de
acordo com o negócio. O controle neste caso pode ser feito por software de gestão ou por normas já previamente estabelecidas dentro das políticas de segurança da informação. 2.5.1.7 Auditoria do Sistema Segundo o Michaelis (1998), a palavra auditoria origina de um cargo de auditor, ou seja, aquele que é encarregado de analisar a aplicação das regras. Para Martins e Santos (2005) a auditoria interna de um sistema de gestão de segurança da informação assegura sua aplicação e se estão sendo eficazes os processos da companhia e os requisitos da corporação estão aderentes ao proposto no processo. Caso seja encontradas não conformidades dentro da avaliação dos auditores, o mesmo deve ser registrado para alterações no sistema e melhoria no processo de gestão. 2.6 CENÁRIO DE SISTEMA DA SEGURANÇA DA INFORMAÇÃO NO BRASIL Segundo Cortez e Kubota (2012), o cenário da Segurança da informação no Brasil em 2009 a partir de evidencias empíricas constado em modelo analítico é positivo. Entre as medidas que são aplicadas em segurança em relação a probabilidade de ocorrência de um incidente relacionado alguma falha é controlada. Isso ocorre pelo grau de investimento adotado pelas empresas em relação às variáveis dimensionadas, conforme a figura 3: Figura 3: Proporção de usuários com acesso a internet Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010).
Figura 4: Contramedidas de Segurança da Informação Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010). Os dados apresentados pelo CGI (2010) mostram que a quantidade de usuários e o tamanho das empresas influem diretamente na proporção de incidentes de segurança da informação. Quanto mais usuários tem acesso aos ativos de tecnologia da informação mais incidentes ocorrem. Além disso, a percepção de incidentes de segurança de informação diminui em empresas onde não existem departamentos ou política de segurança da informação. Contudo, Cortez e Kubota (2012) trabalharam com dois modelos diferentes para variáveis de controle (probit e logit) que direcionam ao fato que as empresas com maiores investimentos em controles de segurança tenham proteção mais eficiente do que as outras do cenário discutido acima. 2.7 STARTUPS Segundo o Merrian-Webster (2009) Startups é uma definição para empresas recém criadas, em tradução livre do autor deste trabalho. Estas empresas pequenas, cujo o capital intelectual envolve um ativo original, normalmente iniciam com baixo custo de implementação. No cenário atual, estas micro companhias são escaláveis e com modelos de negócio bem definidos, incluindo um entendimento que uma startup deve ter um serviço que possa ser executado repetidamente independente da demanda. Além disso, a Startup deve
trabalhar com um cenário incerto, ou seja, que seja uma ideia completamente original e que não se comprove que irá dar certo (EXAME, 2010). 2.8. CENÁRIO PARA STARTUPS NO BRASIL Segundo Mizumoto et al (2008) existem diversos aspectos para que empreendedores consigam ter sucesso com seu empreendimento, quando este se trata de uma pequena empresa. Entre as variáveis demonstradas estão a competição do setor empreendido, condições macroeconômicas e características dos empreendedores. Além disso, Djankov et al (2007) indica que aspectos sociais como a ligação familiar entre os empreendedores, influencia diretamente na oportunidade de levar uma pequena empresa adiante. Segundo Fernando (2001) a adoção de práticas gerencias permitem que o empreendedor possa ter uma eficiência em seus processos de negócio após o inicio de suas atividades e uma maior eficácia de sua organização. Dentro de um modelo estatístico, Mizumoto et al (2010) fez avaliação sobre o motivo que leva uma pequena empresa ao sucesso ou ao fracasso. Dentro de três fatores identificados e pesquisados (capital humano, capital social e práticas gerencias), não houve um fator determinante para o fechamento. Porém, conforme notação no mesmo estudo que "vale notar que, nas análises aqui realizadas, o maior poder explicativo, em conjunto, foi obtido com as variáveis relacionadas à adoção de práticas gerenciais. Esse resultado sugere que empreendedores podem, eventualmente,compensar um baixo estoque de capital humano ou social por meio da adoção de práticas que aumentam a eficiência ou eficácia organizacional do novo negócio".
3. METODOLOGIA O vigente trabalho utiliza como metodologia a pesquisa bibliográfica que tem como base a definição de diversos autores de áreas relacionadas ao tema escolhido. Com base na NBR (2000), referência bibliográfica são elementos que identificam documentos impressos em qualquer tipo de mídia, sendo na sua totalidade ou em sua parcialidade. Segundo Cervo, Bervian e da Silva (2007), a pesquisa bibliográfica constitui um método ao qual busca o domínio sobre o tema escolhido, para analise das teorias expressadas no tema da pesquisa acadêmica em questão. Apesar de Gil (2008) mencionar que o trabalho deve ser desenvolvido com base em material de diversas literaturas e artigos científicos reconhecidos, Santos, Firme e Barros (2008) reconhecem a importância da utilização da internet como fonte bibliográfica, mesmo ressaltando que a informação não possa ser classificada ou graduada da maneira que as academias fazem.
4. APRESENTAÇÃO E ANÁLISE DE DADOS Com base nos dados apresentados neste documento, indica-se uma necessidade de implementação de um sistema de gestão da informação logo na implantação da Startup. Empresas deste tipo tem estratégia baseada em risco e inovação e devem ter controles que garantam a operabilidade do negócio. Na pesquisa realizada é possível identificar que, independente do tamanho da corporação, existem normas que determinam quais são os controles e atividades necessárias para implementação de um modelo de Sistema de Gestão da Segurança da Informação. Como é demonstrada na bibliografia analisada, processos que apoiem a eficiência do negócio tem a tendência em auxiliar na gestão de uma startup. Além disso, como melhor prática de mercado, não é necessário auditar o processo logo no seu inicio. Dentro de um ciclo de melhoria continua, isso pode sugerir uma garantia de sucesso do negócio e implementação de controles básicos que se fazem necessários. Contudo, é preciso analisar que a limitação deste estudo em não utilizar um método de pesquisa capaz de conciliar dados que efetivamente apontem qual processo ou controle deve ser utilizado pode negar as condições de uso de um processo de gestão conforme é indicado nas normas estudadas.
5. CONSIDERAÇÕES FINAIS Como considerações finais do presente estudo, é possível identificar pelas bibliografias pesquisadas que o uso de sistema de gestão da segurança da informação se faz necessário independente do tamanho da empresa. Dentro da visão proposta, como o estudo se limitou apenas em analisar o cenário brasileiro e pelas literaturas citadas, é provável aplicar os controles em Startups. Não existe uma metodologia que demonstra como deve ser estruturada uma empresa de pequeno porte, porém a base de informação desta analise indica que estas companhias tenham mais sucesso com o uso de métodos de gestão adequados para controle do negócio. Assim, o modelo de governança de uma startup pode ser concebido iniciando o sistema de gestão. Aplicação de políticas de segurança, avaliação dos controles a serem utilizadas, a implementação dos controles e a revisão periódica sendo alinhadas com práticas gerencias próxima da direção do negócio, e apoiados por uma estrutura de TI focada em segurança é uma tendência a ser utilizada.
6. REFERÊNCIAS ADACHI, T. Gestão de Segurança em Internet Banking – São Paulo, FGV, 2004. 121p. BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, São Paulo, Atlas, 2005 CGI. "Pesquisa sobre o uso das tecnologias da informação e da comunicação no Brasil: TIC Domicílios e TIC Empresas", São Paulo, 2009. CERVO, A. L; BERVIAN, P. A; DA SILVA, R. Metodologia Científica. 6. ed. Brasil, Pearson Prentice Hall, 2007 COBRA, Iso Compliance Analyst, Release 3.1.8b. C&A Systems Security Ltd, 2002. CORTEZ, I. S; KUBOTA, L. C; Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras, Brasil, RAUSP, 2012 DJANKOV, S. et al. What makes a successful entrepreneur? Evidence from Brazil., Russia, Working Paper 104 Cefir/ NES, 2007 EXAME, O que é uma startup. Brasil, 2010. Disponível em < http://exame.abril.com.br/pme/noticias/o-que-e-uma-startup>. Acesso em 01 ago. 2015 FERNANDO, M. Are popular management techniques a waste of time?, Academy of Management Executive, Estados Unidos, 2001 GIL, A.C. Metodologia do ensino superior. Brasil, Editora Atlas, 1990. JO, H; KIM, S; WON, D. Advanced Information Security Management Evaluation System. - Coréia do Sul, 2011.
IETF, Internet Security Glossary - RFC 2828, Inglaterra, 2000. Disponível em < http://www.ietf.org/rfc/rfc2828.txt>. Acesso em 02 ago. 2015> ISO/IEC27002:2005. “Information Technology Security Techniques” , Suiça, 2005 ISO/IEC, "Directives Supplement", Suiça, 2015 ISO Directory, "Introduction To ISO 27002", Inglaterra, 2013. Disponível em <http://www.27000.org/iso-27002.htm>. Acesso em 28 jul. 2015 ISO, NBR. 9000: 2000–Sistemas de gestão da qualidade–Fundamentos e vocabulário. Brasil, ABNT, 2000. MARTINS, A.B; SANTOS, C. A. B; Uma metodologia para implantação de um sistema de gestão da segurança da informação, Brasil, TECSI FEA USP, 2005 MERRIAN WEBSTER, Merriam-Webster's Dictionary and Thesaurus, Estados Unidos, 2009 MICHAELIS, Moderno dicionário da língua portuguesa, Brasil, Editora Melhoramentos, 1998. MIZUMOTO, F. M; ARTES, R; LAZZARINI, S. G.; HASHIMOTO, M; BEDÊ, M. A. A sobrevivência de empresas nascentes no estado de São Paulo: um estudo sobre capital humano, capital social e práticas gerenciais, Brasil, RAUSP, 2010 DOS SANTOS, A. R; FIRME, C. L; BARROS, J. C. A internet como fonte de informação bibliográfica em química. Editoria Quim. Nova, Brasil, 2008. SÊMOLA, M. Gestão da segurança da informação, Editora Elsevier, Brasil, 2003. SCHNEIER, B. Segurança.com: segredos e mentiras sobre a proteção na vida digital, Editora Campus, Brasil, 2001.

Recomendados

5423 c ou c++
5423 c ou c++5423 c ou c++
5423 c ou c++Lucas Júnio
 
lenguaje de marcas
lenguaje de marcas lenguaje de marcas
lenguaje de marcas Maria Hanse
 
Avaliação de Sistemas de Recuperação da Informação
Avaliação de Sistemas de Recuperação da InformaçãoAvaliação de Sistemas de Recuperação da Informação
Avaliação de Sistemas de Recuperação da InformaçãoAlexandre Duarte
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 

Recomendados

5423 c ou c++
5423 c ou c++5423 c ou c++
5423 c ou c++Lucas Júnio
 
lenguaje de marcas
lenguaje de marcas lenguaje de marcas
lenguaje de marcas Maria Hanse
 
Avaliação de Sistemas de Recuperação da Informação
Avaliação de Sistemas de Recuperação da InformaçãoAvaliação de Sistemas de Recuperação da Informação
Avaliação de Sistemas de Recuperação da InformaçãoAlexandre Duarte
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosfelipetsi
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policiesErick Toledo (ET)
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEGEvandro Costa
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Gestão segurança informação 01
Gestão segurança informação 01Gestão segurança informação 01
Gestão segurança informação 01Marcone Siqueira
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 

Mais conteúdo relacionado

Semelhante a SGSI para Startups

Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosfelipetsi
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Gestão segurança informação 01
Gestão segurança informação 01Gestão segurança informação 01
Gestão segurança informação 01Marcone Siqueira
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 

Semelhante a SGSI para Startups (20)

Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscos
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEG
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Palestra
PalestraPalestra
Palestra
 
Gestão segurança informação 01
Gestão segurança informação 01Gestão segurança informação 01
Gestão segurança informação 01
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 

SGSI para Startups

  • 1. MBIS EM SEGURANÇA DA INFORMAÇÃO APLICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO PARA STARTUPS NO BRASIL THIAGO RIBEIRO SANTA ROSA 1185311 Trabalho apresentado à Faculdades Metropolitanas Unidas como requisito para matéria de métodos de pesquisas cientificas no curso de MBIs em Segurança da Informação e tendo como orientadorProf. Me. Antônio Carlos deAlcântaraThimóteo SÃO PAULO 2015
  • 2. RESUMO O presente estudo tem como base identificar a viabilidade do uso dos controles de um sistema de gestão da segurança da informação para empresas de pequeno porte, chamadas de startups. Estas companhias trabalham com um cenário completamente diferente da industria tradicional e tem grande visibilidade após casos de sucesso no Brasil e no mundo. Para isso, durante este estudo foram apresentados modelos de normas de segurança da informação, os controles necessários para aplicação de um modelo de gestão e uma representação com base em bibliografia acadêmica dos cenários de segurança da informação e de pequenas empresas brasileiras para identificar a aplicabilidade do modelo. Palavras-chave: Segurança da Informação, Startups, Sistemas de Gestão, ISO 27002, Pequenas empresas, Brasil ABSTRACT The present study is based on identifying the feasibility of using the controls of a management system of information security for small businesses, called startups. These companies work with a completely different scenario of traditional industry and has high visibility after successes in Brazil and around the world. For this research were presented models of information security standards, controls necessary for the application of a management model and a representation based on academic bibliography of information security scenarios and small businesses for brazilian industries to identify the applicability of the model. Keywords: Security Information, Startups, Management Systems, ISO 27002
  • 3. INTRODUÇÃO Toda empresa tem que estabelecer práticas de gestão desde o inicio do seu ciclo de vida, para garantir competitividade e os controles adequados para todos os processos que envolvem o negócio. Não existe grande empresa que não adote controles mínimos para sobreviver nos dias de hoje. Partindo desta premissa e sem entrar no mérito do tamanho da companhia, é necessário controlar o fluxo de informações para garantir que o cenário seja adequado para a continuidade de sua atividade fim. Para a segurança da informação, existem modelos tradicionais e formalmente estabelecidos para este tipo de controle, além de cumprir as obrigações estabelecidas em lei. Mas fatores podem contribuir para que adoção destes controles. Buscando compreender este cenário, o presente trabalho busca questionar a viabilidade da aplicação de um sistema de gestão de segurança da informação para empresas cujo foco são serviços inovadores, geograficamente estabelecidos no Brasil. Será que estas empresas tem condição de gerar e manter uma estrutura com uma série de controles obrigatórios mesmo com tamanho reduzido e o foco na entrega de um produto revolucionário? Será que neste momento, cenário do Brasil é favorável a implementação destas estruturas, mesmo elas tem orçamento reduzido? E como tratar estes valores dentro de metas e objetivos enxutos de recursos? Para identificar possíveis respostas a estas perguntas, este trabalho trata uma breve visão do que é necessário para criar um sistema de gestão da segurança da informação, quais ferramentas fazem parte dos controles necessários, o cenário do Brasil da segurança da informação e da formação de startups de tecnologia dentro do que foi apresentado.
  • 4. 2. REFERENCIAL TEÓRICO Segurança da informação é um principio que garante que a informação esteja íntegra, disponível e que somente pessoas autorizadas tenha acesso ao conteúdo delas, conforme define Beal (2005). Para Sêmola (2003), a definição de segurança da informação é "uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade" Para garantir que a informação tenha estes atributos, é necessário uma série de controles protegendo os dados de manipulação ou qualquer outro tipo de risco que os ativos de tecnologia estão submetidos. (BEAL, 2005) 2.1. SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (SGSI) Todo sistema de gestão de segurança da informação (SGSI) descreve o método utilizado para definir as atividades que uma estrutura de segurança da informação deve ter numa corporação. Para a sistematização deste processo dentro de uma empresa (ISO 27002, 2005) 2.1.1 Etapas de um SGSI Um SGSI deve ter outras quatro tarefas ou subprocessos que devem ser implementados: Planejamento (Plan), Realização (Do), Verificação (Check) e Ação (Act), compondo um ciclo de ação conhecido como PDCA, este obedecendo a mesma definição descrita na norma ISO 9000. (ISO 27002, 2005).
  • 5. Figura 1: Representação Ciclo PDCA Fonte: ISO 27001 Security (2013). 2.1.1.1 Planejamento (Plan) Segundo a ISO/IEC (2015), a fase de planejamento compõe as atividades principais que deverão ser iniciadas para a elaboração do SGSI. Entre as etapas que deverão ser feitas nesta primeira fase estão a elaboração das políticas de segurança da informação, quais são as regras que deverão ser obedecidas pela companhia ao qual se implementa este sistema, além de processos e procedimentos que serão seguidos por todos os envolvidos nas atividades relacionadas, além da avaliação dos principais riscos envolvidos. 2.1.1.2 Realização (Do) Nesta segunda fase, são implementadas as atividades levantadas na fase de planejamento, colocando se em prática os controles estabelecidos por norma, além da mitigação dos riscos identificados na fase anterior, sendo necessária a execução das atividades neste momento. (ISO/IEC, 2015) 2.1.1.3 Verificação (Check)
  • 6. Após a execução das atividades previamente levantadas, é necessário avaliar a efetividade da sua execução. Para isso, a etapa de verificação realiza auditorias em cima de uma atividade feita a partir de métodos previamente estabelecidos e documentados, comparando o que foi planejado com o que foi executado. (ISO/IEC, 2015) 2.1.1.3 Ação (Act) A etapa de ação é executada no final do processo para avaliar as lições apreendidas das atividades que já passaram pelas fases anteriores, propondo melhorias que devem ser aplicados aos cenários da corporação. Finalizando esta ação, retorna-se ao primeiro processo de planejamento para novas atividades, gerando um ciclo de melhoria continua para a ação necessária (ISO/IEC, 2015) 2.2. NORMA ISO 27002 A ISO 27002 é a norma internacional que estabelece o conjunto de requisitos técnicos e operacionais para segurança da informação. São 15 seções dentro da norma, sendo que 1 delas explica a estrutura da norma. São ao todo 114 objetivos de controles definidos nestas seções na versão publicada em 2013. Em comparação com a versão 2005, a nova edição é mais granular em termos de objetivo por conta do maior número de seções, uma vez que a publicação anterior tinha 133 objetivos e 11 seções (ISO Directory, 2013) As seções descritas nesta norma são as seguintes: Política de segurança; Organização da Segurança da Informação; Recursos Humanos de Segurança; Gerenciamento de ativos; Controle de acessos; Criptografia; Segurança Física e de Ambiente; Segurança de Operações, Segurança de Comunicações; Manutenção, Desenvolvimento e Aquisição de Sistemas de Informação; Relacionamento com fornecedores, Gerenciamento de Incidentes de Segurança da Informação; Aspectos de Continuidade de Negócio de Segurança da Informação; Conformidade. 2.3 OUTRAS NORMAS DE SEGURANÇA DA INFORMAÇÃO Existem outras normas de segurança da informação que podem ser utilizadas para implementação de um sistema de gestão, com seu próprio modelo de certificação para os requisitos e controles documentados em relação ao padrão internacional (JO/KIM/WON,
  • 7. 2011). Entre vários institutos podemos mencionar o ITSEC (Information Technology Security Evaluation Criteria), ISCS Korea (Information Security Check Service of Korea), ITBPM Germany (Information Technology Baseline Protection Manual of Germany). 2.4 CAMADAS DA SEGURANÇA DA INFORMAÇÃO Para Schneier (2001), vulnerabilidades podem ser exploradas para ataques em diferentes tipos de ativos de uma corporação, seja eles tecnológicos, físicos ou humanos. Um atacante pode potencializar um ataque descobrindo um ponto fraco em qualquer um dos níveis acima. Neste ponto, Sêmola (2003) define três tipos de classificações diferentes: aspectos tecnológicos, aspectos físicos e aspectos humanos. Adachi (2004) representa as camadas com terminologias diferentes: física, lógica e humana. 2.4.1 Camada Física Segundo Adachi (2004), camada física da segurança da informação é onde estão todos os componentes de tecnologia da informação fisicamente instalados. Estes componentes pode ser estações de trabalho, equipamento telefônicos, servidores ou qualquer outro tipo de hardware que seja um ativo valido da corporação. 2.4.2 Camada Lógica Conforme descrito no trabalho de Adachi (2004), camada lógica da segurança da informação são todos os softwares que controlam ou gerenciam ações a serem executadas por um determinado equipamento físico. Por exemplo: uma interface para gerenciamento de um equipamento de firewall. Para controlar os equipamentos da camada física, um software utiliza regras definidas pelo negócio para garantir o controle efetivo que uma política estabelece para o uso daquele equipamento. 2.4.3 Camada Humana Esta camada constitui de todos os ativos humanos de uma corporação que tem acesso ao ambiente de tecnologia de informação do empreendimento. A utilização dos ativos de
  • 8. tecnologia pelos usuários finais podem constituir riscos altos se não forem analisados devidamente. Por isso, denota-se a importância dos treinamentos dos usuários para uso do ambiente e de técnicas para obtenção de informações não autorizadas como a engenharia social (ADACHI, 2004) 2.5. IMPLANTAÇÃO DE UM SGSI Segundo Martins e Santos (2005), deve ser de ciência de todos os setores da corporação a implementação de uma política de segurança da informação, através de um aceite formal da mesma. Além disso, deve ser criado um escritório de segurança da informação (Security Officer) com objetivo de aproximar a estratégia do negócio dos controles gerenciados pela TI. 2.5.1 Metodologia de Implantação de um SGSI Martins e Santos (2005) desenvolveram uma metodologia para implementar um SGSI dentro de uma corporação, independente do tamanho da empresa, com limitações para o detalhamento dos requisitos específicos para cada organização. Esta metodologia mostra a etapa a ser executada e qual é a entrega da mesma, baseada no ciclo PDCA e em quais normas estão referenciadas. Figura 3: Metodologia para Implantação de um SGSI Fonte: TECSI FEA USP – 2005
  • 9. 2.5.1.1 Política de Segurança da Informação A política de segurança da Informação e o documento base para implementação de um SGSI, pois contêm todos os controles, regras e definições de responsabilidades que devem ser feitas pela corporação impactada. Ela deve ser divulgada para todos os membros da empresa e deve ser baseada nos requisitos da companhia. (IETF, 2000). Uma política de segurança da informação deve ser elaborada pelo escritório ou comitê de segurança da empresa e ser desenvolvida dentro de um fluxo com a classificação das informações da companhia, as definições e metas de segurança da organização, as necessidades de segurança, uma proposta de política para ser discutida com os membros da envolvidos na elaboração e, por conseguinte, apresentação, aprovação e implementação do documento formal para a empresa, conforme determina a ISO/IEC27002 (2011). Como características, a normal também descreve a necessidade do documento ser revisado periodicamente e que qualquer mudança, a mesma deve ser alterada, além de estar de acordo com leis e contratos de trabalho vigentes dos colaboradores da corporação. 2.5.1.2 Definição de Escopo Definir o escopo dos ativos é listar quais são os itens que serão necessários dentro de um sistema de gestão da segurança da informação, que vão desde equipamentos físicos, sistemas de apoio, nome e estrutura da organização, fluxo de comunicação interna e externa, pessoas e serviços relacionados e a classificação da informação (MARTINS E SANTOS, 2005). 2.5.1.3 Analise de Risco Com o escopo definido, o próximo passo é definir quais são os riscos envolvidos para cada um dos ativos da informação inventariados e sua classificação para o negócio. Com este tipo de conhecimento, é possível tomar ações para mitigar o risco caso seja possível. Se não, podemos reduzir ele utilizando controles adequados, transferir o risco para uma outra empresa para gestão dele ou mesmo aceitar e negar o risco. (COBRA, 2002) Para esta fase Martins e Santos (2005), indicam dois tipos de métricas para as informações coletadas: qualitativa ou quantitativa, sem assegurar qual é a melhor abordagem para este tema. Porém, denota uma tendência de mercado em escolher a abordagem
  • 10. qualitativa para facilitar métricas de uso. Independente do método, uma analise deve identificar e classificar ativos e processo do negócio, a análise das ameaças e vulnerabilidades presentes, além da parametrização e definição do tratamento dos riscos identificados. 2.5.1.4 Gerenciamento dos Riscos Para Sêmola (2003), gerenciar a segurança da informação é algo critico as corporações, devido a todos os desafios inerentes a esta responsabilidade e quais os tipos de de impacto no negócio para cada tipo de ativo impactado. Dentro deste contexto, Martins e Santos (2005) colocam o processo de gerenciamento de riscos como um fluxo continuo, que não acaba após a implementação de um controle de segurança. É necessário estimar o impacto do risco em relação ao negócio e que sejam especificados os controles de segurança necessário, como a implementação de um plano de continuidade de negócios e time de resposta para gerenciamento de incidentes de segurança da informação. A gestão de riscos é uma forma de antecipar eventos e a tomada de ação neste momento, podendo acabar com a implantação de controles mais adequados a necessidade da companhia. 2.5.1.5 Controles de Declaração de Aplicabilidade Após as etapas anteriores, se faz necessário identificar em relação a normal os controles a serem colocados a gestão da segurança da informação para a companhia. A partir deste ponto, serão listados controles aplicáveis para o cenário, entre ferramentas que vão auxiliar na governança da operação, na disponibilidade dos dados e na proteção de informações, através de métodos como criptografia, certificados digitais, firewall, proxies, antivírus e antisspam, entre outros. Deve se elencar qual a função da ferramenta em questão em relação ao objetivo de controle mencionado na norma seguida. (MARTINS E SANTOS, 2005). 2.5.1.6 Implementação e Acompanhamento de Indicadores Para garantir a efetividade do processo, são necessários indicadores de desempenho dos processos. Estes indicadores devem ser específicos ao processo analisado e deve estar de
  • 11. acordo com o negócio. O controle neste caso pode ser feito por software de gestão ou por normas já previamente estabelecidas dentro das políticas de segurança da informação. 2.5.1.7 Auditoria do Sistema Segundo o Michaelis (1998), a palavra auditoria origina de um cargo de auditor, ou seja, aquele que é encarregado de analisar a aplicação das regras. Para Martins e Santos (2005) a auditoria interna de um sistema de gestão de segurança da informação assegura sua aplicação e se estão sendo eficazes os processos da companhia e os requisitos da corporação estão aderentes ao proposto no processo. Caso seja encontradas não conformidades dentro da avaliação dos auditores, o mesmo deve ser registrado para alterações no sistema e melhoria no processo de gestão. 2.6 CENÁRIO DE SISTEMA DA SEGURANÇA DA INFORMAÇÃO NO BRASIL Segundo Cortez e Kubota (2012), o cenário da Segurança da informação no Brasil em 2009 a partir de evidencias empíricas constado em modelo analítico é positivo. Entre as medidas que são aplicadas em segurança em relação a probabilidade de ocorrência de um incidente relacionado alguma falha é controlada. Isso ocorre pelo grau de investimento adotado pelas empresas em relação às variáveis dimensionadas, conforme a figura 3: Figura 3: Proporção de usuários com acesso a internet Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010).
  • 12. Figura 4: Contramedidas de Segurança da Informação Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010). Os dados apresentados pelo CGI (2010) mostram que a quantidade de usuários e o tamanho das empresas influem diretamente na proporção de incidentes de segurança da informação. Quanto mais usuários tem acesso aos ativos de tecnologia da informação mais incidentes ocorrem. Além disso, a percepção de incidentes de segurança de informação diminui em empresas onde não existem departamentos ou política de segurança da informação. Contudo, Cortez e Kubota (2012) trabalharam com dois modelos diferentes para variáveis de controle (probit e logit) que direcionam ao fato que as empresas com maiores investimentos em controles de segurança tenham proteção mais eficiente do que as outras do cenário discutido acima. 2.7 STARTUPS Segundo o Merrian-Webster (2009) Startups é uma definição para empresas recém criadas, em tradução livre do autor deste trabalho. Estas empresas pequenas, cujo o capital intelectual envolve um ativo original, normalmente iniciam com baixo custo de implementação. No cenário atual, estas micro companhias são escaláveis e com modelos de negócio bem definidos, incluindo um entendimento que uma startup deve ter um serviço que possa ser executado repetidamente independente da demanda. Além disso, a Startup deve
  • 13. trabalhar com um cenário incerto, ou seja, que seja uma ideia completamente original e que não se comprove que irá dar certo (EXAME, 2010). 2.8. CENÁRIO PARA STARTUPS NO BRASIL Segundo Mizumoto et al (2008) existem diversos aspectos para que empreendedores consigam ter sucesso com seu empreendimento, quando este se trata de uma pequena empresa. Entre as variáveis demonstradas estão a competição do setor empreendido, condições macroeconômicas e características dos empreendedores. Além disso, Djankov et al (2007) indica que aspectos sociais como a ligação familiar entre os empreendedores, influencia diretamente na oportunidade de levar uma pequena empresa adiante. Segundo Fernando (2001) a adoção de práticas gerencias permitem que o empreendedor possa ter uma eficiência em seus processos de negócio após o inicio de suas atividades e uma maior eficácia de sua organização. Dentro de um modelo estatístico, Mizumoto et al (2010) fez avaliação sobre o motivo que leva uma pequena empresa ao sucesso ou ao fracasso. Dentro de três fatores identificados e pesquisados (capital humano, capital social e práticas gerencias), não houve um fator determinante para o fechamento. Porém, conforme notação no mesmo estudo que "vale notar que, nas análises aqui realizadas, o maior poder explicativo, em conjunto, foi obtido com as variáveis relacionadas à adoção de práticas gerenciais. Esse resultado sugere que empreendedores podem, eventualmente,compensar um baixo estoque de capital humano ou social por meio da adoção de práticas que aumentam a eficiência ou eficácia organizacional do novo negócio".
  • 14. 3. METODOLOGIA O vigente trabalho utiliza como metodologia a pesquisa bibliográfica que tem como base a definição de diversos autores de áreas relacionadas ao tema escolhido. Com base na NBR (2000), referência bibliográfica são elementos que identificam documentos impressos em qualquer tipo de mídia, sendo na sua totalidade ou em sua parcialidade. Segundo Cervo, Bervian e da Silva (2007), a pesquisa bibliográfica constitui um método ao qual busca o domínio sobre o tema escolhido, para analise das teorias expressadas no tema da pesquisa acadêmica em questão. Apesar de Gil (2008) mencionar que o trabalho deve ser desenvolvido com base em material de diversas literaturas e artigos científicos reconhecidos, Santos, Firme e Barros (2008) reconhecem a importância da utilização da internet como fonte bibliográfica, mesmo ressaltando que a informação não possa ser classificada ou graduada da maneira que as academias fazem.
  • 15. 4. APRESENTAÇÃO E ANÁLISE DE DADOS Com base nos dados apresentados neste documento, indica-se uma necessidade de implementação de um sistema de gestão da informação logo na implantação da Startup. Empresas deste tipo tem estratégia baseada em risco e inovação e devem ter controles que garantam a operabilidade do negócio. Na pesquisa realizada é possível identificar que, independente do tamanho da corporação, existem normas que determinam quais são os controles e atividades necessárias para implementação de um modelo de Sistema de Gestão da Segurança da Informação. Como é demonstrada na bibliografia analisada, processos que apoiem a eficiência do negócio tem a tendência em auxiliar na gestão de uma startup. Além disso, como melhor prática de mercado, não é necessário auditar o processo logo no seu inicio. Dentro de um ciclo de melhoria continua, isso pode sugerir uma garantia de sucesso do negócio e implementação de controles básicos que se fazem necessários. Contudo, é preciso analisar que a limitação deste estudo em não utilizar um método de pesquisa capaz de conciliar dados que efetivamente apontem qual processo ou controle deve ser utilizado pode negar as condições de uso de um processo de gestão conforme é indicado nas normas estudadas.
  • 16. 5. CONSIDERAÇÕES FINAIS Como considerações finais do presente estudo, é possível identificar pelas bibliografias pesquisadas que o uso de sistema de gestão da segurança da informação se faz necessário independente do tamanho da empresa. Dentro da visão proposta, como o estudo se limitou apenas em analisar o cenário brasileiro e pelas literaturas citadas, é provável aplicar os controles em Startups. Não existe uma metodologia que demonstra como deve ser estruturada uma empresa de pequeno porte, porém a base de informação desta analise indica que estas companhias tenham mais sucesso com o uso de métodos de gestão adequados para controle do negócio. Assim, o modelo de governança de uma startup pode ser concebido iniciando o sistema de gestão. Aplicação de políticas de segurança, avaliação dos controles a serem utilizadas, a implementação dos controles e a revisão periódica sendo alinhadas com práticas gerencias próxima da direção do negócio, e apoiados por uma estrutura de TI focada em segurança é uma tendência a ser utilizada.
  • 17. 6. REFERÊNCIAS ADACHI, T. Gestão de Segurança em Internet Banking – São Paulo, FGV, 2004. 121p. BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, São Paulo, Atlas, 2005 CGI. "Pesquisa sobre o uso das tecnologias da informação e da comunicação no Brasil: TIC Domicílios e TIC Empresas", São Paulo, 2009. CERVO, A. L; BERVIAN, P. A; DA SILVA, R. Metodologia Científica. 6. ed. Brasil, Pearson Prentice Hall, 2007 COBRA, Iso Compliance Analyst, Release 3.1.8b. C&A Systems Security Ltd, 2002. CORTEZ, I. S; KUBOTA, L. C; Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras, Brasil, RAUSP, 2012 DJANKOV, S. et al. What makes a successful entrepreneur? Evidence from Brazil., Russia, Working Paper 104 Cefir/ NES, 2007 EXAME, O que é uma startup. Brasil, 2010. Disponível em < http://exame.abril.com.br/pme/noticias/o-que-e-uma-startup>. Acesso em 01 ago. 2015 FERNANDO, M. Are popular management techniques a waste of time?, Academy of Management Executive, Estados Unidos, 2001 GIL, A.C. Metodologia do ensino superior. Brasil, Editora Atlas, 1990. JO, H; KIM, S; WON, D. Advanced Information Security Management Evaluation System. - Coréia do Sul, 2011.
  • 18. IETF, Internet Security Glossary - RFC 2828, Inglaterra, 2000. Disponível em < http://www.ietf.org/rfc/rfc2828.txt>. Acesso em 02 ago. 2015> ISO/IEC27002:2005. “Information Technology Security Techniques” , Suiça, 2005 ISO/IEC, "Directives Supplement", Suiça, 2015 ISO Directory, "Introduction To ISO 27002", Inglaterra, 2013. Disponível em <http://www.27000.org/iso-27002.htm>. Acesso em 28 jul. 2015 ISO, NBR. 9000: 2000–Sistemas de gestão da qualidade–Fundamentos e vocabulário. Brasil, ABNT, 2000. MARTINS, A.B; SANTOS, C. A. B; Uma metodologia para implantação de um sistema de gestão da segurança da informação, Brasil, TECSI FEA USP, 2005 MERRIAN WEBSTER, Merriam-Webster's Dictionary and Thesaurus, Estados Unidos, 2009 MICHAELIS, Moderno dicionário da língua portuguesa, Brasil, Editora Melhoramentos, 1998. MIZUMOTO, F. M; ARTES, R; LAZZARINI, S. G.; HASHIMOTO, M; BEDÊ, M. A. A sobrevivência de empresas nascentes no estado de São Paulo: um estudo sobre capital humano, capital social e práticas gerenciais, Brasil, RAUSP, 2010 DOS SANTOS, A. R; FIRME, C. L; BARROS, J. C. A internet como fonte de informação bibliográfica em química. Editoria Quim. Nova, Brasil, 2008. SÊMOLA, M. Gestão da segurança da informação, Editora Elsevier, Brasil, 2003. SCHNEIER, B. Segurança.com: segredos e mentiras sobre a proteção na vida digital, Editora Campus, Brasil, 2001.