Segundo a norma ABNT NBR ISO/IEC 27014:2013, a GovSI visa alinhar os objetivos e estratégias de segurança da informação aos objetivos e estratégias do negócio, sempre em conformidade com leis, regulamentos e contratos, adotando uma abordagem baseada em riscos para sua implementação e imputando ao corpo diretivo da organização a responsabilidade pelas decisões e desempenho. Os objetivos da GovSI são: alinhar os objetivos e a estratégia da segurança da informação com os objetivos e estratégia do negócio (alinhamento estratégico); agregar valor para o corpo diretivo e para as partes interessadas (entrega de valor); e, garantir que os riscos da informação estão sendo adequadamente abordados (responsabilidade). A norma pretende, ainda, que sejam atingidos os seguintes resultados com a implementação de GovSI conforme preconizado em seu modelo: visibilidade para o corpo diretivo sobre a situação da segurança da informação; uma abordagem ágil para a tomada de decisões sobre os riscos da informação; investimentos eficientes e eficazes em segurança da informação; e, conformidade com requisitos externos (legais, regulamentares ou contratuais).
Recomenda, também, que GovSI seja parte uma de uma visão holística e integrada de governança. Dentro dessa visão, os modelos de governança podem sobrepor-se. A figura 4 exemplifica o relacionamento entre Governança de Segurança da Informação e Governança de Tecnologia da Informação.
Figura 4 – Relação entre governança de segurança da informação e governança de tecnologia da informação.
Fonte: ABNT NBR ISO/IEC 27014:2013, página 3
A relação entre os modelos de governança apresentados na Figura 4 é explicada pelo escopo de cada um. A governança de tecnologia da informação é direcionada a dispor recursos para adquirir, processar, armazenar e disseminar a informação, já o escopo da GovSI abrange a confidencialidade, integridade e disponibilidade da informação. Como pode ser observado, ambos são compostos pelos processos dirigir, avaliar e monitorar os recursos de TI, entretanto na GovSI está inserido o processo “comunicação” no conjunto de processos que compõem esta governança. Para entregar valor às partes interessadas e garantir alinhamento entre segurança da informação e os objetivos do negócio, a norma estabelece seis princípios que fornecem uma base sólida para implementação de GovSI. São eles:
a) Estabelecer a segurança da informação em toda a organização. b) Adotar uma abordagem baseada em riscos.
c) Estabelecer a direção de decisões de investimentos.
d) Assegurar conformidade com os requisitos internos e externos. e) Promover um ambiente positivo de segurança.
f) Analisar criticamente o desempenho em relação aos resultados de negócios.
O primeiro princípio busca garantir que as atividades de segurança da informação sejam entendidas e integradas, tratadas em nível organizacional e gerenciadas de forma coordenada. O segundo princípio refere-se à definição de quanto de segurança é aceitável a partir do apetite a risco da organização, incluindo a perda de vantagem competitiva, de conformidade e o risco de responsabilidade civil, interrupções operacionais, danos à reputação e perdas financeiras. Para tanto, é necessário que a gestão de riscos da informação seja parte da gestão de riscos corporativa. O terceiro princípio trata do estabelecimento de uma estratégia de investimentos em segurança da informação com base em expectativas de resultados de negócios. O quarto princípio refere-se à conformidade das políticas de segurança da informação à legislação e regulamentações obrigatórias e aos requisitos dos negócios, sendo recomendável a avaliação desses por auditorias independentes. O quinto princípio versa sobre a necessidade de construção da GovSI sobre o comportamento humano, incluindo as necessidades das partes interessadas, uma vez que considera que o
comportamento humano é um dos elementos fundamentais para manter o nível de segurança apropriado. O sexto princípio recomenda que a avaliação do desempenho da segurança da informação seja realizada em relação ao impacto nos negócios e não apenas sobre a eficiência e eficácia dos controles de segurança. A figura 5 apresenta o diagrama do modelo proposto com a interrelação dos processos avaliação, direção, monitoração e comunicação.
No processo avaliação, é onde ocorre a ponderação sobre o alcance dos objetivos da implementação do modelo, considerando a situação prevista e a atual. O processo direção é onde o corpo diretivo fornece o direcionamento sobre os objetivos e estratégias a serem implementadas. É no processo monitoração que se realiza a validação da eficácia das atividades de gerenciamento de SI, assegura a conformidade e considera as alterações no ambiente de negócios. No processo comunicação, é realizada a troca de informações entre o corpo diretivo e as partes interessadas sobre a segurança da informação, é o reporte da situação de SI. A garantia é o processo pelo qual o corpo diretivo solicita ou autoriza a realização de auditorias, que deverão realizar análises críticas ou certificações independentes e objetivas.
Este modelo está alinhado à norma ABNT NBR ISO/IEC 27001:2013, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização; também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização; e à ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.
Figura 5 – Implementação do modelo de governança para a segurança da informação.
Fonte: desenho adaptado da ABNT NBR ISO/IEC 27014:2013, página 6
5.3.2 NIST
O NIST, National Institute of Standards and Technology, a partir do entendimento que segurança da informação é uma função essencial, dado que as agências do governo (do USA) dependem fortemente de TI para suas atividades, que os serviços disponibilizados por essas agências por meio de TI vem apresentando crescente confiabilidade pelos usuários, que a complexidade de infraestrutura de TI é crescente e, ainda, que ocorrem mudanças constantes de ameaças e riscos no ambiente de segurança da informação, publicou a norma
NIST 800-100, Information Security Handbook: a Guide for Managers (NIST, 2007), que tem por propósito informar aos membros das equipes de gerenciamento de segurança da informação sobre os vários aspectos da segurança da informação que deverão ser implementados e supervisionados em suas organizações. Em seu capítulo 2, aborda o tema governança de segurança da informação. Ressalta-se que o modelo foi concebido para as instituições do governo americano, porém, com as devidas customizações, pode ser utilizado por qualquer organização, pública ou privada.
A governança de segurança de informações em um departamento federal ou agência de governo Norte-Americano deve atender, no mínimo, aos requisitos exigidos em diretivas, regulamentos e legislação. Entendem que as instituições governamentais podem se beneficiar da identificação de boas práticas de governança para o estabelecimento de uma gestão e supervisão forte. Cada instituição deve adequar as suas práticas de governança de segurança de informação para sua missão, operação e necessidades. Segundo o NIST, a tarefa de identificar e implementar as práticas de GovSI apropriadas a cada instituição pode ser desanimadora. As instituições devem identificar requisitos aplicáveis com base na legislação pertinente, regulamentos, diretivas federais e diretivas em nível de agência. Também devem garantir que estruturas de governança de segurança de informação são executadas de modo a que melhor suportem suas operações e missões que são únicas.
Conceitualmente, o NIST define GovSI como o processo de estabelecer e manter um framework e apoiar as estruturas de gestão e processos para garantir que a segurança das informações estratégicas esteja alinhada com os objetivos de negócios, suporte esses objetivos, sejam consistentes com as leis e regulamentações aplicáveis por meio da aderência a políticas e controles internos e provêem a atribuição de responsabilidades, com o objetivo de gerenciar o risco. As instituições públicas devem integrar suas atividades de GovSI com toda a estrutura e atividades da instituição, garantindo a participação adequada dos responsáveis pela instituição na supervisão da implementação dos controles de segurança de informações. As atividades-chave que facilitam essa integração são planejamento estratégico, estrutura organizacional, estabelecimento de regras e
responsabilidades, integração com a arquitetura organizacional, e políticas e orientações de segurança da informação.
O Planejamento estratégico de segurança da informação visa integrar a segurança da informação ao planejamento estratégico da instituição, estabelecendo e documentando as estratégias de segurança da informação que suportem as estratégias globais da organização e os planos de desempenho. Cada instituição deve definir para seu programa de SI:
a) Clara e abrangente missão, visão, metas e objetivos e como estes se relacionam com a missão da instituição;
b) Plano de alto nível para atingir metas e objetivos de segurança de informações, incluindo objetivos a curto e médio prazo e metas de desempenho específicas para cada meta e objetivo, com vistas a gerenciar o progresso no sentido de cumprir com êxito os objetivos identificados; e c) Mensuração de desempenho da monitoração contínua do progresso da
realização das metas e objetivos.
A estrutura organizacional de GovSI possui dois modelos básicos: centralizada e descentralizada. Enquanto o dirigente de mais alta hierarquia da instituição é, em última instância, o responsável pelo gerenciamento e governança na instituição, a autoridade e responsabilidade sobre segurança da informação pode ser categorizada em dois tipos de estruturas. As principais características dessas duas estruturas são:
a) Centralizada. Há um responsável por garantir a implementação e monitoramento de controles de segurança de informações por todos os órgãos integrantes da instituição.
b) Descentralizada. Há um responsável pelas políticas e supervisão de SI, mas cada órgão integrante da instituição tem um responsável por implementar e monitorar as práticas de SI em seu órgão.
As instituições geralmente adotam estruturas híbridas, utilizando os seguintes fatores para determinar a melhor composição de sua estrutura de GovSI:
a) Tamanho da instituição;
c) Estrutura de TI existente;
d) Existência de requisitos de governança federais e internos; e) Orçamento;
f) Capacidade da segurança de informação da instituição;
g) Quantidade, distância e localização de órgãos que compõem a instituição;
h) Práticas de tomada de decisão e taxa de mudanças nas práticas de SI desejada.
As funções e responsabilidades de GovSI referem-se às muitas partes interessadas na governança, comum à maioria das organizações. Estas partes interessadas incluem a liderança sênior, o pessoal de SI, o responsável financeiro, entre outros. Os requisitos específicos de cada função podem variar com o grau de centralização de GovSI ou em resposta à missão e necessidades da instituição. Por exemplo, o dirigente de mais alta hierarquia da instituição tem a responsabilidade de garantir que as políticas de segurança de informação, procedimentos e práticas (oriundas de órgãos competentes) são adequadas.
A arquitetura organizacional é um framework baseado em negócios para melhoria das instituições do governo norte-americano. O propósito é facilitar as avaliações cruzadas e identificar duplicidades de investimentos, lacunas e oportunidades de colaboração dentro e entre as instituições federais. Possui cinco modelos de referência: de desempenho, de negócios, de serviços, de informação e dados, e de referências técnicas. Estes modelos visam à redução dos encargos, a integração e segurança de dados e a preservação dos requisitos de segurança.
Segundo o NIST, as políticas e orientações são componentes essenciais da GovSI, sem política a governança não tem consistência nem regras para se impor. Uma política de segurança da informação deve basear-se em uma combinação de medidas legais, normas e orientações de órgãos competentes, e aos requisitos (ou normas) internos. A política de SI deve abordar os fundamentos da estrutura de GovSI da instituição, incluindo:
a) Funções e responsabilidades de SI;
b) Declaração da linha base de controle de segurança e as regras de exceção para exceder essa linha de base; e,
c) Regras de comportamento que os usuários da instituição deverão seguir. O monitoramento contínuo decorre da necessidade de revisão constante da governança de segurança para ser eficaz. As instituições devem monitorar o status de seus programas para garantir que:
a) Atividades de segurança da informação em curso estão provendo suporte apropriado à missão da instituição;
b) Políticas e procedimentos são atuais e estão alinhados com a evolução de tecnologias; e,
c) Controles estão cumprindo suas finalidades.
Ao longo do tempo, políticas e procedimentos podem tornar-se inadequados devido às alterações na missão da instituição ou requisitos operacionais, ameaças, mudanças no ambiente, deterioração do grau de conformidade, alterações na tecnologia ou na infraestrutura ou nos processos de negócios. Relatórios sobre as atividades e avaliações periódicas podem ser um meio de identificar áreas de não conformidades, lembrando os usuários de suas responsabilidades e demonstrando o empenho da administração para o programa de segurança. A figura 6 apresenta os componentes da governança de segurança da informação definidos pelo NIST.
Figura 6 – Componentes da governança de segurança da informação.
Fonte: diagrama adaptado da NIST Special Publication 800-100, página 6
Segundo o NIST, há muitas prioridades e, às vezes, estas são conflitantes, e isto deve ser considerado por uma organização no atendimento aos requisitos
de governança de segurança de informações. Essas prioridades apresentam desafios que uma organização provavelmente irá enfrentar em realizar esforços para estabelecer a governança de segurança da informação. Os desafios mais comuns são:
a) Balanceamento das exigências originadas de múltiplos órgãos que regulam, supervisionam e estabelecem requisitos para GovSI no governo federal. Raramente contraditórios, mas nem sempre são complementares, sendo um desafio para manter a conformidade.
b) Balanceamento de legislação e políticas específicas da instituição. As instituições podem ter requisitos mais rigorosos que vão além daqueles exigidos pela legislação, regulamentos e normas de segurança de informações.
c) Manter a GovSI atualizada. Os padrões e orientações de governança desenvolvem-se para suportar diferentes requisitos e novas legislações são frequentemente introduzidas.
d) Priorizar o orçamento de acordo com os requisitos de segurança desejados. O aumento da concorrência por recursos e orçamento limitados do governo federal requer que as instituições estabeleçam alta prioridade para investimentos em SI.
Para o NIST, a GovSI fornece uma estrutura para estabelecer e manter um programa de segurança de informações que irá evoluir com a instituição suportada. O NIST apresenta, ainda, uma lista resumida das boas práticas de GovSI que são fundamentais para garantir a segurança dos ativos de informação da empresa, quais sejam:
a) Atividades de segurança da informação devem ser conduzidas com base em requisitos relevantes, incluindo leis, normas e políticas organizacionais.
b) Gerentes seniores devem estar ativamente envolvidos no estabelecimento da estrutura de governança de segurança de informações e no ato de direcionar a implementação de segurança da informação.
c) Responsabilidades de segurança de informações devem ser atribuídas e realizadas por indivíduos treinados adequadamente.
d) Os indivíduos responsáveis pela segurança da informação no âmbito da instituição devem ser responsabilizados pelas suas ações ou omissões. e) As prioridades de segurança de informação devem ser comunicadas às partes interessadas de todos os níveis da instituição para assegurar uma implementação bem sucedida de um programa de segurança de informações.
f) Atividades de segurança da informação devem ser integradas em outras atividades de gestão da empresa, incluindo planejamento estratégico, planejamento financeiro e arquitetura organizacional.
g) A estrutura de organização de segurança de informação deve ser apropriada para a organização suportada e deve evoluir com a organização.
h) Gerentes de segurança de informações devem monitorar continuamente o desempenho do programa de segurança pelo qual são responsáveis, usando informações e ferramentas disponíveis.
i) Informações descobertas por meio do monitoramento devem ser usadas como entrada nas decisões sobre prioridades e alocação de recursos para melhoria da segurança e do desempenho da instituição.