Esta seção apresenta as principais características de um modelo de maturidade, seus tipos e o papel de um modelo de GovSI em uma organização. Além disso, detalha cada um dos seis níveis (0 a 5) descritos pelo modelo de maturidade ITGI (2008).
Segundo Cristofari, Paulab e Fogliattoc (2010), os modelos de maturidade são estruturas utilizadas como ferramentas para melhoria de algum tipo processo. Estes descrevem os requisitos específicos em níveis de sofisticação, com a intenção de guiar e orientar o esforço de melhoria para uma organização. Becker e Knackstedt (2009) complementam que esses modelos devem ser compreendidos como um caminho de evolução, das principais características, para cada nível proposto.
Becker e Knackstedt (2009) descrevem que a mudança entre cada nível encontrado deve ser discreta e gradativa, independente do tipo de processo avaliado, sendo que os níveis ou estados iniciais caracterizam uma baixa aderência ou capacidade no domínio avaliado. Entretanto, à medida que os níveis evoluem deve aumentar também a aderência aos requisitos propostos, até alcançar o nível mais alto de maturidade, que atende plenamente as diversas características exigidas pelo modelo.
Segundo a Capability Maturity Model Integration (CMMI, 2010), os modelos de maturidade podem ser divididos em dois tipos: por meio de uma representação contínua ou por estágio. A representação continua habilita uma avaliação por níveis de capacidade (capability levels), pois avalia as competências e requisitos a partir de cada elemento avaliado individualmente. Já a representação por estágio (staged representation) habilita uma avaliação por níveis de maturidade e caracterizam uma avaliação de um processo como um todo. Além disso, para alcançar um próximo nível de maturidade a organização deve satisfazer todas as metas ou requisitos avaliados.
No contexto da Governança da Segurança da Informação, a alta administração pode utilizar um modelo de maturidade desse tipo para estabelecer uma classificação (ranking) de maturidade dentro da organização (ITGI, 2006). Este modelo pode avaliar os principais aspectos referentes à Segurança da Informação, além das características necessárias para alinhar esta proteção ao negócio.
Segundo esta entidade, um modelo de GovSI pode ser utilizado com os seguintes propósitos:
Realizar uma avaliação interna de acordo com as escalas sugeridas, a fim de mapear e indicar o nível de proteção da organização;
Planejar e propor novos alvos e metas de segurança para o futuro, de acordo com o nível de maturidade que se deseja alcançar, não necessariamente o nível mais alto do modelo;
Auxiliar a realização de uma análise de lacunas (gap analysis), com uma estimativa do esforço e recursos necessários, para atingir determinado nível de maturidade;
Priorizar os projetos de segurança, baseado na classificação e análise dos requisitos sugeridos para cada nível.
2.5.1 Modelo de Maturidade do ITGI
O ITGI (2008) apresenta um modelo de maturidade de GovSI de representação por estágio, que consiste em uma escala dividida em seis níveis de maturidade, de zero a cinco. Estes níveis foram estabelecidos de acordo com os requisitos de Segurança da Informação necessários para o alinhamento da SI ao negócio.
O quadro 1 a seguir apresenta as principais características de cada um dos níveis de GovSI sugeridos.
NÍVEL DE MATURIDADE DESCRIÇÃO
(0) Não Existente A organização não reconhece a importância da necessidade de SI. (1) Inicial ou ad hoc A organização considera a importância dos riscos, mas não possui um processo formal de avaliação e levantamento desses riscos. (2) Processo que pode ser
repetido de forma intuitiva
A organização entende a necessidade da Segurança de Informação e dos seus riscos, contudo não possui um processo formalmente
estabelecido.
(3) Processo Definido A organização entende claramente as necessidades da gestão de risco e da implantação da GovSI.
(4) Gerenciado e Mensurável
A organização possui um levantamento de riscos de forma padronizada, uma atribuição clara dos papéis e responsabilidades de
segurança, além de apresentar políticas, padrões e procedimentos formalizados.
(5) Otimizado A organização possui os diversos processos de GovSI implantados, gerenciados e monitorados. Quadro 1 – Descrição dos níveis de maturidade de GovSI.
De acordo com o quadro 1, o nível de maturidade representa a quantidade de requisitos de GovSI atendidos, por meio do estabelecimento das melhores práticas propostas pelo ITGI (2008). Por exemplo, se uma organização está no nível zero de maturidade, o ITGI (2008) classifica seu processo de GovSI como inexistente, por não reconhecer a importância dos processos e necessidades desta governança.
Segundo o ITGI (2008), para a classificação de cada um dos níveis devem ser atendidos diversos requisitos e ações referentes à GovSI. Cada uma dessas exigências encontra-se listada a seguir:
Nível 0: a organização não realiza levantamento de riscos para os processos e
decisões de negócio; não existe uma análise de impacto associada com as vulnerabilidades de segurança; a gestão de risco não representa um processo relevante para as novas aquisições de TI e disponibilidade dos serviços; a organização não reconhece a necessidade da SI; as responsabilidades e prestação de contas não são associadas com os incidentes de segurança; não são implementados avaliações e monitoramentos de SI; não são gerados relatórios automatizados de SI, por meio de um processo de resposta a incidentes; não são encontrados os processos formais de administração de segurança para os sistemas existentes; não existe um entendimento dos riscos, vulnerabilidades e ameaças ligados as operações de TI; não existe um reconhecimento dos impactos e indisponibilidades dos serviços de TI para os negócios providos; a organização não considerada a continuidade dos serviços um papel importante;
Nível 1: os riscos de TI são avaliados pontualmente, ou de uma forma ad hoc,
sem estar orientado por um processo formal, ou políticas, previamente definidas; alguns levantamentos de riscos informais são exigidos por algum projeto específico ou necessidade pontual; o reconhecimento das necessidades da SI é distinto, pois seu interesse depende de cada pessoa; as ações de SI são realizadas de forma reativa e não são monitoradas; as responsabilidades pelos incidentes de SI são apontadas pela gerência, sem a presença de um processo que defina os papéis e responsabilidades; as respostas às vulnerabilidades e incidentes de SI são imprevisíveis; as responsabilidades pela continuidade dos serviços são informais; e o nível gerencial apresenta alguma consciência da necessidade e importância do levantamento de riscos para a continuidade dos serviços;
Nível 2: a importância dos riscos de TI é reconhecida pontualmente; o
ainda se encontra em desenvolvimento ou imaturo; as responsabilidades e prestação de contas pela SI são atribuídas a um responsável, que não possui autoridade ou cargo de gestor; a consciência de segurança está fragmentada e limitada; a área de segurança gera algum tipo de informação ou relatório, porém estes não são analisados; a área de segurança tende a responder reativamente os incidentes ocasionados; as ofertas de segurança de terceiros são adquiridas sem o mapeamento com as necessidades de negócio; as políticas de SI estão em desenvolvimento, mas sem um padrão e estratégia adequados; os relatórios de segurança gerados são incompletos e não são pertinentes para alta administração; a responsabilidade pela continuidade dos serviços não é padronizada e formalizada; e os relatórios a respeito da disponibilidade dos sistemas estão incompletos e não levam em consideração o impacto nos negócios;
Nível 3: a organização possui uma gestão de riscos que define quando e quem
deve realizar um levantamento de risco; o levantamento de risco segue um processo bem definido, que é documentado e disponibilizado para treinamentos; a alta administração promove e apóia as ações de SI; a importância da SI é divulgada nas diversas esferas organizacionais; os procedimentos de SI estão associados a uma estrutura bem definida de políticas de segurança; os papéis e responsabilidades pelos incidentes de segurança são atribuídos, porém não são efetivos; as análises de risco e soluções de segurança são estabelecidas por meio de um planejamento; os relatórios de segurança são focados nas informações de TI, ao invés de serem orientados pelo negócio; são realizados alguns testes de intrusão pontuais ou sob demanda; a alta administração entende e conversa sobre a necessidade da continuidade dos serviços; algumas soluções de alta disponibilidade e redundância de sistemas estão implantadas; e os inventários dos sistemas mais críticos são padronizados e frequentemente realizados;
Nível 4: o levantamento de risco é padronizado por meio de procedimentos e
suas exceções são informadas a gestão de TI; a gestão de risco possui uma função gerencial na organização com autoridade administrativa; a alta administração, em conjunto com a gestão de TI, definem os níveis de risco que a organização deve possuir, bem como suas métricas e monitorações relevantes para o negócio; as responsabilidades pela SI estão claramente definidas, gerenciadas e aplicadas; a análise de risco e de impacto são formalmente
definidas e implantadas; as políticas de segurança e seus procedimentos são complementados por baselines de segurança; as divulgações de segurança são recorrentes e obrigatórias; a identificação, autenticação e autorização dos usuários são padronizadas; a equipe de segurança e a área de SI possuem as certificações de segurança necessárias; os testes de intrusão são padronizados e seus resultados são capazes de promover melhorias para a SI; realiza-se uma análise de custo-benefício formalizada que suporta a implantação das medidas e controles de segurança; os processos de SI são coordenados e alinhados com a área de segurança corporativa; os relatórios de SI estão vinculados com os objetivos e necessidades do negócio; as responsabilidades e procedimentos para a continuidade dos serviços são amplamente utilizados; e os sistemas e mecanismos de alta disponibilidade estão presentes nos sistemas críticos;
Nível 5: o levantamento e mapeamento de risco são realizados periodicamente
nas diversas estruturas organizacionais, além de estarem estruturados em um processo bem gerenciado; os papéis e responsabilidades de SI estão integrados e alinhados com os objetivos e estratégias de negócios; os requisitos de SI são claramente definidos, otimizados e presentes em um planejamento de segurança; os requisitos e funções de segurança fazem parte do processo de desenvolvimento dos sistemas; os usuários são responsáveis e prestam contas pela gestão de segurança; os relatórios são automatizados e monitoram os sistemas mais críticos; os relatórios são capazes de alertar previamente os riscos de indisponibilidade; os incidentes de segurança são automaticamente endereçados e encaminhados com procedimentos claros definidos; as ameaças e vulnerabilidades são sistematicamente coletadas e analisadas; os controles de segurança são adequadamente implantados e divulgados; os mecanismos de teste de intrusão apresentam uma análise de causa raiz e promovem uma melhoria contínua de segurança; os testes e planos de continuidade dos negócios são periodicamente realizados e atualizados; e as soluções para continuidade dos serviços são asseguradas e suportadas pelos fornecedores.
3 METODOLOGIA DE PESQUISA
Esta seção apresenta a metodologia de pesquisa aplicada na elaboração deste estudo. Segundo Bagno (2003, p.18) a pesquisa é o “fundamento de toda e qualquer ciência”, pois envolve uma busca ou investigação para se obter um conhecimento estruturado sobre determinado assunto. Para Silva e Menezes (2005, p.9), a metodologia de pesquisa é responsável por promover os alicerces e “caminho das pedras” para a elaboração de uma pesquisa. Além disso, Günter (2004, p.3) descreve que os procedimentos metodológicos representam “a espinha dorsal de uma pesquisa”, por apresentar e discutir um método a respeito do problema a ser estudado.
De acordo com Silva e Menezes (2005), para uma dissertação, ou tese, alcançar resultados satisfatórios, a sua construção deve estar fundamentada em um planejamento cuidadoso, bem como promover reflexões conceituais sólidas e se embasar em conhecimentos já existentes. As autoras ainda descrevem que um relato ou projeto de pesquisa, do tipo dissertação, deve ser reconhecido por ser um trabalho científico sistematizado.
Por isso, esta metodologia de pesquisa apresenta e detalha os seguintes itens: classificação da pesquisa; etapas utilizadas para sua elaboração; o instrumento de pesquisa utilizado; os sujeitos da pesquisa; o protocolo de aplicação do questionário; metodologia para coleta e análise dos dados; e, por fim, as limitações metodológicas.