Esta dissertação contempla a proposta de um novo framework para preencher as lacunas citadas no referencial teórico. Esse framework foi desenvolvido por meio da concepção inicial de um metamodelo (GOEKEN, Matthias & ALTER, Stefanie, 2008), com segregação dos assuntos em domínios, a criação de níveis de maturidade e a criação dos documentos para levantamento do nível necessário de maturidade em segurança da informação e do nível atual da corporação. O intuito é que esse framework possa ser utilizado para avaliação do nível de maturidade de segurança da informação pelas corporações e para a definição de priorização dos investimentos necessários para adequação ao nível exigido.
O framework possui um documento de levantamento de informações (Apêndice B) que irá auxiliar as empresas a identificar suas reais necessidades legais e de negócio em relação à segurança da informação. Após o processamento deste documento, será identificado o nível que a empresa necessita estar em relação à segurança da informação. Com a implantação prática do framework nesta mesma empresa, será possível verificar se a empresa detém os controles necessários para o nível de segurança exigido e se a utilização do framework foi eficaz para esta análise.
3.3 COLETA E ANÁLISE DOS DADOS
Os dados coletados para a elaboração desta dissertação foram as leis, normas e framework citados no referencial teórico. Todos foram analisados em relação aos aspectos de segurança da informação e com base nesta análise foi elaborado um novo framework de segurança da informação.
O framework foi aplicado em uma empresa de médio porte do governo federal brasileiro para avaliação de sua aplicabilidade. Os dados desta aplicação são apresentados nesta dissertação.
3.4 DELIMITAÇÃO DO ESTUDO
O trabalho consistiu na elaboração de um novo framework de segurança da informação para medição do nível de maturidade atual das organizações e do nível exigido pelo negócio.
O framework foi elaborado com base no estudo de diversas leis, normas e frameworks. Apenas aspectos de segurança da informação destes documentos foram considerados para a elaboração dessa dissertação.
3.5 AÇÕES METODOLÓGICAS
O framework desenvolvido propõe as seguintes ações para identificação do nível de segurança da informação atual da organização, identificação do nível de maturidade para cada domínio segundo as necessidades de negócio e identificação das lacunas críticas a serem sanadas:
• Identificar o nível de segurança da informação onde a corporação deve estar segundo as necessidades legais e de negócio com a aplicação do questionário presente no Apêndice B por uma equipe multidisciplinar, que contenha pelo menos membros com poder de decisão das Unidades de Negócios e membros da Unidade Jurídica. É recomendável haver, também, membros das áreas de Marketing, Comunicação, Auditoria e Recursos Humanos. O preenchimento do questionário permite a identificação do nível de maturidade necessário para a corporação e, consequentemente, os controles que precisam ser implementados para atingir esse nível;
• Identificar o nível atual de segurança da informação com o preenchimento do checklist presente no Apêndice C pelos responsáveis pela gestão da segurança da informação na corporação. É recomendável a validação do preenchimento deste checklist pelo Comitê de segurança da informação ou pela área de Auditoria da organização. O preenchimento deste checklist e do questionário identificado no item anterior permitem que a empresa faça uma comparação entre os controles existentes e os controles necessários e faça uma priorização dos investimentos e recursos necessários de acordo com a maior necessidade da organização. Por exemplo, se uma empresa identifica que necessita estar no nível 5 de maturidade para um determinado domínio e atualmente encontra-se no nível 1, e
para um outro domínio identifica que necessita estar no nível 3 de maturidade e atualmente encontra-se no nível 2, os investimentos e recursos devem ser prioritariamente investidos no primeiro domínio, já que é onde existe uma lacuna enorme entre as necessidades de negócio e o atual cenário da organização.
4 VIABILIDADE DA PESQUISA
4.1 RESTRIÇÕES
Essa dissertação e os estudos necessários para sua elaboração se restringem aos aspectos de segurança da informação. Os demais aspectos não foram analisados.
As normas e os frameworks analisados estão escritos em língua inglesa. Assim, os termos estão citados na linguagem original para evitar possíveis problemas de mudança de sentido após a tradução.
5 RESULTADOS – O FRAMEWORK
Em um mundo altamente competitivo, a segurança da informação torna-se fator preponderante para o negócio das empresas. Algumas empresas conseguem funcionar sem possuir um ambiente seguro, mas passam a depender de fatores como a sorte ou o comodismo da concorrência.
O negócio pode funcionar sem segurança da informação e ainda assim conseguir trazer retorno para os acionistas. Porém, a empresa fica extremamente vulnerável. A exploração de uma vulnerabilidade que afete áreas críticas do negócio pode quebrar o negócio da empresa.
A segurança da informação surge então para dar suporte, para agregar valor e, muitas vezes, para viabilizar o negócio da empresa. O framework desenvolvido nesta dissertação pretende preencher essa lacuna e está estruturado conforme os aspectos da segurança da informação, exemplificados na Figura 15:
Figura 15 – A segurança da informação e seus pilares dando suporte o negócio
Confidencialidade, integridade e disponibilidade são os principais pilares da segurança da informação. Porém, conformidade, não-repúdio, legalidade, confiabilidade, autenticidade e responsabilidade também são quesitos importantes para a estabilidade e maior abrangência da segurança da informação.
O framework desenvolvido propõe preencher as lacunas existentes nos diversos frameworks, normas e leis analisados nesta dissertação.
5.1 METAMODELO
Para Ferreira e Souza (2010), metamodelos “representam, a partir de um nível superior de abstração, os componentes conceituais e a rica estrutura lógica e semântica dos relacionamentos dos frameworks de melhores práticas de TI, bem como possibilitam a adaptação, comparação e integração entre os diferentes frameworks de TI”. Ou seja, além de facilitar a absorção do conteúdo de um framework e guiar sua aplicação, um metamodelo facilita a comparação e integração entre frameworks.
Já segundo Goeken e Alter (2008), “nas pesquisas nós usamos modelos para abstrair de fenômenos do mundo real e objetos do mundo real. A representação com um modelo normalmente é o primeiro passo do desenvolvimento de uma aplicação ou sistema de software. Se os assuntos da pesquisa são modelos, e não o mundo real ou o universo do discurso, nós criamos modelos dos modelos. Normalmente o modelo de um modelo, o qual é uma abstração de alto nível, é chamada de metamodelo”. Daí a aplicabilidade de metamodelos em frameworks, já que estes são conjuntos de melhores práticas ou orientações para gestão. Em suma, são modelos de um determinado assunto.
Segundo Johannsen e Goeken (2007), os frameworks de melhores práticas de TI “descrevem objetivos, processos e aspectos organizacionais do gerenciamento e controle da TI”. A metodologia de desenvolvimento desta dissertação baseou-se na análise de diversos modelos (normas, frameworks e leis) para a construção de um novo modelo. Assim, conforme os conceitos apresentados no parágrafo anterior, foi elaborado um metamodelo para orientação da construção deste framework. Este metamodelo define sua estrutura, funcionamento e forma de aplicação, conforme os passos abaixo e a Figura 16:
• Um grupo multidisciplinar, com a presença da Unidade de Negócios, ou a própria Unidade de Negócios, deve responder a um questionário para definir o nível de segurança da informação exigido pelo negócio;
• A área responsável pela segurança da informação ou o comitê de segurança da informação preenche o checklist de segurança da informação (validado pela área de Auditoria), com o intuito de identificar o nível atual de segurança da informação da organização;
• O comparativo destes dois documentos gera a identificação das lacunas de segurança da informação pertencentes aos 10 domínios deste framework. Estes 10 domínios contêm processos, tecnologia, funções e responsabilidades que possibilitam a correta gestão do risco de segurança da informação, agregando valor e viabilizando o negócio.
Figura 16 – Meta modelo do framework de segurança informação para medição do nível de maturidade das organizações.
5.2 ESTRUTURA DO FRAMEWORK
5.2.1 Níveis de maturidade
O framework está dividido em 5 níveis de maturidade conforme a Figura 17:
Figura 17 – níveis de maturidade de segurança da informação.
Segundo Schneier (2005), “a segurança da informação é tão forte quanto o seu elo mais fraco”. Portanto, além do investimento em tecnologia, é necessário investir em melhoria dos processos, treinamentos técnicos e campanhas de conscientização da importância da segurança da informação. De nada adianta ter um ambiente tecnologicamente seguro sem processos bem definidos e operacionais e colaboradores conscientes e treinados.
Não adianta investir todos os esforços na mitigação de um risco específico, se um ativo crítico para a organização fica desprotegido. Se existe uma possibilidade de exploração de uma vulnerabilidade, certamente ela será explorada em algum momento, seja por erro humano ou com objetivos de furto de informação, ganhos financeiros ou de prejuízo ao negócio. Portanto, para certificação da uma empresa neste framework, a empresa será certificada de acordo com o menor nível atingido em um dos 10 domínios existentes.
5.2.1.1 Nível 0 – Inexistente
O nível 0 é aplicado quando a empresa avaliada não atinge os requisitos mínimos de, pelo menos, um dos domínios de segurança da informação do framework. Neste caso, algumas vulnerabilidades críticas existem na empresa sem algum tipo de controle. Portanto, para parâmetros de certificação, uma empresa avaliada que não atende aos requisitos mínimos de certificação em todos os domínios (nível 1), torna-se inabilitada para a certificação. Neste caso, a segurança da informação não interfere no negócio da empresa ou a empresa está aquém de suas necessidades de segurança da informação.
5.2.1.2 Nível 1 – Inicial
Nível embrionário para uma empresa em relação à governança da segurança da informação. Existem os controles básicos, normalmente com foco tecnológico, necessários para gerir a segurança da informação na corporação. A necessidade da segurança da informação para o negócio é identificada e alguns controles são implementados, mas sem que haja um monitoramento efetivo destes controles. A segurança da informação ainda não é entendida como um valor adicional para o negócio. Alguns processos e a política de segurança da informação existem, mas não estão plenamente estruturados.
5.2.1.3 Nível 2 – Monitoramento
Alguns controles de segurança da informação estão implementados e são monitorados. Existem processos que monitoram a efetividade e a eficácia destes controles. Porém, os controles ainda estão baseados em tecnologia. Os processos e a política de segurança da informação estão mais detalhados e melhor estruturados, mas ainda possuem alguns pontos de melhoria. Existem profissionais que atuam de forma dedicada à segurança da informação. São realizados treinamentos e campanhas de conscientização em relação à segurança da informação. A segurança da informação começa, de certa forma, a ser vista com mais interesse para o negócio, já que a perda da confidencialidade, integridade e disponibilidade das informações começa a ser entendida como algo que prejudica o negócio.
5.2.1.4 Nível 3 – Processo cíclico
O processo de gestão da segurança da informação está implementado, é monitorado e revisado constantemente. A segurança é entendida como um uma questão importante para o negócio. Existe uma área que cuida exclusivamente de segurança da informação na corporação. Um comitê de segurança da informação, formado por membros de áreas distintas da corporação, define os processos críticos de segurança da informação. Os processos e a política de segurança da informação estão bem abrangentes, estruturados e são revisados constantemente. A gestão de risco está implementada na corporação e são realizadas análises de riscos periódicas na organização para identificar as vulnerabilidades existentes e as necessidades de adequação na política de segurança e dos processos corporativos.
Responsabilidades e prestação de contas em relação aos processos críticos de segurança da informação são implementados. Metodologias e ferramentas de gestão de riscos são implementadas.
5.2.1.5 Nível 4 – Gerenciado e mensurável
A segurança da informação está implementada e é monitorada, revisada, gerenciada e medida. É possível ter indicadores do processo de gestão da segurança da informação. A segurança da informação é entendida como algo que agrega valor e que é fator crítico de sucesso para o negócio da empresa. A área de segurança da informação está, pelo menos, no mesmo nível hierárquico que a área de tecnologia da informação. Um plano de continuidade de negócios está completamente implementado e prevê ações para o funcionamento da empresa nos momentos de indisponibilidade dos ativos e das pessoas dos processos críticos ao negócio.
5.2.1.6 Nível 5 – Otimizado
A governança para segurança da informação está completa e segue as melhores práticas em relação a todas as necessidades de segurança da informação. Todos os processos necessários estão implementados, são monitorados, revisados, melhorados e medidos. Os aspectos de segurança da informação são levados em consideração para todas as decisões críticas de negócio. A área de segurança da informação está ligada diretamente à presidência da empresa. Um processo de melhoria contínua da segurança da informação está implementado. Existe monitoramento em tempo real dos eventos críticos de segurança da informação e dos riscos aceitos. A segurança da informação está presente no plano estratégico da TI e da corporação, está amplamente difundida e os colaboradores e demais pessoas que têm acesso às informações da empresa entendem a segurança da informação como algo essencial para o negócio e executam suas melhores práticas.