Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br
“Pretendo fazer uma análise da segurança da informação numa empresa do ramo académico usando como referência a norma internacional ISO/IEC 27002. Pretendo ainda propor um modelo de segurança para a mesma instituição. Não sei como começar, alguma sugestão?”
J. Guirrugo (Moçambique)
Cara leitora,
Sempre fui um entusiasta de tudo o que envolvia uma melhor gestão de riscos e controlos, e falar sobre a importância de uma boa segurança da informação tem ocupado grande da minha vida profissional. Ao longo da minha carreira tenho lidado com diversas boas práticas no domínio da segurança da informação, quer no papel de consultor como de auditor, tendo experimentado diversas soluções e diferentes abordagens em todo o tipo de empresas, desde públicas a privadas, grandes a pequenas.
Neste contexto, se fizesse um balanço dos resultados das iniciativas em que estive envolvido diria muito francamente: um fracasso! Mas porquê?
Depois de ter refletido sobre as causas que poderiam estar na origem dessa sensação de que projetos de segurança falham, cheguei a algumas dicas que gostaria de partilhar consigo para que possa a ajudar na abordagem ao seu projeto.
Dica 1 – Porquê segurança?
Começar sempre pelos porquês (antes dos comos!)? Esta é a principal mensagem que passo a todos os colegas ou alunos quando falamos de lançamento de qualquer iniciativa, em particular no contexto dos sistemas de informação.
Porquê Segurança da Informação? Esta é sem dúvida a questão que muitas vezes não é colocada e que quando é colocada, nem sempre a resposta é a mais franca e objetiva.
Como muitas outras decisões na vida, implementar uma iniciativa deste género pode ter duas principais motivações: Porque se quer ou porque se é obrigado!
A segurança da informação pode ser uma decisão estratégica de suporte a uma melhor gestão de risco e consequentemente uma maior satisfação dos clientes, contribuindo desta forma para uma maior criação de valor na Empresa. Uma lenga-lenga de consultor que fica muito bonita, mas que para ser aplicável é preciso de facto que se consiga estabelecer uma relação direta entre a proteção dos ativos de informação e os fatores de competitividade é necessário coexistirem dois principais fatores: Insegurança e Mercado:
- A Insegurança aumenta a consciência que a Segurança é importante porque as ameaças são reais e as perdas podem mesmo comprometer a continuidade do negócio;
- O Mercado cria desafios de performance às empresas para se diferenciarem nos “detalhes” e para procurarem continuamente a maior eficiência e eficácia dos seus recursos. Note-se que este Mercado pode ser local, mas cada vez mais é global com as empresas a procurarem novos mercados e a encontrarem novos concorrentes.
Ou seja, “eu quero segurança” se isso for bom para o meu negócio!
Se este não é o cenário, então só sobra uma outra motivação: “Eu sou obrigado a ter segurança”, também conhecido como segurança por motivos de conformidade. Este foi provavelmente a principal motivação que vi ocorrer nos últimos anos, com as entidades supervisoras e reguladoras a aumentarem os requisitos relacionados com a confidencialidade, integridade e disponibilidade da informação.
Neste caso, existirá sempre maior “motivação” para iniciativas de Segurança quanto maiores forem os requisitos, locais ou globais, relacionais com este tema. E já agora, quanto maiores forem as penalidades por incumprimento!
Ou seja, “tenho de ter segurança” se isso for obrigatório para o meu negócio!
No seu caso, a Empresa quer ter segurança ou precisa de ter segurança? A resposta a essa questão é fundamental para que a abordagem à iniciativa seja a mais correta.
Dica 2 – A importância da comunicação
Já falei aqui da importância da comunicação, em particular na importância de utilizar diferentes estilos de comunicação para diferentes interlocutores (ver LAB GSTI 2.0 - Vozes de técnico não chegam aos CEOs [1]). A Segurança é um tópico clássico onde más escolhas de comunicação podem comprometer o sucesso da iniciativa. Quem é o patrocinador da iniciativa? Qual o seu estilo de comunicação?
Segurança da Informação é um assunto que, de forma direta ou indireta, pode e deve ser discutido por todos os recursos humanos da Empresa, mas importa escolher muito bem as palavras certas para cada destinatário.
Dica 3 – A escolha das melhores ferramentas
A norma internacional ISO/IEC 27002 é sem dúvida aquela que mais vi ser nos últimos anos. Importa desde logo clarificar que se trata de uma norma e que uma norma é diferente de uma estrutura ( framework ):
- Estruturas ( frameworks ) – Fornecem as componentes de um sistema (ex. COBIT 5). Este tipo de ferramentas ajuda a perceber o “Porquê?” da Segurança e tem como principal objetivo enquadrar a Segurança da Informação nos objetivos da Empresa e na articulação com outras áreas do Sistema de Informação. Permite suportar uma abordagem “De cima para baixo” na Empresa.
- Normas – Orientações detalhadas e muitas vezes prescritivas de fazer algo (ex. ISO 27k). Este tipo de ferramentas ajuda a entender o “Como?” implementar segurança e é muitas vezes associado a requisitos de conformidade. Permite suportar uma abordagem “De baixo para cima” na Empresa.
É natural que quando se fale de segurança se fale de uma perspetiva mais técnica da segurança e as normas são uma ferramenta importante para suportar esse entendimento mais detalhado. No entanto, abordagens mais prescritivas necessitam de sistemas de informação mais complexos e com maior maturidade para que seja possível garantir o cumprimento das “boas práticas” recomendadas.
Por outro lado, a utilização de normas deve sempre ser analisada num quadro mais alargado de conformidade e a utilização de uma determinada norma deve ter sempre uma carga de substância (pela utilização das boas práticas de referência), mas também de forma (pela importância que uma certificação associada). A utilização de uma norma como a ISO/IEC 27002 tem tanto mais valor quanto a sua valorização no mercado em que essa certificação é apresentada. Se a norma não é valorizada no mercado onde vai ser implementada lembre-se sempre que poderá utilizar uma abordagem “baseada na norma” e não de “certificação na norma”.
Resumindo, se tivesse de responder de forma muito direta à sua questão “por onde começar”, eu recomendaria sempre uma abordagem “de cima para baixo” respondendo primeiro aos “Porquês” e utilizando sempre as boas práticas que sejam mais adequadas ao sistema de informação em causa, como ao contexto em que ele se insere. Uma coisa é melhorar a segurança e outra coisa, que pode ser muito diferente, é implementar uma norma como ISO/IEC 27002. Os nomes são muito importantes, mas podem ajudar tanto como atrapalhar!
Espero ter ajudado, bom trabalho,
Bruno Horta Soares, CISA®, CGEIT®, CRISC ™ , PMP®
"The more you know, the less you no!"
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br
[1] https://www.portalgsti.com.br/2012/11/comunicacao-tecnicos-ceo.html
Outros artigos desta série:
Outros artigos desta série: