Indicadores na Gestão de Riscos de Segurança da Informação

Transcript

1.     UNIVERSIDADE ESTÁCIO DE SÁ CURSO DE ADMINISTRAÇÃO INDICADORES

   NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO MARCELO DE ALMEIDA MARTINS RIO DE JANEIRO JUNHO / 2009

2.     MARCELO DE ALMEIDA MARTINS INDICADORES NA GESTÃO DE

   RISCOS DE SEGURANÇA DA INFORMAÇÃO Trabalho apresentado à Universidade Estácio de Sá como requisito parcial para obtenção do grau de Bacharel em Administração. RIO DE JANEIRO JUNHO / 2009

3.     MARCELO DE ALMEIDA MARTINS INDICADORES NA GESTÃO DE

   RISCOS DE SEGURANÇA DA INFORMAÇÃO Trabalho apresentado à Universidade Estácio de Sá como requisito parcial para obtenção do grau de Bacharel em Administração. Aprovado em ___/___/___ EXAMINADOR ______________________________________ Marco Antonio Maia Souto Universidade Estácio de Sá RIO DE JANEIRO JUNHO / 2009

4.     SUMÁRIO Pág. RESUMO ............................................................................................................................... 4 PALAVRAS - CHAVE

   ......................................................................................................... 4 INTRODUÇÃO ..................................................................................................................... 4 1 INCIDENTES DE SEGURANÇA E SEUS IMPACTOS NO NEGÓCIO ...................... 5 1.1 INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÃO .............................................. 6 2 GESTÃO DE RISCOS .......................................................................................................... 9 2.1 CONCEITUAÇÃO DE RISCO .............................................................................................. 9 2.2 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO ....................................... 10 2.3 GESTÃO POR INDICADORES .......................................................................................... 11 2.4 INDICADORES E MÉTRICAS DE SEGURANÇA DA INFORMAÇÃO ......................... 13 2.4.1 Papéis e responsabilidades .................................................................................................. 14 2.4.2 Coleta de informações ......................................................................................................... 14 2.4.3 Definição de indicadores ..................................................................................................... 16 2.4.4 Definição de métricas .......................................................................................................... 18 2.4.5 Análise dos dados, identificação e aplicação de ações corretivas .................................... 20 CONSIDERAÇÕES FINAIS ............................................................................................. 21 REFERÊNCIAS .................................................................................................................. 22

5. 4   INDICADORES NA GESTÃO DE RISCOS DE SEGURANÇA DA

   INFORMAÇÃO Marcelo de Almeida Martins* RESUMO: A informação é um dos ativos mais valiosos de qualquer organização. Para proteger seus ativos as organizações devem investir em controles e medidas de segurança para evitar impacto em seus negócios. Determinar onde realizar esse investimento é o grande desafio dos gestores de riscos e de segurança da informação. As dificuldades vão desde a percepção inadequada de risco por parte da Organização até o árduo trabalho de determinar as informações relevantes que devem ser coletadas e analisadas para então justificar a adoção de novos controles de segurança. Em muitos casos, essa tarefa se inicia na implantação de registros e controle de outros processos da Organização. Esse trabalho não é apenas uma análise de números para gerar relatórios para a alta direção. A gestão por indicadores é exigida por algumas normas e regulamentações do mercado e é realmente uma forma muito eficiente de prever impacto ao negócio e determinar investimentos que precisam ser realizados. Para implantar este processo de gestão é necessário também definir métricas que indicarão quando um evento ou processo pode se tornar um problema no futuro. De posse dessas informações, cabe às partes interessadas autorizar e apoiar os investimentos ou aceitar os riscos de impacto no negócio da Organização. PALAVRAS - CHAVE: Indicadores, Gestão de riscos, Segurança da informação. INTRODUÇÃO A informação é um dos ativos mais valiosos de qualquer organização. Recentemente a mídia tem publicado notícias sobre negociação de ações na bolsa de valores com o uso de informações privilegiadas de relatórios financeiros de grandes corporações. O maior escândalo de fraudes do qual se teve notícia ocorreu na empresa americana de energia Enron em 2001, que posteriormente foi documentado no filme The smartest guys in the room, de 2005. Por causa das fraudes na Enron, a lei americana Sarbanes-Oxley foi criada em 2002, com o objetivo de exigir controles mais rígidos para informações sensíveis e punições mais                                                                                                                           *  Aluno do Curso de Administração da Universidade Estácio de Sá. E-mail: [email protected]  

6. 5   severas para os responsáveis. Com o uso cada

   vez mais frequente de tecnologia, as informações passaram a ser trocadas muito mais rapidamente por todo o globo e a competitividade sempre envolve o uso de tecnologia nos processos de negócio das organizações. Para evitar interrupções nos processos de negócio e garantir que um de seus ativos mais valiosos esteja protegido, as organizações necessitam entender o risco do seu negócio, suas ameaças e vulnerabilidades e implantar os controles adequados para proteger seus ativos e reduzir o risco a um nível aceitável levando em consideração os indicadores da gestão de riscos de segurança da informação. A utilização desses indicadores é dita há tempos como o melhor caminho a ser tomado para justificar investimentos. A definição de quais indicadores podem e de como devem ser utilizados sempre foi uma dúvida para os mais experientes Risk Officers e Security Officers (profissionais de gestão de riscos e gestão de segurança da informação, respectivamente). Alguns indicadores necessitam de mensuração complexa, que demanda tempo e esforço de pessoas. Outros indicadores são difíceis de quantificar ou qualificar. Através dos indicadores de gestão de riscos e segurança da informação é possível antecipar uma necessidade futura ou crescente e justificar investimentos nessas áreas, tendo em vista que na Era da Informação o conhecimento das organizações é um ativo muito valioso e que deve ser bem protegido. A metodologia adotada para a elaboração do Artigo segundo o modelo proposto por Gil (2002, apud MATIAS e ALEXANDRE, 2008) foi a pesquisa explicativa, já que parte dos dados necessários podem ser encontrados em artigos científicos e de conhecimento público, tais como livros, artigos científicos, entre outros. O modelo considerado adequado foi a pesquisa bibliográfica baseada em livros e trabalhos acadêmicos de conhecimento público sobre gestão de segurança da informação, uma vez que outros dados necessários não podem ser divulgados ou são de difícil coleta nas organizações. 1 INCIDENTES DE SEGURANÇA E SEUS IMPACTOS NO NEGÓCIO Nos últimos anos a mídia impressa e falada vem noticiando cada vez mais incidentes de segurança relacionados a empresas públicas e privadas. Um incidente de segurança é “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação” (ABNT, 2006, p. 2). Como exemplo de incidentes de segurança é possível citar vazamento de informações, acesso lógico ou uso não autorizado, perda ou roubo

7. 6   de equipamentos, código malicioso, indisponibilidade de informações e

   serviços, entre outros. Justamente por haver risco de comprometer as operações do negócio as empresas começaram a investir uma quantia mínima de seu orçamento em segurança da informação nos últimos anos. Ainda que haja um investimento, em muitos dos casos não é possível afirmar que este é suficiente ou que está sendo aplicado de forma adequada. Por exemplo, uma companhia aérea que vende 80% dos seus bilhetes de vôo através da Internet não pode ficar fora do ar por algumas horas. Isso representaria uma perda muito grande em termos financeiros e de negócios, pois a imagem da empresa seria afetada e os concorrentes teriam a oportunidade de mostrar seus serviços e tentar conquistar a confiança dos clientes. Outra empresa, que mantém informações privadas de portadores de cartões de crédito pode ir à falência em caso de vazamentos de informações, tanto pelo prejuízo da imagem e abalo na confiança quanto pelas ações judiciais que pode sofrer por não conseguir preservar o sigilo de tais informações. Por causa desses riscos, fica claro que todas as organizações, sejam públicas, privadas ou de capital misto, sejam instituições militares, financeiras, hospitalares, comerciais ou de qualquer outra finalidade, podem ter suas operações seriamente prejudicadas por um incidente de segurança e podem ser afetadas de diversas formas. 1.1 INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÂO Uma das tarefas do Security Officer é definir quais controles de segurança devem ser aplicados e onde este investimento deve ser realizado. Além disso, o Security Officer deve ainda ser capaz de comprovar, de alguma forma, que os investimentos em segurança da informação trazem retorno para a empresa, caso contrário serão vistos como mais uma perda financeira. Este retorno é o ROSI (Return On Security Investment - Retorno do Investimento em Segurança). O ROSI, ou ROI (Return On Investment), é uma equação matemática frequentemente usada para comparar estratégias de investimento (SONNENREICH, 2005, p. 1). Antes de começar a investir recursos em controles de segurança como, por exemplo, firewall (software ou hardware de segurança que filtra conexões de rede através de regras), antivírus, campanhas de conscientização e treinamentos, a alta direção espera saber qual investimento é mais importante, ou seja, qual risco deve ser mitigado primeiro e qual dos controles trará o maior benefício na redução de risco de incidente nos principais ativos de negócio. A NBR ISO/IEC 27001 usa uma definição de ativo de fácil compreensão para

8. 7   administradores e contadores. Um ativo é “qualquer coisa

   que tenha valor para a organização” (ABNT, 2006, p. 2). A informação sempre foi um ativo valioso para as organizações. As informações sensíveis podem estar escritas em papel, podem ser faladas durante uma conversa ao vivo ou por telefone, armazenadas em um computador ou mídia, transmitidas por correio eletrônico ou acessadas pela Internet. Em muitos casos as informações contidas em computadores portáteis são dezenas de vezes mais valiosas do que o valor do equipamento. Sendo assim, é possível resumir, de forma simplificada, parte do trabalho de gestão de riscos de segurança da informação como sendo o esforço empregado para identificar nos processos de negócio os ativos mais relevantes para a organização, sem os quais haveria prejuízos financeiros, ou cessão de lucros, e implantar controles para que o seu nível de risco esteja nos padrões estabelecidos pela Organização, conhecido como risco aceitável. Uma pesquisa realizada pelo CSI (Computer Security Institute) publicada no relatório 2008 CSI Computer & Security Survey (Richardson, 2008, p. 10) indica que dos 408 profissionais que responderam sobre métricas financeiras para quantificar o custo e o benefício dos investimentos em segurança, 44% afirmaram que usam o ROI (ou ROSI). Na pesquisa realizada no ano anterior o percentual era 39% dos profissionais. Outros profissionais afirmaram usar o VPL – Valor Presente Liquido ou a TIR – Taxa Interna de Retorno. Outra pergunta queria saber se nos 12 meses anteriores os participantes haviam percebido incidentes de segurança. Do total de 517 respostas, 43% disseram que sim e 13% disseram não sabiam enquanto os outros 44% disseram que não. A tabela a seguir, extraída parcialmente da Tabela 1 (ibid, 2008, p. 15), indica o tipo e a quantidade de incidentes percebidos pelos 433 profissionais que responderam sobre a ocorrência de incidentes. Tabela 1 Ocorrências de incidentes 2004 2005 2006 2007 2008 Negação de serviço 39% 32% 25% 25% 21% Roubo de notebook 49% 48% 47% 50% 42% Acesso não autorizado 37% 32% 32% 25% 29% Vírus 78% 74% 65% 52% 50% Fraude financeira 8% 7% 9% 12% 12% Ataque interno 59% 48% 42% 59% 44% Invasão de sistemas 17% 14% 15% 13% 13% Fonte: Adaptado de Richardson (2008, p. 15) Esse tipo de informação pode ajudar o Security Officer a entender melhor as ameaças as quais a Organização está sujeita e pode ser um dos indicadores de onde o orçamento de segurança pode ser investido. Quanto a isso, o 2008 CSI Computer & Security Survey (ibid, 2008, p. 19) relatou que dos 518 profissionais que responderam sobre o percentual do

9. 8   orçamento de tecnologia da informação investido em segurança,

   11% disseram que é investido menos de 1%, 18% informaram que é investido de 1% a 2% e 24% dos profissionais entendem que é de 3% a 5%. Vale ressaltar que, segurança da informação e tecnologia da informação são áreas distintas, cada qual com seu objetivo, apesar de em muitas organizações a área de segurança se reportar à área de tecnologia, enquanto deveriam estar no mesmo nível. Além disso, o orçamento da área de tecnologia costuma ser muito pequeno, exceto em empresas onde a área de tecnologia se confunde com o próprio negócio devido à alta dependência de tecnologia de ponta. Sendo assim, destinar até 5% de um orçamento pequeno por natureza é realizar um investimento mínimo e conviver com muitos riscos. A pesquisa diz ainda que, quando perguntados sobre tecnologias de segurança utilizadas, dos 521 profissionais que responderam, 97% afirmaram possuir antivírus e 94% disseram possuir firewall. Isto pode ser muito interessante se comparado com a tabela anterior, que indica que 50% dos profissionais/empresas sofreram incidentes de vírus. Ou seja, mesmo possuindo antivírus quase metade das empresas sofreu incidentes de vírus. Também é possível perceber que muitas empresas sofreram ataques de negação de serviço, acesso não autorizado e invasão de sistemas, apesar de 94% possuírem firewall. Estes números servem para mostrar que: a) não é suficiente apenas adquirir um software ou hardware de segurança, sendo necessário ter processos de gestão; e b) firewalls e antivírus não fazem milagres e é necessário implantar outros controles de segurança para atingir o conceito de defesa em profundidade, onde controles que se complementam são implantados em ativos de acordo com suas características, vulnerabilidades, grau de exposição, relevância para os processos de negócio e localização. Outra questão da mesma pesquisa que deve servir de alerta para os gestores é quanto à conscientização e treinamento. Dos 460 profissionais que responderam sobre métricas de conscientização de segurança, 32% não medem a efetividade do treinamento que dão aos colaboradores e 18% simplesmente não treinam seu pessoal, somando 50% nestes dois casos. Do total, apenas 35% utilizam teste escrito ou digital obrigatório para verificar o conhecimento sobre segurança na organização. Com base nesses números é possível verificar a necessidade de investimento em segurança e processos de gestão. Para isso é necessário conhecer o risco do negócio, definir o risco aceitável e os indicadores que permitirão ao gestor de segurança identificar eventos fora da curva e atuar buscando a melhoria continua e a redução dos riscos. É preciso ir além e implantar na organização processos de gestão de riscos de segurança da informação.

10. 9   2 GESTÃO DE RISCOS Para gerir riscos de

    segurança da informação é necessário conhecer o segmento de negócio da Organização, as ameaças que podem afetá-la, definir o contexto (processos de negócio) a ser analisado ou protegido, identificar quais são os ativos mais críticos para os processos de negócio, entender as expectativas (percepção de risco) da alta direção em relação ao risco aceitável e implantar controles processuais e tecnológicos para reduzir o risco ao nível aceitável. Portanto, é necessário que as partes interessadas, que devem determinar o risco aceitável, estejam alinhadas com a definição de risco. 2.1 CONCEITUAÇÃO DE RISCO De acordo com a norma NBR ISO/IEC Guia 73 (ABNT, 2005, p. 2), risco é “a combinação da probabilidade de ocorrência de um evento e de suas conseqüências.” Geralmente o risco é visto de forma negativa devido ao impacto que proporciona ao negócio. Essa observação é feita pelo próprio NBR ISO/IEC Guia 73 (ibid, 2005, p. 2) na NOTA 1 da seção 3.1.1 que diz que “geralmente, o termo ‘risco’ é utilizado apenas quando há pelo menos a possibilidade de conseqüências negativas.” e na NOTA 2 da seção 3.1.2 ressaltando que “As conseqüências podem ser positivas ou negativas. Entretanto, as conseqüências são sempre negativas no que se refere aos aspectos de segurança.”. Essa percepção de risco é a “maneira como uma parte envolvida percebe um risco, com base em um conjunto de valores ou interesses” (ibid, 2005, p. 3). Há pouco tempo os telejornais mencionavam o “risco de vida” de uma pessoa em uma reportagem, atualmente fala-se em “risco de morte”. Isso demonstra uma pequena mudança na percepção do risco. Por exemplo, é possível dizer que uma pessoa corre o risco de ganhar na loteria se fizer apostas. Quanto maior o número de apostas, maior é o risco. Ou seja, o risco pode também ser positivo e neste caso normalmente é conhecido como oportunidade. A percepção de risco está diretamente relacionada com o conhecimento que a parte interessada tem sobre o negócio da Organização. Este conhecimento permite identificar ameaças e estimar o risco mesmo que seja de forma empírica. Apesar de algumas vezes o risco ser considerado “zero”, ou inexistente, são raros os casos onde essa afirmação é verdadeira. Da mesma forma, é virtualmente impossível afirmar que um ativo está 100% seguro, como é comum nos websites de compra pela Internet (comércio eletrônico). Por mais

11. 10   que seja feita uma gestão de riscos eficiente,

    sempre há um risco residual que tem que ser aceito pela Organização para operar no mercado. O risco residual é o “risco remanescente após o tratamento do risco” (ibid, 2005, p. 6), que é o “processo de seleção e implementação de medidas para modificar um risco” (ibid, 2005, p. 4).  Um exemplo disso é o risco assumido pelo técnico de um time de futebol: por mais que seu time tenha jogadores muito habilidosos, esteja completo, com jogadas ensaiadas e jogando em casa com o apoio de sua torcida, ainda há um risco baixo de entrar em campo e perder para o time adversário, embora a chance de sofrer uma forte derrota seja muito remota (probabilidade muito baixa e consequência alta, onde a percepção do risco estima, de forma empírica, como um risco próximo de zero). Ainda assim, quem faria compras em um website de comércio eletrônico que se diz 99% seguro? Figura 1 Gráfico simples de risco 2.2 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO O processo de gestão de riscos é composto das etapas de definição do contexto, avaliação dos riscos, tratamento dos riscos, aceitação dos riscos, comunicação dos riscos e monitoramento e análise crítica dos riscos. A NBR ISO/IEC 27005 (ABNT, 2008) descreve o processo de gestão de riscos e suas atividades. A avaliação dos riscos deve considerar o valor dos ativos de informação e o impacto. Conforme estabelecido pela NBR ISO/IEC 27005 no seu Anexo B.3, “existe uma diferença Inexistente   Muito  baixo   Baixo   Médio   Alto   Muito  alto   0   0.5   1   1.5   2   2.5   3   3.5   4   4.5   5   0   0.2   0.4   0.6   0.8   1   Consequência   Probabilidade   Risco   Risco  

12. 11   importante entre o valor do ativo e o

    impacto resultante do incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma conseqüência futura (relativa ao negócio como um todo), a qual inclui aspectos financeiros e de mercado.” (ABNT, 2008, p. 38). É possível que tanto o impacto como o valor de ativos precise ser determinado de forma subjetiva. Essa dificuldade é sinalizada pela própria NBR ISO/IEC 27005 quando explica que “Entre os possíveis critérios utilizados para determinar o valor de um ativo estão: o seu custo original e o custo de sua substituição ou de sua recriação. Por outro lado, seu valor pode ser abstrato, por exemplo: o valor da reputação de uma organização.” (ibid, p. 35). Essas informações são importantes para ajudar a Organização a compreender o seu risco e servirão para orientar a criação de métricas e definição de indicadores. Para gerenciar riscos de segurança da informação em uma organização, é necessário implantar o Sistema de Gestão de Segurança da Informação (SGSI). O SGSI é “um sistema de gestão global, baseado na abordagem de risco do negócio” que “inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos”, conforme definição da norma NBR ISO/IEC 27001 (ABNT, 2006, p. 3). Ainda de acordo com a mesma norma, a organização deve “estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e dos riscos que ela enfrenta” (ibid, p. 4). Observa-se ainda que “a adoção de um Sistema de Gestão de Segurança da Informação deve ser uma decisão estratégica para qualquer organização.” (ISO/IEC WD 27004.2, 2005, p. 1). A gestão de riscos de segurança da informação é um processo contínuo com o fim de reduzir os riscos a um nível aceitável. 2.3 GESTÃO POR INDICADORES Conforme descrito na norma NBR ISO/IEC 27005 (ABNT, 2008, p. 4), a gestão de riscos de segurança da informação deve contribuir para coleta de informações de forma a melhorar a abordagem da gestão de riscos, identificação de riscos, priorização das ações para reduzir a ocorrência dos riscos e a eficácia do monitoramento do tratamento do risco. Para atingir os objetivos especificados na norma NBR ISO/IEC 27005, a definição dos indicadores de segurança da informação “deve contemplar os interesses das partes interessadas” e “os indicadores devem ser analisados e avaliados para manter o impacto de

13. 12   eventos consistente com a tolerância ao risco e

    garantir que o custo das atividades de gestão de segurança traz retorno.” (ISO/IEC WD 27004.2, 2005, p. 7). O questionamento quanto à efetividade dos gastos com segurança da informação e gestão de riscos já existe há alguns anos e uma das maiores dificuldades dos Security Officers, está em conseguir obter aprovação da alta direção para investimentos em segurança da informação. Para Richardson (2008, p. 9), “há algum tempo acredita-se que projetos criados para aumentar a segurança da informação de uma organização não serão automaticamente aprovados pela alta direção, precisando ser justificados em termos econômicos”. O relatório 2008 CSI Computer & Security Survey (Richardson, 2008, p. 10) indica que “os economistas ainda não forneceram um modelo dominante de tomada de decisão entre os profissionais de segurança da informação” e que “alguns praticantes acham útil pensar em termos de perda financeira potencial versus o custo de evitá-la”. De acordo com Semola (2003, p. 25), “O ROI da segurança tem especialmente muitas respostas elucidativas que nos ajudam a reverter a velha imagem de despesa, convertendo-a em investimento”. O autor discorre, demonstrando que é possível visualizar impacto no negócio da Organização quando alguns indicadores são analisados. O autor ainda afirma que “se cruzarmos o número de contaminações por vírus de computador em um ano, o percentual de funcionários atingidos, o tempo perdido com a paralisação e o custo homem/hora, perceberemos com nitidez o impacto no negócio” (SEMOLA, p. 25). Para Semola (2003, p. 33), o Comitê Corporativo de Segurança da Informação tem, entre outros, o objetivo de “alinhar o plano de ação às diretrizes estratégicas do negócio, buscando agregar valor e viabilizar o melhor retorno sobre o investimento”. Sendo assim, cabe à Organização definir os mecanismos que serão utilizados para medir e qualificar riscos e impactos de segurança da informação ao negócio, tentando quantificar perdas e potenciais perdas com o intuito de justificar os investimentos em segurança da informação e gestão de riscos. Investimentos esses que, se forem embasados em indicadores, serão realizados de forma alinhada aos negócios da Organização. Para obter um programa eficiente de métricas as partes responsáveis devem ser identificadas. De acordo com o draft da ISO/IEC WD 27004.2, o gestor de segurança da informação “deve liderar o programa de métricas de segurança e obter recursos financeiros adequados para as avaliações” (ISO/IEC WD 27004.2, 2005, p. 10). De uma forma geral, a utilização de indicadores de gestão de riscos e segurança da informação é o objetivo de quase todos os gestores de segurança da informação. No entanto, todos encontram dificuldade para selecionar os indicadores corretos de acordo com os

14. 13   interesses dos executivos patrocinadores e das partes interessadas

    e, quando conseguem vencer esse desafio, não conseguem vencer a dificuldade de coletar informações sobre desempenho do sistema de gestão de segurança da informação ou sobre os controles implantados nos seus ativos tecnológicos, físicos e humanos. 2.4 INDICADORES E MÉTRICAS DE SEGURANÇA DA INFORMAÇÃO A necessidade de mensurar o desempenho do Sistema de Gestão de Segurança da Informação (SGSI) existe por questões organizacionais, financeiras e regulatórias. Por exemplo, a Instrução Normativa 001 do Gabinete de Segurança Institucional da Presidência da República (GSI/PR IN 001) de 2008, diz em seu artigo 5º, inciso VIII, que a Administração Pública Federal deve “remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.” e no artigo 3º, inciso VI, que o GSI deve “receber e consolidar os resultados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta;” (MCT, 2008). Além desta norma, a NBR ISO/IEC 27001 em sua seção 4.2.3 Monitorar e analisar criticamente o SGSI; e a NBR ISO/IEC 27005 em sua seção 12.2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos, ressaltam a importância da coleta de informações sobre a operação do SGSI para, por exemplo, medir a eficácia dos controles de segurança implantados. Mais especificamente, a NBR ISO/IEC 27001 em sua seção 4.2.3, a), 4), determina que a organização deve “ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores” (ABNT, 2006, p. 7). Outra norma que faz esse tipo de determinação é a Resolução 3380 do Banco Central do Brasil (BCB), que regulamenta a criação e manutenção da estrutura de gerenciamento de riscos operacionais nas instituições financeiras do Brasil. Esta Resolução, no seu artigo 3º, inciso III, determina que a estrutura de gerenciamento de risco deve prever a “elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional” (BCB, 2006). Já o draft da ISO/IEC WD 27004.2 (2005, p. 7), propõe que os indicadores de segurança da informação devem estar relacionados com objetivos de segurança para:

15. 14   • Manter o impacto de eventos consistente com

    a tolerância ao risco; e • Garantir que as atividades de gerenciamento de segurança são rentáveis. Devido a essa necessidade, o Security Officer precisa definir quais indicadores serão usados para monitorar a eficácia de seu SGSI e da implantação de controles de segurança. 2.4.1 Papéis e responsabilidades Antes de implantar um processo de gestão por indicadores e de definir métricas do SGSI, é necessário definir os papéis e responsabilidades de cada participante do processo. Essa é uma exigência da Resolução 3380 do BCB, que no seu artigo 3º, inciso V, determina a “elaboração e disseminação da política de gerenciamento de risco operacional ao pessoal da instituição, em seus diversos níveis, estabelecendo papéis e responsabilidades, bem como as dos prestadores de serviços terceirizados” (BCB, 2006). Por exemplo, de acordo com o guia de boas práticas para implantação de métricas de segurança da informação SP 800-55 do NIST (2006, p. 6), as responsabilidades do Chief Information Officer (profissional responsável pela gestão dos ativos de informação) incluem:   • Participar no desenvolvimento do programa de métricas de segurança da informação e na implantação fornecendo feedback sobre a viabilidade da coleta de dados e identificação de fontes e repositórios de dados; e • Coletar dados ou prover dados de mensuração para a equipe que está coletando, analisando e reportando sobre os dados. Ainda de acordo com o NIST, “métricas de segurança da informação podem requerer entradas de vários componentes organizacionais ou partes interessadas, incluindo resposta a incidentes, operações de tecnologia da informação, privacidade, arquitetura empresarial, recursos humanos, segurança física, e outros” (NIST, 2008, p. 8). 2.4.2 Coleta de informações O primeiro passo para definir indicadores e métricas é a obtenção das informações necessárias. O Security Officer pode começar pela relação de incidentes ou eventos de segurança registrados. Se os registros forem realizados conforme determinação da NBR ISO/IEC 27001 seção A.13, a relação demonstrará a ocorrência dos incidentes de segurança sofridos pela Organização ao longo dos períodos de tempo.

16. 15   Um dos objetivos da gestão de riscos de

    segurança da informação é reduzir a ocorrência desses incidentes e eventos para reduzir o impacto ao negócio da Organização. Essa relação de incidentes ou eventos de segurança é o ponto de partida para diagnosticar onde ocorrem ou podem ocorrer os maiores impactos para o negócio da Organização. O evento de segurança da informação se diferencia do incidente por ser “uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação” (ABNT, 2006, p. 2). Já o incidente de segurança, como foi dito anteriormente, é “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação” (ibid, p. 2). A coleta de informações pode apresentar algumas dificuldades. Para ser efetiva deve ser composta de “procedimentos para coleta dos dados, incluindo armazenamento e verificação definidos. Os procedimentos devem especificar como os dados devem ser coletados, assim como e onde serão armazenados.” (ISO/IEC WD 27004.2, 2005, p. 18). Além disso, apesar de as organizações “poderem coletar quantidades substanciais de dados de segurança da informação, nem todos os dados serão úteis para o programa de métricas a qualquer tempo” (NIST, 2008, p. 16). A automatização do processo de coleta, quando possível, torna a coleta de informações mais eficiente porque “padroniza a coleta e reportagem dos dados, e ajuda a institucionalizar a atividade de mensuração integrando-a aos processos de negócio” (ibid, p. 16). A automatização deve ser sempre usada quando possível, pois torna a coleta, formatação e reportagem de dados muito mais rápida do que se o processo fosse executado manualmente. Em muitos casos, a coleta manual inviabiliza todo o processo, pois não há recursos humanos ou tempo disponíveis. É importante lembrar que, a informação contida nestes repositórios representa dados operacionais e vulnerabilidades. Devido à sensibilidade destes dados, estes repositórios devem ser protegidos de acordo com sua classificação. (NIST, 2008, p. 16). Outra forma de reunir a informação necessária é através das áreas de negócio da Organização. As áreas de negócio, assim como outras áreas da Organização, podem sinalizar potenciais problemas e seus impactos ao negócio. Cabe à área de gestão de riscos interpretar a percepção de risco dessas partes interessadas e ponderar sobre seu risco e impacto.

17. 16   2.4.3 Definição de indicadores A definição dos indicadores

    não deve levar em conta apenas o número de ocorrências de um incidente ou evento. Mais importante do que isso é considerar o impacto que um determinado incidente traz para o negócio da Organização. Por exemplo, um único incidente de código malicioso pode acarretar em perdas de R$ 50.000,00 para a Organização, entre perdas de negócio (impossibilidade de operar e faturar) e perdas financeiras (multas, sanções regulatórias, etc.). Esta única ocorrência é chamada de SLE, do inglês Single Loss Expectancy (Expectativa de Perda Simples). Para este exemplo, estima-se que incidentes de código malicioso podem afetar a Organização três vezes por ano, ou seja, a ARO – Annual Rate of Occurrence (Taxa Anual de Ocorrência) é igual a 3. O ALE – Annualized Loss Expectancy – é a Expectativa de Perda Anual e o seu cálculo é: ALE = SLE x ARO. O ALE nada mais é do que a soma de perdas que podem ocorrer em um ano com um determinado incidente de segurança. Neste caso, o ALE é igual a R$ 150.000,00. Tabela 2 Exemplo de indicador de incidentes ou eventos de segurança Incidente ou evento SLE ARO ALE (SLE x ARO) Indisponibilidade R$ 200.000,00 2 R$ 400.000,00 Código malicioso R$ 50.000,00 3 R$ 150.000,00 Vazamento de informações R$ 100.000,00 1 R$ 100.000,00 Ataque de hackers R$ 30.000,00 3 R$ 90.000,00 Através desse indicador fica mais fácil visualizar que incidentes a Organização deve evitar primeiro. O objetivo continuará sendo reduzir todos os riscos possíveis, mas sabendo-se que tempo e capital são recursos escassos e que são raras as Organizações que tem a percepção de risco apurada e realmente investem em segurança, o Security Officer deve focar nos riscos que podem trazer maior impacto para o negócio da Organização. Se, por exemplo, o controle necessário para reduzir o risco de código malicioso é a instalação de antivírus em todas as estações de trabalho e ele custa R$ 80.000,00, o Security Officer deve recomendar a sua implantação, visto que estima-se que a Organização perca anualmente R$ 150.000,00 em incidentes de código malicioso. No entanto, se o custo anual do controle for superior a perda anual estimada, o controle provavelmente não deve ser recomendado, visto que a Organização investirá mais para se proteger do que pode vir a perder com a concretização do risco. É importante lembrar que, para esta análise é considerada a Taxa Anual de Ocorrência. Se ocorrerem durante o ano mais incidentes do que

18. 17   era estimado, o investimento com a implantação do

    controle poderia ter sido uma opção melhor do que aceitar o risco. No caso de incidentes por indisponibilidade de informações, é possível ainda levantar outras informações e tentar descobrir por que aquela informação não estava disponível quanto foi necessária. Para isso o registro de incidentes deve conter a análise da causa do incidente. Por exemplo, é possível que a causa esteja relacionada com a gestão de mudanças. Tabela 3 Exemplo de ocorrência de eventos ou incidentes durante mudanças Problemas potenciais Período 1 Período 2 Período 3 Período 4 Aumento do percentual de mudanças emergenciais 5% 8% 10% 13% Necessidade de rollback da mudança (homologação) 2 3 3 5 Falha na implantação da mudança (produção) 1 2 2 3 A tabela anterior exemplifica problemas potenciais durante processos de mudanças, ou seja, quando é realizada configuração, manutenção ou implantação de novos sistemas. No exemplo, é possível perceber que, com o passar do tempo, as ocorrências destes problemas potenciais aumentam. A causa desse aumento pode significar falta de treinamento adequado para os executores da mudança, falta de planejamento, análise de impacto precária ou excesso de mudanças nos sistemas. Por exemplo, se o percentual de mudanças emergenciais está aumentando em comparação com o de mudanças programadas, é possível que os solicitantes das mudanças não estejam se planejando corretamente ou solicitando com a devida antecedência. Se as ocorrências de rollback aumentaram (antes de o sistema entrar em produção a mudança teve que ser desfeita, pois durante a homologação foram detectadas inconsistências ou erros), é possível que a mudança não tenha sido estudada corretamente quanto a sua compatibilidade ou que os executores da mudança não possuam treinamento adequado. Ainda, se a indisponibilidade ocorreu devido à falha na mudança após entrada em produção, é possível que, além das causas anteriores, o impacto não tenha sido corretamente analisado, ou os testes tenham sido superficiais, ou não foram executados. Outro exemplo de indicador que pode ser usado é o de antivírus nas estações de trabalho e servidores. Por mais que a política de segurança corporativa determine que todos os ativos devem possuir antivírus instalado e atualizado, é possível que em uma rede grande, com milhares de computadores, nem todos estejam em conformidade. Até este ponto foram definidos indicadores, mas ainda não é possível dizer se a quantidade de ocorrências em cada período é elevada, ou se está na faixa de normalidade

19. 18   (risco aceitável). Para entender melhor os indicadores e

    poder tomar decisão através deles é necessário definir métricas para o SGSI. 2.4.4 Definição de métricas A definição de métricas está diretamente relacionada à percepção e ao apetite a riscos (ou tolerância a riscos) da Organização. Métricas servem para mensurar a maturidade ou estado de um processo ou atividade e aplicar ações corretivas, através da execução de um PDCA. O universo de métricas possíveis será bem extenso. Sendo assim, a Organização deve decidir aquilo que quer mensurar, com base nos seus objetivos de segurança, e como será feita a medição. Preferencialmente, a Organização deve selecionar métricas com uma abordagem baseada em riscos, ou seja, com o objetivo de mensurar processos e atividades, identificando riscos e aplicando ações corretivas. Para definir métricas é necessário determinar o método, a frequência e a meta. A meta é o valor de referência que será usado para avaliar o indicador coletado e identificar se é necessária alguma ação corretiva para levá-lo de volta à faixa desejada. A definição da meta é muito complexa, porque envolve análise qualitativa e percepção de risco, que é subjetiva. Apesar de muitas organizações desejarem ter 100% de conformidade em todos os seus processos e ativos, o que é natural, é necessário identificar quais são os processos mais críticos para os objetivos de segurança e qual é o nível de eficiência e efetividade de segurança necessária para esses processos. Processos com baixo nível de maturidade provavelmente necessitarão de alguns períodos de análise de indicadores e ações de melhoria para atingirem a meta desejada. Por outro lado, espera-se que processos implantados após a criação do SGSI e da definição de métricas e indicadores de gestão sejam implantados com 100% de conformidade com as metas do SGSI e normas da Organização. O método é a forma como a informação será coletada. O método difere da coleta de informações inicial, pois nesta etapa do processo já há mais informações sobre os incidentes de segurança mais freqüentes, sobre os objetivos de segurança e os processos mais críticos. Alguns métodos comumente usados são: registros de eventos, como incidentes de segurança ou registro de operações, questionários e análises de riscos (ISO/IEC WD 27004.2, 2005, p. 22). A frequência é o intervalo de tempo para coletar a informação e deve ser estabelecida como um comprometimento entre a necessidade de avaliação do indicador e o custo de obter

20. 19   essa informação. A frequência pode ser diária, semanal,

    mensal, trimestral, anual e assim por diante (ibid, p. 22). De acordo com o NIST, a Organização deve mensurar processos existentes e estabelecidos. A mensuração de processos inconsistentes não fornecerá dados significativos sobre o desempenho da segurança da informação e não será útil para definir metas para o desempenho. (NIST, 2008, p. 30). Figura 2 Exemplo de indicadores e métricas de conformidade de antivírus e IDS Nas tabelas a seguir, a meta é o limite superior aceitável para as atividades de gestão de mudanças. Tabela 4 Exemplo de indicadores e métricas de gestão de mudanças Problemas potenciais Período 1 Período 2 Período 3 Período 4 Meta Aumento do percentual de mudanças emergenciais 5% 8% 10% 13% 10% Necessidade de rollback da mudança (homologação) 2 3 3 5 2 Falha na implantação da mudança (produção) 2 2 3 4 1 Para incidentes considerados extremamente críticos pela Organização ou para processos que já possuem um alto nível de maturidade, a meta, ou limite, pode ser zero, como nos exemplos dos incidentes de vazamento de informações e ataque de hackers, demonstrados na tabela a seguir. 90%   88%   82%   84%   86%   80%   84%   87%   78%   80%   82%   84%   86%   88%   90%   92%   Período  1   Período  2   Período  3   Período  4   Indicadores  e  métricas  de  conformidade  de  an8vírus  e  IDS   Meta   Índice  de  conformidade  de   anGvírus   Índice  de  conformidade  de  IDS  

21. 20   Tabela 5 Exemplo de indicadores e métricas de

    incidentes ou eventos de segurança Incidente ou evento Período 1 Período 2 Período 3 Período 4 Meta Indisponibilidade (horas) 2 2 3 5 3 Código malicioso 2 4 3 3 2 Vazamento de informações 1 2 2 3 0 Ataque de hackers 0 1 0 1 0 Um exemplo de indicadores e métricas de uso de recursos computacionais pode ser coletado através da monitoração de processador, memória, disco rígido e interface de rede, que são os 4 principais componentes. Fabricantes de sistemas operacionais recomendam que a utilização média destes componentes não ultrapasse 80%, exceto em operações de pico (operações que por poucos segundos ultrapassam este limite). Para compilar indicadores de conhecimento em segurança da informação recomenda- se a aplicação de testes escritos obrigatórios após a realização de palestras de conscientização em segurança. Os resultados podem ser agrupados por área de atuação, como alta direção, gerentes, técnicos e especialistas e outras funções. O objetivo é verificar que o nível de conhecimento dos colaboradores aumentou após a realização do treinamento em segurança e determinar a distância entre o nível médio de conhecimento e a nota desejada. O Anexo B do draft da ISO/IEC WD 27004.2 contém uma tabela com outros exemplos de métricas segurança e o Anexo C contém exemplos de técnicas de mensuração. 2.4.5 Análise dos dados, identificação e aplicação de ações corretivas Identificar as ações corretivas necessárias para direcionar um processo fora da curva de volta a faixa de normalidade requer análise dos dados coletados. Se a coleta dos dados for automática, deve ser possível analisar os dados usando uma planilha eletrônica, ou fazendo consultas em um banco de dados. Essa análise envolve diagnosticar a causa do problema e especificar controles de segurança a serem implantados. Por exemplo, em testes escritos sobre conhecimento de segurança da informação, as notas médias dos colaboradores de todas as áreas de atuação da Organização podem estar bem abaixo da meta de 80%, por exemplo, no momento da aplicação do primeiro teste. O Security Officer deve se perguntar “por quê?”. Uma das causas possíveis é que os colaboradores podem nunca ter recebido um treinamento em segurança da informação. No entanto, através de treinamento é possível aumentar gradativamente este conhecimento fazendo com que o indicador de conhecimento atinja o nível desejado.

22. 21   No entanto, é possível que seja necessário avaliar

    mais de um indicador para determinar a causa de um problema. Por exemplo, a Tabela 5 indica o aumento gradativo do número de horas em que serviços ou processos de negócio ficaram indisponíveis. Ao relacionar essa informação com o exemplo da Tabela 4, é possível perceber uma possível correlação entre o número de falhas de implantação de mudanças e o número de horas de indisponibilidade. É muito provável que estes números estejam relacionados e que a causa dos incidentes de indisponibilidade seja as falhas na gestão de mudanças, que por sua vez, podem ser causadas por análise inadequada do impacto ou homologação superficial ou não executada. De acordo com o NIST, é possível citar alguns exemplos de fatores que contribuem para a implantação inadequada da segurança da informação, como recursos insuficientes, treinamento inadequado, incompatibilidade de software, falta de conhecimento e/ou comprometimento, e ausência de políticas e procedimentos (NIST, 2008, p. 37). CONSIDERAÇÕES FINAIS Através dos exemplos apresentados neste Artigo fica fácil perceber como o uso de métricas e indicadores pode orientar o processo de diagnóstico e gestão de riscos dentro de uma organização. Sem indicadores e métricas o Risk Officer ou Security Officer teria de estimar de forma empírica onde realizar investimentos de segurança, ou esperar que um incidente ocorra para somente depois reduzir os riscos de uma nova ocorrência. Já houve casos de organizações que não sobreviveram a um incidente de segurança da informação. Por exemplo, uma organização que possuía seu datacenter principal em uma das torres do WTC – World Trade Center e o datacenter secundário na outra foi à falência por ficar mais de uma semana sem operar. Também já foi veiculada há alguns anos uma notícia sobre uma organização que vendia CDs e DVDs pela Internet e teve seu banco de dados invadido por hackers que exigiram dinheiro para não publicar informações sobre portadores de cartões de crédito. Como a organização se recusou a pagar, os hackers publicaram na Internet parte dessas informações e a organização perdeu praticamente todos os seus clientes. Após a implantação de controles de segurança espera-se uma redução no número de incidentes de segurança para o qual aqueles controles foram implantados. É possível que, após a execução de um treinamento ou campanha de conscientização, o número de incidentes registrados aumente, já que os colaboradores passarão a registrar situações e eventos que

23. 22   antes não tinham conhecimento de que se tratava

    de um possível incidente de segurança. Cabe à gestão de segurança da informação filtrar esses registros em categorias como incidentes e eventos, ou transferi-los para a gestão de problemas, caso não se trate de um incidente de segurança. Ainda assim, espera-se que, através da implantação de um processo de gestão de riscos com uso de indicadores, o número de incidentes e o valor qualitativo, ou quantitativo, do risco de impacto aos negócios da Organização sejam cada vez menores. Gestão de riscos é um processo como qualquer outro: nunca termina e necessita de análises críticas periódicas. Isso acontece porque de tempos em tempos as organizações mudam seus processos de negócio, passam a operar em outros segmentos de mercado, em outras regiões geográficas, com o uso de novas tecnologias, e assim estão sujeitas a novas oportunidades de negócios e novos riscos de segurança da informação. Portanto, o uso de indicadores e métricas na gestão de riscos deve ser um processo documentado e com revisão crítica programada para garantir que continua atendendo às necessidades da Organização: redução de riscos de impacto aos negócios. REFERÊNCIAS ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/IEC Guia 73 – Gestão de riscos – vocabulário – recomendação para uso em normas. Rio de Janeiro : ABNT, 2005. ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001 – Tecnologia da informação – técnicas de segurança – sistemas de gestão de segurança da informação – requisitos. Rio de Janeiro : ABNT, 2006. ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005 – Tecnologia da informação – técnicas de segurança – gestão de riscos de segurança da informação. Rio de Janeiro : ABNT, 2008. BCB. Banco Central do Brasil. Resolução 3380: Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional. Brasília : BCB, 2006. ISO/IEC WD 27004.2 – Information technologies – Security techniques – Information security metrics and measurements. Berlin : ISO, 2005. MATIAS, Antônio; ALEXANDRE, Sylvio. Monografia : do projeto à execução. Rio de Janeiro : Ed. LTC, 2008.

24. 23   MCT. Ministério da Ciência e Tecnologia. GSI/PR Instrução

    Normativa 001: Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. Brasília: GSI/PR, 2008. Disponível em: <http://www.mct.gov.br/index.php/content/view/72703.html>. Acesso em: 31 mai. 2009. NIST. National Institute of Standards and Technology. Special Publication 800-55 Revision 1: Performance Measurement Guide for Information Security. NIST, 2008. Disponível em: <http://csrc.nist.gov/publications/PubsSPs.html>. Acesso em: 26 mar. 2009. RICHARDSON, Robert. 2008 CSI Computer & Security Survey. CSI, 2008. Disponível em: <http://www.gocsi.com/>. Acesso em: 3 dez. 2008. SEMOLA, Marcos. Gestão de Segurança da Informação : Uma visão executiva. 11ª ed. Rio de Janeiro : Elsevier, 2003. SONNENREICH, Wes. Return On Security Investment (ROSI): A Practical Quantitative Model. InfoSecWriters, 2005. Disponível em: <http://www.infosecwriters.com/text_resources/pdf/ROSI-Practical_Model.pdf>. Acesso em: 26 mar. 2009.