No palanque das idéias e do controle

TI Inside
Outubro de 2005

CONSTRUIR A POLITICA DE SEGURANÇA MAIS EFICIENTE PÁRA SUA CORPORAÇÃO PODE SER UMA TAREFA COMPLEXA, PORÉM EXISTEM PARÂMETROS E MEDIDAS PRÁTICAS QUE AJUDAM A TRADUZIR AS NECESSIDADES DAS EMPRESAS NESTA ÁREA DE FORMA MAIS EFICIENTE E BEM-SUCEDIDA

A primeira grande onda de política de segurança, a sua montagem, já passou. Se sua empresa ainda não tem uma, aliás, corra! Agora, é bom também saber que o papel aceita qualquer coisa, portanto, saiba os procedimentos básicos e os caminhos que podem fazer a diferença quando de um ataque ou uma ameaça interna aos seus dados. Outro detalhe importante, os planos de defesa muitas vezes não mostram resultados concretos e aparentes, mas não tê-los pode provocar uma catástrofe que será sentida no órgão mais sensível da corporação: a conta bancária. E pior ainda se está ligado a uma corporação que lida com milhões.
Já a segunda onda, a montagem de uma área de defesa específica com regras de classe mundial é algo que exige uma cultura bem fermentada. Mas voltemos ao básico. O primeiro passo rumo à estruturação da política é uma ampla análise do risco interno, dos diversos ambientes, até mesmo daqueles que a princípio não envolvem Tl. Depois de revelar essa fotografia, devem ser estabelecidas suas ações, por exemplo, quais normas de mercado serão seguidas - ainda mais se não existe uma cultura interna sólida sobre o tema. A seguir, deve ser estabelecida uma estratégia de divulgação da política para os usuários e, finalmente, a manutenção da política, sua estratégia e controle.
Algumas normas extrapolam a área de Tl. O último relatório do FBI, por exemplo, apontou que a Sarbanes-Oxley (SOX) é um eficiente orientador para a montagem de uma política de segurança da informação, cuja meta é estar em conformidade com as novas regulamentações de mercado.
Assim como as preocupações com riscos operacionais e de crédito também têm o mesmo sentido de causa e efeito, e nesse ponto entra a Basiléia 2 - acordo global que regula as práticas das instituições financeiras que se reflete no mundo corporativo. Tanto esta como a Sarbanes são leis que não foram criadas pensando em Tl, porém os dados e as informações que elas necessitam são de responsabilidade da tecnologia da informação.
Dentro das especificações da SOX, a seção 404 é vista como a mais importante no aspecto de segurança. Nela, são tratadas a eficácia comprovada do controle interno, a monitoração e a revisão de relatórios periódicos, além da verificação dos controles. Em seu bojo, ela sugere a implementação do COSO - que trata de regulamentações e controles corporativos -, especificando, por exemplo, o melhor gerenciamento de mudanças e de configurações.
Diversos projetos de uma política de segurança são reflexos diretos dessas políticas de controle financeiro. "É importante enfatizar que os melhores modelos buscam exatamente a transparência. E essa junção do SOX com o tema não é um modismo", garante César Augusto Monteiro, diretor de governança da CapGemini. Assim, o preceito básico de detalhamento dos processos, com olhos no atacante, mudou para: os dispositivos que funcionam, para quê estão operando e como são documentados os ataques e resoluções.
"O importante é que a segurança faça parte da cultura da empresa, do dia-a-dia dos profissionais, e para isso a sistematização é fundamental. A preocupação com a gestão de risco deve ser constante, pois não só expõe a administração do executivo, mas a imagem da empresa. Uma política de gestão de risco bem conduzida valoriza a empresa no mercado", explica Francisco Fernandes, diretor da RiskOffice, consultoria que tem uma metodologia para implementação de gestão integrada de risco, com ênfase nos segmentos de fundo de pensão e seguradoras, e agora inicia um trabalho no mercado corporativo em geral.

A questão da iso
Dentre as normas específicas, a ISO 17799-2000 é a mais utilizada (veja mais no box à pág. 10). "A norma ISO 17799 é importante na montagem da política, assim como o uso de ITIL e Cobit, porém a ISO tem um maior domínio do tema. Na maioria dos casos, o que é mandatório é a análise dos riscos das empresas", garante Celso Correia Diogo, consultor de segurança e continuidade de negócios da IBM. Ele afirma ainda que os processos e as regras de negócio também têm uma influência decisiva nesse processo.
Já Carlos Affonso, da Módulo, admite que a ISO é sempre utilizada como referência e que o seu escopo total pode ou não ser colocado em prática. "Nenhuma empresa ou CSO (Chief Security Officer) tira um plano da gaveta e o usa sem fazer uma referência à ISO, é impossível", completa.
É certo que praticamente todas as empresas possuem uma política de segurança, porém os ajustes e acertos constantes fazem com que essas normas e procedimentos internos se modifiquem muito ano a ano. Ou pelo menos o bom senso e o mercado assim recomendam. Não existe mais espaço para empresas que simplificam a questão da segurança ou vêem o tema como algo pontual, com prazo para ser resolvido. A questão não é de tempo e sim de continuidade. A ameaça de hoje é diferente daquela que surge amanhã, assim como tudo que é inerente às defesas se aprimora, os ataques são cada vez mais sofisticados e complexos.
Na teoria, uma política de segurança define, entre outros muitos aspectos, o acesso das pessoas aos dados e informações. De acordo com a IDC, entre grandes e médias empresas, menos de 10% não têm uma política voltada para segurança, mesmo que ela represente apenas diretrizes básicas. "A própria conceituação do tema, política de segurança, está passando por uma revisão, e para melhor", garante Bruno Rossi, gerente de análise de política de software da IDC Brasil.

Físico e lógico
Alguns analistas apontam que a melhor prática de segurança só funciona quando envolve os aspectos físicos e lógicos. As corporações que colocaram a premissa do controle de acesso como algo único, não "perde a validade" e não traduz mais a necessidade de negócios da corporação ou mesmo o cenário de ataques e ameaças. Se existe uma dissociação destes dois pontos, a política tende a morrer. Quando alinhada com o estratégico, tático e operacional melhor ainda.

Controladoria e Métodos
Controles, até mesmo externos, precisam estar presentes. A contratação de uma auditoria independente que faça a checagem das normas e procedimentos internos é interessante para apontar as falhas que são observadas, normalmente, por quem está fora do dia-a-dia operacional. De preferência tornando essa prática como algo rotineiro.
A CapGemini, por exemplo, utiliza modelos de avaliação da operação de segurança de seus clientes, os assessments. "Analisamos em que lugar o cliente está e os seus objetivos", compara. Uma premissa variável, a ética das corporações, muitas vezes, é montada de acordo com a política de recursos humanos.
As metodologias para se atingir o objetivo são bem distintas de empresa para empresa. A Accenture utiliza uma metodologia baseada em alguns princípios básicos. A primeira linha de trabalho envolve os principais aspectos do tema na casa do cliente, com um amplo estudo do ambiente. "Aqui, analisamos a dualidade disponibilidade/confidencialidade da informação dentro de uma visão integrada", garante Chisman. O consultor aponta que o olhar da corporação precisa ser integrado, sempre pontuado por essa dualidade, o que auxilia na implementação de standards e no diálogo de uma linguagem comum, que todos entendam.
"Toda a política deve ter mecanismos que reforçam os processos. Na combinação dos três pontos (pessoas, processos e tecnologia), o segredo é o melhor balanceamento deles", destaca Chisman. Em resumo, da tríade pessoas, processos e ferramentas, o ideal é obter um cenário de equilíbrio. No entanto, a ponta mais vulnerável do processo, o usuário, precisa ser treinado e inserido na cultura que a corporação pretende empregar para o tema.

Serviços Agregados
Responsáveis, junto com outros provedores, pela montagem do SPB (Sistema de Pagamentos Brasileiro), que rege as compensações entre as instituições bancárias, a Multirede assiste a uma maior demanda por serviços. Em especial aqueles voltados não apenas para a consultoria como para a manutenção da infra-estrutura das empresas.
Mesmo não entrando no nível gerencial, ainda um tabu nas empresas, a Multirede oferece relatórios de performance que podem auxiliar os executivos e gestores das políticas a procederem os ajustes necessários em suas práticas. Mostrando, por exemplo, como foram feitas as tentativas de ataque e como elas foram barradas ou ainda oferecendo especialistas na análise do ambiente em comparação com os relatórios.
A demanda de serviços para uma empresa como a IBM, por exemplo, é um mix de hardware, software e serviços. Já na Módulo, a análise de riscos é o grande carro-chefe. "É importante, antes de um direcionamento de investimentos e práticas saber o grau de risco de sua operação", garante Affonso.
Para a NEC Solutions, a integração de todos os dispositivos é fator determinante do sucesso da prática de uma política de segurança (veja mais no Box Solução global de gerenciamento). "É interessante centralizar todas as visões - lógica, física, institucional, etc. - em um único ponto. E sempre fazendo o link desse controle com os aspectos humanos e organizacionais. Pregamos a automatização e integração dos processos, mas sempre com olhar para o universo interno do cliente", garante Lucas Blanco, gerente do programa de segurança da NEC.
Três itens, no entanto, podem denotar a maturidade das empresas brasileiras quando falamos em segurança de Tl, a maior presença do CSO e suas novas atribuições; a preocupação com a manutenção dos processos; e a premissa que faz com que o tema faça parte do escopo dos projetos de tecnologia atuais. Na comparação com o mercado global, no entanto, ainda existe um gap. "Mas essa distância diminuiu e tende a ser ainda mais próxima. Lá fora se fala em uma segunda onda de práticas de segurança, enquanto aqui ainda falamos na melhor montagem de uma política", aponta Chisman da Accenture.

"O maior problema das corporações parte das deficiências do usuário, seja ela cultural, que é algo inerente, ou mesmo de treinamento deficiente"
Carlos Affonso, da Módulo.

TRES ITENS PODEM DENOTAR A MATURIDADE DAS EMPRESAS BRASILEIRAS NO ÂMBITO DA SEGURANÇA: AS AÇÕES DO CSO, OS PROCESSOS E A ÊNFASE NO TEMA

Solução de gerenciamento
Com 30 anós de atuação no segmento de segurança em todo o mundo, a NEC Solutions Brasil quer fazer valer a sua visão integrada de hardware e sistemas, com projetos que evoluem da segurança lógica ao ambiente físico das empresas. O grande carro-chefe para isto é a solução de gerenciamento NECSIS (NEC Soluções Integradas de Segurança), que administra todo o ambiente do cliente, dos equipamentos e sistemas - de appliances a câmeras até anti-vírus e firewalls, entre muitos outros componentes - até o controle das pessoas.

Por meio do cockpit do NECSIS, o gestor consegue construir mapas de controle extremamente detalhados de toda geografia física e lógica da empresa. Podendo associar uma série de dispositivos como câmeras, soluções biométricas, cartões com radiofreqüência e até mesmo com link com o pessoal que faz a segurança patrimonial.

Um dos cases no qual a NEC Solutions está envolvida éodo Aeroporto de São Francisco que envolve o monitoramento de todo o ambiente por meio de 2 mil câmeras. A partir de qualquer movimento suspeito ou fora do comum, são disparados eventos para checagem da segurança que, de acordo com a gravidade, podem se tornar alarmes.

"A implementação de uma política passa pelas pessoas e deve atingir uma série de pré-requisitos, começando por uma comunicação ampla e eficiente"
Ivan Alcoforado, da Atos Origin.

DIVERSOS PROJETOS DE UMA POLITICA DE SEGURANÇA SAO REFLEXOS DIRETOS DAS REGRAS DE CONTROLE FINANCEIRO

"É importante enfatizar que os melhores modelos buscam exatamente a transparência. E essa junção do SOX com o tema nao é um modismo"
César Augusto Monteiro, da CapGemini.
Autor: Assessoria de Imprensa Web

NetSaber - Artigos

No palanque das idéias e do controle

Artigos Relacionados

Buscar Artigos

Destaques Netsaber

Destaques Netsaber

Rede NetSaber

Sobre o Site