Mente Hacker

Governança corporativa

Publicada em 14/12/2009 14:39

Somos dependentes da tecnologia da informação. Ela se tornou parte integrante do cotidiano da nossa vida privada e nos negócios. Utilizamos o internet banking para pagar contas, acessamos redes sociais para interagir com nossos amigos e clientes, publicamos informações corporativas e pessoais através do Twitter etc.

Embora ofereçam funcionalidades inéditas, essas novas tecnologias também introduzem novos riscos e um ambiente mais difícil de controlar e monitorar. Uma vulnerabilidade de segurança terá um grande impacto na vida pessoal e nos negócios corporativos.

Todos estão preocupados com a privacidade de suas informações e perdas nos negócios. Conseqüentemente, a segurança da informação hoje é parte da governança corporativa. Podemos constatar que os investimentos em segurança estão ligados ao risco real de uma vulnerabilidade impactar sua vida pessoal ou os negócios da sua empresa.

Hoje as pessoas estão preocupadas em ter um firewall pessoal, um bom antivírus e antispam instalados. As empresas realizam avaliação de risco para auxiliar os tomadores de decisão. Mas a segurança da informação exige uma melhoria contínua dos processos, e isso não está ocorrendo.

Vulnerabilidades

As empresas continuam com os mesmos problemas após investirem em tecnologias de segurança, tais como firewalls, antispam, sistema de detecção de intrusos, antivírus etc. Os hackers provaram que é possível acessar informações confidencias (pessoais ou corporativas) explorando vulnerabilidades nas aplicações, atropelando todas as tecnologias de segurança comentadas anteriormente.

Toda vez que especialistas mundiais em assuntos sobre segurança da informação discutem avaliação do Sistema de Gestão da Segurança da Informação (SGSI), a pergunta mais comum é: “como avaliar o nível de maturidade do SGSI em uma organização?.”

A realidade é que, na opinião de alguns especialistas que tentam utilizar alguma metodologia sobre níveis de maturidade para os processos focados na segurança da informação, tais modelos são subjetivos ou estão incompletos.

Sempre que a oportunidade se apresenta, diretores e gerentes de TI, bem como consultores e analistas de segurança da informação, costumam fazer precisamente essas perguntas sobre a avaliação do nível de maturidade do SGSI: como eu sei a situação atual da minha empresa em relação à segurança? Quais processos precisam de melhoria de acordo com a estratégia da organização? Os investimentos em segurança estão resolvendo os problemas? Os resultados obtidos estão na mesma proporção do que gastamos?

O objetivo da avaliação do nível de maturidade de segurança da informação pode ser definido como a soma de “melhores práticas” para diagnóstico e avaliação de maturidade do SGSI em uma organização.

Padrões

Dessa forma, a organização consegue mapear a situação atual, estabelecer e monitorar passo-a-passo as melhorias dos processos rumo à estratégia da organização e comparar com a situação das melhores organizações no segmento (benchmarking) e com padrões internacionais  (por exemplo, ISO/IEC 27002).

Devem também desenvolver um plano de crescimento da maturidade estruturado em efetuar uma ligação entre o planejamento estratégico da empresa e a segurança da informação. Assim, os objetivos de segurança podem ser mais bem avaliados.

Embora existam muitos profissionais preocupados com essas questões, a mais proveitosa sempre foi identificar quais processos precisam de melhoria de acordo com a estratégia da organização.

Seja como for, é importante observar que a criação de um plano de crescimento a curto e longo prazos é indispensável para tornar os processos avaliados mais robustos e precisos.

É possível ainda registrar as dimensões presentes em cada nível de maturidade. Ou seja, a organização irá identificar a taxa de satisfação das necessidades de negócios e objetivos de segurança de acordo com o alinhamento estratégico, competência comportamental, estrutura organizacional, informatização, metodologia e competência técnica.

O assunto ganhou destaque há pouco tempo por meio de relatos críticos de organizações que necessitam de um guia para ações das melhorias dos processos de segurança da informação.

É importante comentar também que o diagnóstico e a avaliação do nível de maturidade de segurança da informação representa a metodologia mais adequada para demonstrar quão hábil uma organização está em relação à gestão dos processos de segurança da informação.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação  (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.