Thursday, August 21, 2003

Gestão da Segurança da Informação: Investimentos Eficientes em Segurança da Informação

André Palma, consultor da Axur Information Security.

Quando o assunto é investimento em segurança da informação, nota-se o quanto às organizações estão despreparadas para lidar com o assunto. Muitos falam em gerenciamento de risco e essa é realmente a chave da questão. A norma BS 7799- 2, relacionada a Gestão de Segurança da Informação apresenta um excelente framework para avaliação dos riscos e priorização das ações corretivas.

O ponto de maior impacto na hora da decisão é a mensuração correta dos investimentos em segurança. Muitas empresas implementam soluções de segurança sem, no entanto identificar claramente qual a função que a solução selecionada deve desempenhar na organização. O mercado por muito tempo pensou que investir em um firewall significava investir em segurança da informação, entretanto o que se percebe nas atuais estruturas de tecnologia é que o firewall é o mais simples dos controles de segurança. Existem outras iniciativas essenciais que geralmente são ignoradas, como por exemplo security awareness, o termo anglicano para cultura de segurança.

É evidente que investir em cultura de segurança representa uma iniciativa tão ou mais importante do que a implementação de um sistema de verificação de conteúdo acessado via Internet. Entretanto algumas organizações tomam ações sem considerar o real benefício em termos da inserção dos controles escolhidos na cadeia produtiva. A falta de conhecimento sobre a quantificação desse benefício tem gerado não ações e sim reações: atitudes motivadas por incidentes, não planejadas para a prevenção de sua ocorrência inicial. Outra razão da aplicação de controles sem o critério adequado pode ser entendido através da seguinte pergunta: o que meu concorrente implementou nos últimos meses? É isto que eu vou fazer! Esse é um mau exemplo para benchmark, pode-se utilizar padrões para melhores práticas em controles, mas não para análise de risco.

A forma adequada de lidar com estas questões pode ser resumida em uma palavra: objetivo. Todos os recursos ou ações envolvendo segurança da informação devem possuir um objetivo claro, e este objetivo deve ser mensurável. Deve-se ser capaz de verificar se a ação tomada é eficiente a atende os objetivos pretendidos. É fundamental questionar-se sobre as ações realizadas neste sentido e como estas ações estão alinhadas com as estratégias da organização. E por falar nisso, qual a estratégia da organização e como a segurança da informação se relaciona com esta estratégia?

Para ser prático, investimentos em segurança da informação devem ser planejados frente à necessidades reais e não projetadas. Análise de Risco é indispensável em qualquer processo de segurança. Como garantir a minimização dos riscos, principal objetivo dos controles de segurança, sem o conhecimento detalhado destes riscos? É inviável e qualquer outra forma de investimento em segurança pode ser comparada à intuição ou “sexto sentido”.

Uma análise de riscos formal apresenta de maneira organizada e sistemática os riscos aos quais a organização está exposta. A minimização destes riscos deve ser o objetivo da aplicação de controles de segurança como firewall ou softwares de inspeção de conteúdo. Nesse contexto considero muito difícil uma empresa considerar um software de inspeção de conteúdo mais importante que investimentos em cultura de segurança e isso fica claro quando comparamos o impacto de incidentes envolvendo o acesso à Internet e uso excessivo de bando contra os impactos envolvendo o uso indevido de informações da empresa por funcionários, ou seja, por pessoas que sabem onde procurar informação de real valor.

Existe ainda uma questão tão importante quanto à justificativa pela implementação de soluções: como verificar se as ações tomadas são eficientes e estão levando a segurança da organização para onde se espera. Quantificar a eficiência de um controle de segurança significa verificar se há retorno sobre o investimento, se os benefícios obtidos com determinada solução ou ação são realmente aqueles esperados. E volta-se novamente ao termo "objetivos" pois se não se coonhece exatamente quais os objetivos das ações tomadas, como verificar se estas ações são eficientes?

Um investimento baseado em uma análise de risco simplifica inclusive a tarefa de avaliar a eficiência de ações tomadas. Se para cada ação tomada é determinado um objetivo e este objetivo é baseado na minimização do risco, quantificadores simples como número de incidentes associados ao risco podem comprovar o sucesso das ações. O planejamento de ações deve prever métricas para avaliação periódica, considerando a real eficiência do controle avaliado na minimização do risco e busca dos benefícios esperados.

Sem métricas não se pode afirmar que determinada ação é eficiente, nem que é ineficiente. Na verdade sem planejamento de objetivos e avalição de métricas não se pode dizer muito sobre determinada ação ou implementação de controles de segurança. Talvez estes controles estejam atendendo seus objetivos, mas isso é apenas especulação e a probabilidade do investimento não estar bem direcionado é muito maior que a confiança que se pode ter na capacidade intuitiva do gestor e na avaliação informal.

É importante observar que não estamos colocando em discussão a eficiência e necessidade das soluções de segurança encontradas no mercado. O que se deve considerar sempre é o porque da aplicação destas soluções e como está sendo verificado se a solução está alinhada com os objetivos propostos e aceitos pela administração da organização. Quais são as métricas que confirmam sua eficiência e principalmente, será que estou atacando realmente os riscos mais críticos ao meu negócio?

No comments: