Wednesday, May 26, 2004

BS 7799-2: Certificar ou não certificar? Eis a questão.

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
A euforia causada pela possibilidade da certificação em um padrão de segurança da informação internacionalmente reconhecido traz consigo um pouco de confusão. Já não se sabe realmente quais são os benefícios da certificação. Alguns defendem que a certificação na BS 7799-2 é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento do risco, outros consideram a certificação como uma conseqüência natural de um sistema bem implementado. Quais são os reais benefícios de uma certificação em BS 7799-2? E quais são seus potenciais riscos (se é que eles existem)?

Por ser um entusiasta da segurança da informação, em especial da BS 7799, sou um tanto quanto suspeito para falar. No último ano tivemos três empresas brasileiras certificadas na norma, e para este ano estamos sentindo uma movimentação intensa de organizações dos mais diversos setores em busca da tão desejada certificação. A utilização do framework da norma BS 7799 talvez seja a solução para muitos gestores de tecnologia e de segurança que buscavam uma fórmula para gerenciar seus riscos e a eficiência de seus controles de segurança.

A norma reflete a experiência dos maiores players internacionais do mercado, e significa uma redução de trabalho considerável, uma vez que não temos que sair por ai reinventando a roda. Sintetizei alguns pontos que considero fundamentais na hora da escolha pelo caminho da certificação.

I - Aumentar a efetividade da segurança da informação

Para quem tem uma visão purista da segurança da informação, talvez este seja o mais importante aspecto inerente à certificação. A implementação de um SGSI – Sistema de Gestão de Segurança da Informação, segue a visão de melhoria contínua apregoada pelos sistemas de qualidade, na configuração de um PDCA (Plan-Do-Check-Act). Esta sistemática da à organização a capacidade de manter-se monitorando constantemente oportunidades de melhoria.

II - Investimento racional em segurança da informação

Muitas empresas não possuem claramente definidas suas necessidades de segurança - realizam grandes investimentos em segurança de acordo com as práticas de mercado. O retorno sobre o investimento em recursos de segurança torna-se obscuro. Possuir um Sistema de Gestão de Segurança da Informação significa identificar com grande precisão as necessidades de melhoria. Isto é, investir onde é necessário, garantindo um nível adequado de segurança e investimentos alinhados às necessidades da empresa.

III - Diferencial de mercado frente à concorrência

Em ambientes de forte concorrência, onde a confiança é fator fundamental para agregar novos clientes ao seu negócio, a certificação é uma poderosíssima ferramenta de marketing. Estar certificado na norma BS 7799 significa para o cliente a tranqüilidade em saber que a empresa possui solidez e que as suas informações, enquanto custodiadas pela empresa certificada, serão tratadas com o maior zelo, garantindo a privacidade, confidencialidade, disponibilidade, integridade e legalidade da informação.

IV - Gerar valor aos acionistas e satisfazer requerimentos de consumidores

A gestão da segurança da informação já esta sendo considerada como elemento complementar aos modelos de governança corporativa. Em tempos onde a informação é apontada como um dos ativos intangíveis mais importantes em processos de valoração das empresas, garantir uma boa gestão do risco da informação deve ser considerada disciplina tão ou mais importante que a gestão do risco operacional, de crédito, de câmbio entre outros.

V - É o único padrão com aceitação global

A norma BS 7799 é a convergência entre os interesses dos mais diversos tipos de empresas, tanto da iniciativa pública quando da iniciativa privada, para a configuração de um padrão que corresponda aos interesses do mundo todo. A primeira parte da BS 7799 transformou-se em ISO 17799, padrão reconhecido internacionalmente, inclusive no Brasil, onde contamos com a NBR ISO/IEC 17799.

VI - Pode haveer redução em taxas de seguro

Estar de acordo com as práticas indicadas na norma BS 7799 significa redução de risco. Do ponto de vista financeiro, quanto menor o risco, tanto maior será a garantia de perpetuidade do negócio. Algumas empresas conseguiram expressivas reduções nas taxas de seguro em vista da certificação.

VII - A norma cobre a área de tecnologia, recursos humanos e estrutura física

Ao contrário de normas específicas para segurança de ativos tecnológicos, a BS 7799 cobre a organização com uma visão holística, considerando a proteção do patrimônio informação independente da sua forma de apresentação (física, digital, voz e etc), considerando controles tecnológicos, administrativos e físicos. Muitas vezes há uma preocupação excessiva com a tecnologia e esquecemos que a dependência da empresa pelo conhecimento de um técnico especialista em JAVA, pode ser uma vulnerabilidade tão grave quanto um firewall mal configurado.

VIII - Reduz a probabilidade de risco devido a não implementação de políticas ou procedimentos eficientes

A organização da gestão da segurança no modelo PDCA, garante a continuidade das ações de segurança e a constante medição da eficiência dos controles, no melhor modelo Security Scorecard. Evita que sejam despendidos esforços em vão em projetos perecíveis que são ações pontuais contra focos de risco. As auditorias internas e o sistema de reporte de incidentes garantem um tratamento continuado às políticas de segurança e a efetividade da utilização dos procedimentos necessários para a manutenção da taxa de risco.

IX - A Alta Administração direciona as ações de Segurança da Informação

Com a estruturação da segurança conforme o padrão BS 7799, quem comanda as ações estratégicas que vão nortear as atividades táticas e operacionais é a Alta Administração da empresa. A composição do Fórum de Segurança contempla o repasse de síntese de incidentes, dos resultados da auditoria interna de segurança e da eficiência dos controles para os executivos. Este sumário apresenta o status da empresa frente aos riscos existentes, considerando os riscos que estão sendo mitigados e riscos que fazem parte do negócio.

X - Revisão independente do seu sistema de Gestão da Segurança

A certificação na BS 7799 indica a revisão independente do seu sistema de gestão de segurança da informação. O documento da certificação atesta a imparcialidade com que seu sistema de gestão foi avaliado. A auditoria externa segue regras rígidas e por isso tranqüiliza os parceiros das empresas certificadas: com a certificação em BS 7799, a empresa realmente pratica a disciplina de segurança da informação.

XI - Certificação significa “due dilligence” e redução do risco

Estar certificado significa expressar publicamente que a Alta Administração desenvolveu uma análise de risco à informação, que possui uma política de segurança da informação e que esta é divulgada amplamente, e que existe uma sistemática para monitorar permanentemente os riscos aos ativos de informação. O termo “due dilligence” indica que a empresa toma as atividades necessárias frente as suas responsabilidades para salvaguarda da sua informação. Caso, futuramente, ocorram incidentes relacionados ao vazamento de dados ou qualquer outro tipo de evento, a empresa poderá apontar indícios de que tomou todos os cuidados para que esta situação não ocorresse.

XII - Maior conscientização por parte dos funcionários

A busca e a manutenção da certificação na BS 7799 é por si só um motivador para o engajamento dos funcionários junto aos objetivos de segurança da informação. A segurança da informação sempre foi vista com certa antipatia pelos colaboradores, de uma forma geral, por parecer um cerceamento desnecessário das facilidades de acesso à informação que gozam a grande maioria dos nossos colegas de trabalho. Utilizar a certificação como razão para a manutenção da segurança, em um primeiro momento, pode ser um forte aliado para conquistar a colaboração de funcionários e justificar ajustes um pouco mais profundos na estrutura da empresa (como por exemplo, cotas de e-mails, regras para acesso a internet entre outros).

XIII - Determinações governamentais de alguns paises

Quem tem acompanhado a evolução no número de certificações no mundo certamente reparou no avanço no número de empresas certificadas na Ásia. Liderados pelo Japão – conhecido pela implementação de sistemas de qualidade, - que avançou de 17 certificações no início de 2002 para mais de 260 no final do ano, fica fácil perceber a importância que a norma vem ganhando nos paises asiáticos. Espera-se que nos próximos 3 anos alguns paises exijam certificações de segurança para parceiros estrangeiros alegando questões de “segurança nacional”.

Motivações finais

Acredito que os pontos acima citados apresentem razões suficientes para que possamos sim considerar a possibilidade de buscar a certificação. Participei da primeira certificação da área financeira nas Américas e atualmente estou envolvido em diversos projetos que objetivam a certificação; nosso sentimento é que para aquelas empresas onde a tecnologia da informação representa mais do que uma área de “sustentação de processos”, significando agente no ganho de margem competitiva e diferencial estratégico, a BS 7799 será mais do que um simples modismo, será condição de sobrevivência no mercado.