Há uma diferença entre o esforço de gerenciamento para manter a segurança da informação num padrão adequado e a gestão da segurança da informação. O primeiro é obtido através do processamento adequado e seguro da informação, enquanto o segundo usa a norma ISO 27001 e destina-se aos auditores.
Neste artigo procuro mostrar a prática do da segurança, tanto sob a ótica dos negócios, quanto da TI. Sabe-se que, ao usar processos e informações existentes, não há necessidade de extensão da organização para o sistema de gestão de segurança da informação. E o ITIL pode ser utilizado para facilitar a relação entre práticas e processos em TI. Este artigo é baseado no meu livro: Information Security Management with ITL V3 (ISBN 978-90-8753-552-0) e experiências posteriores.
Ao longo da minha experiência, venho seguindo a linha: ‘segurança não mais do que o necessário’, por duas simples razões: é muito mais econômico e simples para as organizações atuarem dessa forma. Segurança além do necessário é contraproducente já que pessoas inventam atalhos e encontram formas para driblar as regras, tentando ser mais espertos do que os responsáveis pela segurança. Quando uma empresa analisa sobre o quanto de segurança é realmente necessário, ela passa a focar nos riscos reais da organização. O pior que pode acontecer para qualquer empresa é implementar segurança que funciona apenas em benefício da própria segurança.
Para a Gestão da Segurança da Informação a ISO27001 descreve o sistema de gestão: o SGSI ou Sistema de Gestão da Segurança da Informação. A primeira pergunta que as organizações sempre fazem é: “estamos usando ISO 27001 e vamos obter uma certificação?”. Porém, a primeira questão deveria ser: “vamos gerenciar nossos esforços para manter o processamento de informações seguras, mas será que precisamos de um SGSI (Sistema de Gestão de Segurança da Informação)?”.
O sistema de gestão, como descrito na norma internacional, assemelha-se aos definidos para a qualidade (ISO 9000) e controle ambiental (ISO 14000). Evidentemente, com um desses sistemas de gestão implementado, torna-se mais simples de implementar o próximo. O uso desses padrões por si só já é uma conquista, pois força as organizações a implementar um sistema de gestão, que tendem a considerar a empresa como um todo, mesmo quando não é necessário.
Os sistemas de gestão tendem a considerar a organização como um todo. Isso é motivado pela certificação, uma vez que certas funções de sistema de gestão são providas por partes da organização que não são foco da certificação. Tais funções terão que ser parte da certificação, ou suas funções devem ser duplicadas.
Além disso, novos projetos como outsourcing ou serviços na nuvem terão profunda influência no gerenciamento da segurança da informação. Quando partes importantes do processamento da informação estão fora da organização, ficará ainda mais difícil concluir o sistema de gestão. Por isso o foco principal do gerenciamento da segurança da informação está na manutenção da proteção do processamento da informação enquanto organizações, processos, tecnologia e pessoas estão em constante mudança. No livro ITIL Information Security (versão 2), o gerenciamento de segurança é descrito como uma série de ações e atividades ao invés de um processo completo. Na época, havia duas razões: para torná-lo o mais simples possível (nenhuma organização gosta de implementar um novo processo ou dedicar parte dos seus recursos para isto) e prevenir dupla contabilidade ou registro.
Em todo SGSI existem três partes fundamentais visíveis:
· Avaliação (para determinar se a segurança da informação está atualizada);
· Correção (melhorias em ambas as direções devem ser possíveis: fazer a solução mais robusta, quando na verdade parece que é bem leve; e fazê-la mais leve, quando a segurança limita processos);
· Registro (aprender com o passado e praticar análises de tendência para prever o futuro. Além disto, mostra quais são os resultados da segurança da informação).
Estas três atividades compõem as mais importantes partes do ciclo PDCA (Plan, Do, Check, Act), favorecido nos sistemas de gestão ISO. Quando uma parte fica de fora do ciclo, a gestão da segurança torna-se impossível
Nas normas e especialmente nas melhores práticas, o sistema de gestão pode ser descrito com mais passos, além dos três acima descritos. Isso é compreensível porque estes documentos são usados em diferentes tipos de organizações. Durante o desenvolvimento do ISO, ITIL, COBIT e até mesmo SABSA, a completude teórica é alcançada. Na vida real, o mundo é um pouco diferente. Infelizmente todos aqueles passos são frequentemente considerados como mandatórios. Isso leva a situações inflexíveis, impedindo as organizações de se adaptarem em situações de mudança, quando na verdade, a flexibilidade deveria ser a questão central do gerenciamento da segurança da informação.
Usando os processos existentes não há necessidade de uma organização da segurança da informação em separado. Cada incidente de segurança pode ser reportado através do service desk e tratado pelo gerenciamento de incidente. No Código de Prática para Segurança da Informação (ISO27002), o manuseio de incidentes conta com um capítulo à parte onde os processos ITIL podem ser usados. Se houver uma necessidade de modificação da funcionalidade de segurança, isto pode ser feito pelo Gerenciamento de Mudança e ser contabilizado pelo Gerenciamento da Configuração.
A implementação da Melhoria Contínua de Serviços (ITIL MCS) requer avaliação, registro de deficiências e melhoria dos processos. Portanto, o uso de práticas da ITIL e processos existentes para a gestão de segurança da informação é válido.
Muitas vezes se esquece que a Administração tem o poder de decidir quais controles implementar e quais atividades de gestão deve empregar e a norma ISO reconhece isso. É visível na Declaração de Aplicabilidade de controles que a mesma tem que ser aprovada pela Administração. Apesar dos detalhes dados na norma ISO, é a decisão da administração sobre os detalhes da implementação do sistema de gestão de segurança da informação que deve ser usado como referência.
Ao usar processos existentes e focar nas três principais atividades, a implementação do gerenciamento de segurança da informação no padrão ISO torna-se mais fácil do que parece.
*Jacques A. Cazemier é diretor de consultoria nos assuntos de Gerenciamento de Segurança da Informação e Continuidade de Negócios na Verdonck, Klooster & Associates, Países Baixos. É também um dos autores do livro “Information Security Management and ITIL V3” e colaborador do programa de Segurança da Informação do EXIN (EXIN Expert). Estará no Brasil entre os dias 02 e 06 de julho a convite do EXIN para palestrar no GRC + DRIDAY e ministrar o primeiro curso de ISMES realizado na América Latina – eventos realizados pela Daryus.