UM MODELO PARA INCLUSO DA GOVERNANA DA SEGURANA DA INFORMAO NO ESCOPO DA GOVERNANA ORGANIZACIONAL

Mauro Cesar Bernardes Instituto de Cincias Matemticas e de Computao - ICMC Universidade de So Paulo 13560-970 So Carlos - SP mcesar@usp.br Edson dos Santos Moreira Instituto de Cincias Matemticas e de Computao - ICMC Universidade de So Paulo 13560-970 So Carlos - SP edson@icmc.usp.br

RESUMO
Este artigo descreve um modelo que permite ao conselho administrativo de uma organizao a incorporao da Governana da Segurana da Informao como parte do seu processo de Governana Organizacional. A partir da utilizao desse modelo, pretende-se que o conhecimento sobre os riscos relacionados infra-estrutura de TIC seja apresentado de forma objetiva no momento da definio do planejamento estratgico. Esse modelo baseado na estrutura de tomada de deciso utilizada pelos Sistemas de Informaes Gerenciais. Uma nova dimenso apresentada para contemplar: controles (o que), processos (como), pessoas (quem) e tecnologia (ferramentas automatizadas). O modelos COBIT e a norma ISO 17799 foram utilizadas para definio dos objetivos de controle a serem implementados e o modelo ITIL foi utilizado para definir os processos responsveis pela implementao.

ABSTRACT
This paper describes the development of a model thought to help the administration board of institutions to consider Information Security Governance as part of their global governance structure. The idea is to provide the proper knowledge about the risks posed by the ICT infra-structure in a pragmatic way, allowing for an efficient strategic planning. The model is based on common, proven, decision making strategies used on Information Management Systems. A new dimension is added to those traditional IMS in order to accomplish: control (what), processes (how), people (who) and technology (automated tools). Through a study of some models of management and governance of ICT, the main body of the model was formed. COBIT and the ISO security standard were used to define the control objectives needed in each level. ITIL was adapted to define the implementation of the processes.

1 INTRODUO Uma anlise do cenrio atual demonstra que o crescimento e o sucesso das organizaes atualmente esto diretamente relacionados necessidade de se manter uma infra-estrutura de Tecnologia da Informao e Comunicao (TIC) segura e confivel. A dependncia atual das organizaes da sua infra-estrutura de TIC, associado s oportunidades, benefcios e riscos inerentes a essa rea, exige que essas organizaes passem a considerar a necessidade de um melhor gerenciamento das questes relacionadas TIC. Esse cenrio levou ao desenvolvimento de modelos que apresentem as melhores prticas para se obter a Governana da Tecnologia da Informao e Comunicao. Entretanto, algumas pesquisas apontam que os conselhos administrativos atuais precisam se certificar que no somente a TIC esteja alinhada com as estratgias da organizao e que a estas estratgias esto tirando o melhor proveito da TIC existente. Eles necessitam assumir cada vez mais a responsabilidade de garantir que as organizaes esto oferecendo aos seus usurios um ambiente de TIC seguro. Alm disso, as organizaes necessitam de proteo contra os riscos inerentes ao uso da infra-estrutura de TIC e simultaneamente obter indicadores dos benefcios de se ter essa infraestrutura segura. Assim, as organizaes precisam tambm de um modelo para a Governana da Segurana da Informao. A proposta de um modelo para Governana da Segurana da Informao apresentada neste

trabalho para se tornar um subconjunto da Governana de TIC e, consequentemente, da Governana Organizacional. Esse modelo permitir o alinhamento das questes de Segurana da Informao com o plano estratgico da organizao. 2 GOVERNANA DA TECNOLOGIA INFORMAO E COMUNICAO DA

A informao reconhecida pelas organizaes nos ltimos anos como sendo um dos mais importantes recursos estratgicos que necessitam gerenciamento (WEILL&ROSS, 2004). Atualmente, os sistemas e os servios de Tecnologia da Informao e Comunicao (TIC) desempenham um papel vital na coleta, anlise, produo e distribuio da informao indispensvel execuo do negcio das organizaes. Dessa forma, tornou-se essencial o reconhecimento de que a TIC crucial, estratgica e um importante recurso que precisa de investimento e gerenciamento apropriados. Esse cenrio motivou o surgimento do conceito de Governana da Tecnologia da Informao e Comunicao, do termo ingls IT Governance, atravs da qual se procura o alinhamento da TIC com os objetivos da organizao. Governana da Tecnologia da Informao e Comunicao define que a TIC um fator essencial para a gesto financeira e estratgica de uma organizao e no apenas um suporte aos mesmos. Governana da Tecnologia da Informao e Comunicao pode ser definida como:

- Uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir seus objetivos corporativos, atravs da agregao de valor e controle dos riscos pelo uso da TIC e seus processos (ITGI, 2001); - Capacidade organizacional exercida pelo conselho diretor, gerente executivo e o gerente de TIC de controlar o planejamento e implementao das estratgias de TIC e dessa forma, permitir a fuso de TIC ao negcio (Van Grembergen, 2003); - Especificao das decises corretas em um modelo que encoraje o comportamento desejvel no uso de TIC nas organizaes (WEILL&ROSS, 2004). Para alcanar a Governana da Tecnologia da Informao e Comunicao as organizaes utilizam modelos que possuem as melhores prticas para a gesto de TIC. Entre esses modelos, os de maiores aceitao so: o COBIT (ITGI, 2000) e o ITIL (OGC, 2002). 2.1 O Modelo COBIT A misso maior relacionada ao desenvolvimento do modelo COBIT (Control Objectives for Information and Related Technology) pesquisar, desenvolver, publicar e promover um conjunto atualizado de padres internacionais e de melhores prticas referentes ao uso corporativo de TIC para os gerentes e auditores de tecnologia (ITGI, 2000). Desenvolvido e difundido pelo ISACA (Information System Audit and Control) e pelo IT Governance Institute (apenas a terceira edio), o COBIT um modelo considerado por muitos como sendo a base da governana tecnolgica. O COBIT funciona como uma entidade de padronizao e estabelece mtodos formalizados para guiar a rea de tecnologia das empresas, incluindo qualidade, nveis de maturidade e segurana da informao. O COBIT est estruturado em quatro domnios para que possa refletir um modelo para os processos de TIC. Esses domnios podem ser caracterizado pelos seus processos e pelas atividades executadas em cada fase de implementao da Governana Tecnolgica. Os domnios do COBIT so: a) Planejamento e Organizao: Esse domnio possui 11 objetivos de controle que dizem respeito s questes estratgicas relacionadas a como a TIC pode contribuir da melhor forma possvel para alcanar os objetivos da organizao; b) Aquisio e Implementao: Possui 6 objetivos de controle que definem as questes de identificao, desenvolvimento e aquisio da infraestrutura de TIC conforme as diretivas estratgicas e de projeto pr-definidos no Plano Estratgico de Informtica da empresa, tambm conhecido como PDI (Plano Diretor de Informtica); c) Entrega e Suporte: Esse domnio, com 13 objetivos de controle, define as questes ligadas ao uso da TIC para atendimento dos servios

oferecidos para os clientes, a manuteno e as garantias ligadas a estes servios; d) Monitorao: Com 4 objetivos de controle, esse domnio define as questes de auditoria e acompanhamento dos servios de TIC, sob o ponto de vista de validao da eficincia dos processos e evoluo dos mesmos em termos de desempenho e automao. O modelo COBIT define objetivos de controle como sendo declaraes do resultado desejado, ou propsito a ser atingido, pela implementao de procedimentos de controle numa atividade de TI em particular. Alm dos 4 domnios principais que guiam o bom uso da tecnologia da informao na organizao, existem tambm a questo de auditoria que permite verificar, atravs de relatrios de avaliao, o nvel de maturidade dos processos da organizao. O mtodo de auditoria segue o modelo do CMM (Capability Maturity Model for Software) (PAULK et al, 1993) que estabelece os seguintes nveis: a) nvel 0 - Inexistente: Significa que o processo de gerenciamento no foi implementado; b) nvel 1 - Inicial: O processo realizado sem organizao, de modo no planejado; c) nvel 2 - Repetitvel: O processo repetido de modo intuitivo, isto , depende mais das pessoas do que de um mtodo estabelecido; d) nvel 3 - Definido: O processo realizado, documentado e comunicado na organizao; e) nvel 4 - Gerenciado: Existem mtricas de desempenho das atividades, o processo monitorado e constantemente avaliado; f) nvel 5 - Otimizado: As melhores prticas de mercado e automao so utilizadas para a melhoria contnua dos processos. O resultado da auditoria da metodologia COBIT para a avaliao do nvel de maturidade (grau dos processos) ajuda a rea de TIC a identificar o grau atual e como evoluir para melhorar os processos da organizao, permitindo a evoluo desses. O resultado da auditoria permite ainda identificar o grau de evoluo dos processos na organizao, de modo concreto, com base em relatrios confiveis de auditoria e parmetros de mercado. O sumrio executivo do relatrio gerado pela auditoria traz as seguintes informaes: se existe um mtodo estabelecido para o processo; como o mtodo definido e estabelecido; quais os controles mnimos para a verificao do desempenho do mtodo; como pode ser feita a auditoria no mtodo; quais as ferramentas utilizadas no mtodo e o que avaliar no mtodo para sua melhoria. A partir desse ponto, a organizao define as metas (os objetivos de controle) a serem atingidas. 2.2 O Modelo ITIL O modelo ITIL (Information Technology Infraestructure Library) foi desenvolvido pelo

governo britnico no final da dcada de 1980 e tem como foco principal a operao e a gesto da infraestrutura de TIC na organizao, incluindo todos os pontos importantes no fornecimento e manuteno dos servios de TIC (OGC, 2000). O ITIL, composto por um conjunto das melhores prticas para auxiliar a Governana de TIC, vem sendo um dos modelos mais amplamente utilizados atualmente (RUDD, 2004). O princpio bsico do ITIL o objeto de seu gerenciamento: a infra-estrutura de TIC. O ITIL descreve os processos que so necessrios para dar suporte utilizao e ao gerenciamento da infraestrutura de TIC. Outro princpio fundamental do ITIL o fornecimento de qualidade de servio aos clientes de TIC a custos justificveis, isto , relacionar os custos dos servios de tecnologia de forma que se possa perceber como estes trazem valor estratgico ao negcio. Atravs de processos padronizados de Gerenciamento do Ambiente de TIC possvel obter uma relao adequada entre custos e nveis de servio prestados pela rea de TIC. O ITIL consiste de um conjunto de melhores prticas que so inter-relacionadas para minimizar o custo, ao mesmo tempo em que aumenta a qualidade dos servios de TIC entregue aos usurios. O ITIL organizado em 5 mdulos principais: 1) A Perspectiva de Negcios; 2) Gerenciamento de Aplicaes; 3) Entrega de Servios; 4) Suporte a Servios; 5) Gerenciamento de Infra-estrutura. Embora o modelo ITIL no tenha um mdulo dedicado ao Gerenciamento de Segurana Computacional, ele faz referncia a este tema apontando em um documento como o mesmo poderia ser incorporado atravs dos processos descritos nos mdulos de Suporte a Servios e Entrega de Servios. Dentre os 5 mdulos citados, os mais populares so o Suporte a Servios e Entrega de Servios. Apesar de o modelo ITIL possuir processos bem definidos para auxiliar na Governana da Tecnologia da Informao e Comunicao, este trabalho identifica a necessidade de algumas adaptaes para que ele possa ser utilizado para implementar todos os requisitos de um modelo de Governana de Segurana da Informao. Essas adaptaes esto relacionadas principalmente forma como tratar incidentes de segurana computacional. 3 GOVERNANA INFORMAO DA SEGURANA DA

Ao descrever o cenrio atual para o gerenciamento de Segurana da Informao, muitas literaturas apontam a necessidade e a importncia

de se alcanar um Modelo de Governana da Segurana da Informao. Esse modelo dever ser utilizado pelas organizaes para que a Segurana da Informao no seja tratada apenas no mbito tecnolgico, mas reconhecida como parte integrante do planejamento estratgico das organizaes no processo de tomada de deciso. O IIA (The Institute of Internal Auditors) publicou um trabalho onde destaca que, uma vez que os diretores das organizaes so responsveis pelos bons resultados e pela continuidade da organizao que eles governam, eles precisam aprender a identificar atualmente as questes corretas sobre segurana computacional e ainda, consider-las como parte de sua responsabilidade (IAA, 2001). Atualmente as responsabilidades acerca da segurana computacional so frequentemente delegadas ao gerente de segurana (Chief Security Officer) das organizaes, gerando conflitos em relao ao oramento destinado a essa rea e a necessidade de impor medidas que vo alm de seu escopo de atuao. Dessa forma, muito comum encontrar um cenrio onde as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo como conseqncia a falta de recursos para minimizar os riscos existentes ao nvel exigido pela estratgia organizacional e definido pela anlise de risco. A responsabilidade pelo nvel correto de segurana da informao deve ser uma deciso estratgica de negcios, tendo como base um modelo de Governana da Segurana da Informao que contemple uma anlise de risco. Em um relatrio do Corporate Governance Task Force proposto que, para proteger melhor a infraestrutura de TIC, as organizaes deveriam incorporar as questes de segurana computacional em suas aes de governana corporativa (CGTFR, 2004). Em um trabalho publicado em 2003, o BSA (Business Software Alliance) chama a ateno para a necessidade de desenvolver um Modelo de Governana da Segurana da Informao que possa ser adotado imediatamente pelas organizaes (BSA, 2003). Nesse trabalho sugerido que os objetivos de controle contidos na ISO 17799 devam ser considerados e ampliados para o desenvolvimento de um modelo onde segurana da informao no seja considerada apenas no plano tecnolgico, mas parte integrante das melhores prticas corporativas, no deixando de cobrir aspectos relacionados a pessoas, processos e tecnologia. Para que as organizaes obtenham sucesso no processo de segurana de sua informao, os gestores precisam tornar a segurana computacional uma parte integrante da operao do negcio da organizao (ENTRUST, 2004). A forma proposta para se conseguir isso a estruturao de um Modelo de Governana da Segurana da Informao como parte do controle interno e polticas que faam parte da Governana

Corporativa. Considerando-se esse modelo, a segurana da informao deixaria de ser tratada apenas como uma questo tcnica, passando a ser um desafio administrativo e estratgico. Neste trabalho proposto que um modelo de Governana da Segurana da Informao deva considerar as observaes apresentadas anteriormente e estar fortemente acoplado ao modelo de Governana de TIC, detalhando e ampliando seu escopo de atuao na rea de interseo com a Segurana da Informao. 3.1 Requisitos para um Modelo de Governana de Segurana da Informao Uma vez que as organizaes possuem necessidades distintas, elas iro apresentar abordagens diversas para tratar as questes relacionadas a segurana da informao. Dessa forma, um conjunto principal de requisitos deve ser definido para guiar os mais diversos esforos. Identificados esses requisitos, deve-se correlacionlos em um Modelo de Governana da Segurana da Informao. Na busca por um modelo de Governana da Segurana da Informao este trabalho prope os seguintes requisitos: 1. Os CEOs (Chief Executive Officers) precisam de procedimentos para conduzir uma avaliao peridica sobre segurana da informao, revisar os resultados com sua equipe e comunicar o resultado para o conselho administrativo; 2. Os CEOs precisam adotar e patrocinar boas prticas corporativas para segurana computacional, sendo municiados com indicadores objetivos que os faam considerar a rea de segurana computacional como um importante centro de investimentos na organizao, e no apenas um centro de despesas; 3. Organizaes devem conduzir periodicamente uma avaliao de risco relacionada informao como parte do programa de gerenciamento de riscos; 4. Organizaes precisam desenvolver e adotar polticas e procedimentos baseados na anlise de risco para garantir a segurana da informao; 5. Organizaes precisam estabelecer uma estrutura de gerenciamento da segurana da informao para definir explicitamente o que se espera de cada indivduo (papis e responsabilidades); 6. Organizaes precisam desenvolver planejamento estratgico e iniciar aes para prover a segurana adequada para a rede de comunicao, os sistemas e a informao; 7. Organizaes precisam tratar segurana da informao como parte integral do ciclo de vida dos sistemas; 8. Organizaes precisam divulgar as informaes sobre segurana computacional, treinando e educando os indivduos;

9. Organizaes precisam conduzir testes peridicos e avaliar a eficincia das polticas e procedimentos relacionados a segurana da informao; 10. Organizaes precisam criar e executar um plano para remediar vulnerabilidades ou deficincias que comprometam a segurana da informao; 11. Organizaes precisam desenvolver e colocar em prtica procedimentos de resposta a incidentes; 12. Organizaes precisam estabelecer planos, procedimentos e testes para prover a continuidade das operaes; 13. Organizaes precisam usar as melhores prticas relacionadas segurana computacional, como a ISO 17799 (ISO, 2000), para medir a nvel alcanado em relao segurana da informao. Tendo como base a estrutura de tomada de deciso em sistemas de informao gerenciais, este trabalho prope a correlao dos princpios citados anteriormente em trs nveis: Operacional, Ttico e Estratgico. A organizao nesses nveis ir permitir a evoluo de dados (nvel operacional) em informao (nvel ttico) e ainda, em conhecimento (nvel estratgico) que possa ser til aos gestores no desenvolvimento do planejamento estratgico das organizaes. O modelo proposto neste trabalho est estruturado para prover conhecimento o necessrio para motivar os administradores a patrocinar a utilizao das melhores prticas de segurana computacional em todos os nveis da organizao. Dessa forma, o modelo capaz de apontar as melhores prticas a serem seguidas em cada um dos nveis da organizao, contemplando trs pontos principais em cada um desses nveis: 1) O que se espera de cada indivduo (o que deve e o que no deve ser feito); 2) Como cada indivduo poder verificar se est cumprindo o que esperado (indicadores de produtividade); 3) Quais mtricas devem ser utilizadas para medir a eficincia dos processos executados e apontar ajustes que necessitam ser aplicados. Estruturado dessa forma, o modelo permitir o trabalho proativo e a identificao de quais melhores prticas devem ser implementadas em determinado momento a uma organizao. Uma reviso de literatura sobre prticas de gerenciamento de segurana computacional aponta pelo menos 4 pontos chaves a serem considerados na definio de um modelo, sendo eles: 1) A necessidade de uma avaliao de risco: os riscos precisam ser conhecidos e as medidas de segurana correspondentes devem ser identificadas; 2) A necessidade de uma estrutura organizacional de segurana computacional: segurana computacional deve ser tratada em todos os nveis da organizao;

3) A necessidade de criar, endossar, implementar, comunicar e monitorar uma poltica de segurana por toda a organizao, com comprometimento e apoio visvel dos gestores; 4) A necessidade de fazer com que cada indivduo da organizao conhea a importncia da segurana computacional e trein-los para que possam utilizar as melhores prticas neste sentido. Embora esses 4 pontos chaves sejam os mais comuns apontados pela literatura, ainda h outros pontos citados com freqncia: a) A necessidade de monitorar, auditar e revisar as atividades de forma rotineira; b) A necessidade de um plano de continuidade de negcio que possa ser testado regularmente. Apesar da importncia e da necessidade dos requisitos apresentados nesta seo, um dos pontos fortes do Modelo para Governana da Segurana da Informao proposto neste trabalho est relacionado forma como esses se correlacionam e em quais nveis de gerenciamento os mesmos devem ser includos. 3.2 Contribuies do Cdigo de Prtica para a Gesto da Segurana da Informao ISO 17799 Para atender os anseios de grandes empresas, de agncias governamentais e de instituies internacionais em relao ao estabelecimento de padres e normas que refletisse as melhores prticas de mercado relacionadas segurana dos sistemas e informaes, o British Standards Institute (BSI) criou uma das primeiras normas sobre o assunto. Denominada BS 7799 - Code of Practice for Information Security Management, ela foi oficialmente apresentada em primeiro de dezembro de 2000, aps um trabalho intenso de consulta pblica e internacionalizao. A BS 7799 foi aceita como padro internacional pelos pases membros da International Organization for Standardization (ISO), sendo ento denominada ISO/IEC 17799:2000 (ISO, 2000). No ano 2001 a norma foi traduzida e adotada pela Associao Brasileira de Normas Tcnicas (ABNT) como NBR 17799 Cdigo de Prtica para a Gesto da Segurana da Informao (ABNT, 2001). A norma ISO/IEC 17799, baseada na parte um da BS 7799, fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre organizaes (ISO, 2000). A norma define 127 objetivos de controles que sero utilizadas neste trabalho para indicar o que deve ser abordado no Modelo de Governana da

Segurana da Informao proposto, enfocando o processo sob o ponto de vista do negcio da empresa. A norma trata de aspectos como: Poltica de Segurana, Plano de Continuidade do Negcio, Organizao da Segurana, Segurana Fsica e Ambiental, Controle de Acesso, Legislao, dentre outros. Para a seleo dos objetivos de controles apropriados para uma organizao, a norma recomenda que seja realizada uma Anlise de Risco, que ir determinar a necessidade, a viabilidade e a melhor relao custo/benefcio para a implantao desses controles. 4 PROCESSOS E CONTROLES PARA UM MODELO DE GOVERNANA DA SEGURANA DA INFORMAO Para atender a todos os requisitos necessrios a um modelo de Governana da Segurana da Informao, este trabalho prope a combinao das potencialidades dos modelos COBIT e ITIL e da norma ISO 17799. Esses modelos vm sendo utilizados isoladamente pelas organizaes nos ltimos anos e representam as melhores prticas desenvolvidas, testadas e aprovadas por especialistas ao redor do mundo. 4.1 Relao dos processos entre os modelos ITIL e COBIT e a norma ISO 17799 Para que o modelo COBIT, o modelo ITIL e a norma ISO 17799 possam ser utilizados em um Modelo de Governana da Segurana da Informao, este trabalho apresenta na tabela 1 uma correlao entre os objetivos de controle apresentados no modelo COBIT e os apresentados na norma ISO 17799. Ainda nessa tabela, so apresentados quais objetivos de controle so referenciados pelos processos descritos no modelo ITIL (Suporte a Servios e Entrega de Servios). A tabela 1 apresenta tambm a proposta deste trabalho para estruturao dos objetivos de controle em nveis organizacional, ttico e estratgico. Comparado ao modelo COBIT, o modelo ITIL descreve de forma detalhada os processos relativos ao suporte e entrega de servios (domnio DS na tabela 1), mas no cobre todos os requisitos de controle relacionados ao gerenciamento de TIC descritos pelo COBIT para este domnio. Alguns objetivos de controle do modelo COBIT no domnio planejamento e organizao so tratados superficialmente atravs dos processos do modelo ITIL. O modelo ITIL no aborda o domnio de Monitoramento do modelo COBIT. O modelo ITIL no est focado em descrever o que deve ser abordado no gerenciamento de TIC. Seus processos esto estruturados e detalhados para indicar como implementar e quem (papis e responsabilidades).

Tabela 1 - Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO 17799 Objetivos de Controle do COBIT Objetivos de Controle do Objetivos de Controle do COBIT referenciados na COBIT referenciados no ISO 17799 modelo ITIL PO - Planejamento e Organizao PO1-Definir um Plano Estratgico de TI PO2-Definir a Arquitetura da Informao X Superficialmente PO3-Determinar a Direo Tecnolgica X Superficialmente PO4-Definir a Organizao e Relacionamentos de TI X Superficialmente PO5-Gerenciar o Investimento em TI PO6-Comunicar metas e diretivas gerenciais X PO7-Gerenciar Recursos Humanos X PO8-Garantir Conformidade com Requisitos Externos X PO9-Avaliar Riscos X PO10-Gerenciar Projetos PO11-Gerenciar Qualidade AI - Aquisio e Implementao AI1-Identificar Solues Automatizadas X X AI2-Adquirir e Manter Software Aplicativo X X AI3-Adquirir e Manter Infra-estrutura Tecnolgica X X AI4-Desenvolver e Manter Procedimentos X X AI5-Instalar e Validar Sistemas X X AI6-Gerenciar Mudanas X X DS Entrega e Suporte DS1-Definir e Gerenciar Nveis de Servio X X DS2-Gerenciar Servios de Terceiros X X DS3-Gerenciar Desempenho e Capacidade X X DS4-Garantir Continuidade dos Servios X X DS5-Garantir Segurana de Sistemas X DS6-Identificar e Alocar Custos X DS7-Educar e Treinar Usurios X DS8-Auxiliar e Aconselhar Clientes X X DS9-Gerenciar Configurao X X DS10-Gerenciar Problemas e Incidentes X X DS11-Gerenciar Dados X X DS12-Gerenciar instalaes X DS13-Gerenciar a Operao X X M Monitoramento M1Monitorar os Processos X M2Avaliar a Adequao do Controle Interno X M3Obter certificao Independente M4Providenciar Auditoria Independente

Aps uma avaliao de cada objetivo de controle descrito no modelo COBIT, este trabalho prope uma categorizao nos nveis operacional, ttico e estratgico, conforme apresentado na tabela 1. 5 UTILIZAO DA ESTRUTURA DE DECISO DE SISTEMAS DE INFORMAO GERENCIAIS O ponto de partida para a construo do modelo de Governana da Segurana da Informao proposto neste trabalho consiste na definio de uma estrutura baseada nos modelos de tomada de deciso em Sistemas de Informaes Gerenciais. Essa estrutura consiste de uma diviso em 3 nveis: nvel operacional (dados do dia-a-dia, pontuais), nvel ttico (informao obtida a partir de dados agrupados, sintetizados, totais, percentuais, acumulados, plurais, etc) e nvel estratgico

Nvel Estratgico

Nvel Operacional e Nvel Ttico

Nvel Estratgico

(conhecimento macro, objetivo e relacionado a todo o ambiente interno e externo). Nessa estrutura, um Data Warehouse ser responsvel por armazenar os mais diversos tipos de dados relacionados a segurana computacional provenientes do ambiente e que sero teis no processo a extrao do conhecimento necessrio ao gestor para o planejamento estratgico da organizao. O processo de extrao de conhecimento da base de dados ter no nvel operacional os dados como matria prima bruta. Atravs dos processos descritos no modelo ITIL, o sistema de informao permitir que esses dados sejam coletados e armazenados (nvel operacional) e a seguir, trabalhados para que possam gerar informao no nvel ttico. A partir dos processos de auditoria, monitorao, definio de nveis de maturidade descritos no modelo COBIT e das tcnicas para a extrao de conhecimento das bases de dados, essas

informaes sero estruturadas em conhecimento til e objetivo para os gestores das organizaes. Para que o conhecimento gerado maximize seu valor, este trabalho prope a estruturao dos requisitos propostos na seo 3.1 de uma forma que possam ter enfoque tambm em controles, processos, pessoas e tecnologias, compondo uma matriz 3x4 que pode ser representada atravs da proposta apresentada na figura1.

a) Controles (o que): Relao dos objetivos de controle a serem aplicados; b) Processos (como): Descrio dos processos necessrios para implementao dos objetivos de controle; c) Pessoas (quem): Papis e responsabilidades dos indivduos envolvidos com os processos e objetivos de controle definidos; d) Tecnologia (ferramentas): Identificao das ferramentas automatizadas de apoio implementao dos processos e do sistema de informao gerencial. Nos nveis operacional-ttico-estratgico o modelo se refere a: a) Operacional: Atividades dirias, cotidianas e reativas; b) Ttico: Atividade proativas com revises peridicas, busca contnua pela qualidade e possibilidade de planejamento em longo prazo; c) Estratgico: Gerar conhecimento para permitir a viso organizacional para as questes de segurana computacional a partir de avaliaes, auditorias, definio de nveis de maturidade dos objetivos de controle definidos e processos de extrao de conhecimento de base de dados. .

Fig.1- Estrutura proposta para um Modelo para Governana da Segurana da Informao.

Na dimenso controles-processos-pessoastecnologia o modelo proposto ir abordar:

Tabela 2 - Proposta de estratgia para implementao dos requisitos identificados neste trabalho para um modelo de Governana da Segurana da Informao. Requisitos para um Modelo de Governana da Segurana da Informao Estratgia para a Implementao 1. Os CEOs (Chief Executive Officers) precisam ter um mecanismo para conduzir uma Modelo COBIT avaliao peridica sobre segurana da informao, revisar os resultados com sua equipe e comunicar o resultado para a mesa diretora. 2. CEOs precisam adotar e patrocinar boas prticas corporativas para segurana Modelo COBIT e computacional, sendo municiados com indicadores objetivos que os faam considerar a rea de Modelo ITIL segurana computacional como um importante centro de investimentos na organizao, e no apenas um centro de despesas. 3. Organizaes devem conduzir periodicamente uma avaliao de risco relacionada Modelo COBIT e informao como parte do programa de gerenciamento de riscos. Anlise de Risco 4. Organizaes precisam desenvolver e adotar polticas e procedimentos baseados na anlise Modelo COBIT e de risco para garantir a segurana da informao. norma ISO 17799 5. Organizaes precisam estabelecer uma estrutura de gerenciamento da segurana para Modelo ITIL expandido definir explicitamente o que se espera de cada indivduo (papis e responsabilidades). 6. Organizaes precisam desenvolver planos e iniciar aes para prover a segurana adequada Modelo ITIL (gerncia para a rede de comunicao, os sistemas e a informao. de continuidade) 7. Organizaes precisam tratar segurana da informao como parte integral do ciclo de vida Modelo COBIT e dos sistemas. Modelo ITIL 8. Organizaes precisam divulgar as informaes sobre segurana computacional, treinando e Modelo ITIL expandido educando os indivduos. 9. Organizaes precisam conduzir testes peridicos e avaliar a eficincia das polticas e Modelo COBIT e procedimentos relacionados a segurana da informao. modelo ITIL 10. Organizaes precisam criar e executar um plano para remediar vulnerabilidades ou Modelo ITIL expandido deficincias que comprometam a segurana da informao. 11. Organizaes precisam desenvolver e colocar em prtica procedimentos de resposta a Modelo ITIL expandido incidentes. 12. Organizaes precisam estabelecer planos, procedimentos e testes para prover a Modelo COBIT e continuidade das operaes. Modelo ITIL 13. Organizaes precisam usar as melhores prticas relacionadas segurana computacional Modelo COBIT, para medir a performance da segurana da informao. Modelo ITIL e norma ISO 17799

Na tabela 2 apresentada a correlao entre os requisitos propostos para um modelo de Governana da Segurana da Informao (seo 3.1) e as estratgias propostas neste trabalho para sua implementao Considerando a estratgia de implementao dos requisitos identificados neste trabalho para um modelo de Governana da Segurana da Informao, a tabela 3 apresenta (viso macro) a proposta para um modelo de Governana da Segurana da Informao. Este trabalho prope a utilizao dos modelos COBIT e ITIL pelo fato de possurem uma coleo das melhores prticas para auxiliar a Governana da Tecnologia da Informao e Comunicao, compiladas a partir da experincia profissional e prticas de especialistas que desenvolvem suas pesquisas pelo mundo todo. Esses modelos so reconhecidos e adotados em larga escala internacionalmente. Uma vez que a norma ISO 17799 possui os objetivos de controle especficos e detalhados para o gerenciamento de segurana computacional, ela ser utilizada como base para o modelo. Os objetivos de controle relacionados s melhores prticas para segurana computacional sero identificados no modelo COBIT e sero utilizados para ampliar a abrangncia da ISO 17799. A avaliao em nveis de maturidade proposta pelo COBIT para cada objetivo de controle ir incorporar norma ISO 17799 a capacidade de obteno de um processo contnuo de melhoria da qualidade da segurana computacional dos servios de TIC oferecidos. Esses objetivos de controle, que so apresentados em alto nvel pelo modelo COBIT e de forma detalhada pela norma ISO 17799, devero ser mapeadas para os processos descritos no modelo ITIL. Dessa forma, este trabalho prope que o modelo COBIT e a ISO 17799 sejam utilizados

para fornecer o que (objetivos de controle) precisa ser implementado, enquanto o modelo ITIL ser utilizado para detalhar como isso ser feito atravs de seus processos no nvel operacional e ttico e ainda, quem ser responsvel por faz-lo. Uma Anlise de Risco proposta para ser realizada no nvel estratgico de forma a apontar, com base no planejamento estratgico da organizao, quais requisitos de controle devam ser implementados e o nvel de maturidade esperado para cada um deles. Uma Anlise de Risco ir fornecer conhecimento aos gestores para que identifiquem a necessidade de investimento em medidas para eliminar os riscos envolvidos na execuo do planejamento estratgico. 6 CONCLUSO Este trabalho apresentou a proposta de um modelo para Governana da Segurana da Informao que possui como base a Estrutura de Deciso dos Sistemas de Informaes Gerenciais (SIGs), dividida em nvel operacional, nvel ttico e nvel estratgico. A motivao para a utilizao dessa estrutura surgiu na identificao de que a dificuldade de extrao de conhecimento para a tomada deciso a partir de um grande volume de dados comum tanto nas decises relacionadas a negcios (onde geralmente so utilizados os SIGs) quanto no gerenciamento de segurana computacional. A necessidade apontada pelas organizaes de se alcanar um modelo onde o conhecimento relacionado s questes de segurana computacional esteja disponvel de forma objetiva para o conselho administrativo ao longo de todo o processo de tomada de deciso para a execuo negcio, conduziu este trabalho a considerar as questes de Governana da Tecnologia da Informao e Comunicao.

Tabela 3 - Correlao da ISO 17799 com os modelos COBIT e ITIL como proposta para um modelo de Governana da Segurana da Informao Operacional Ttico Estratgico Controles -ISO 17799 -COBIT: Entrega e Suporte -COBIT: Aquisio e Implementao -ITIL: Suporte a Servios (adaptado) -ITIL: Suporte a Servios (adaptado) -Ferramentas de Workflow -Ferramentas de Gerenciamento (coleta de dados) -Data Warehouse -ISO 17799 -COBIT: Entrega e suporte -ISO 1799 -Anlise de Risco -COBIT: Auditoria -COBIT: Monitoramento -COBIT: Planej. e Organizao -COBIT: Auditoria -COBIT: Monitoramento -COBIT: Auditoria -COBIT: Monitoramento -Ferramentas automatizadas para anlise de Risco. -Ferramentas automatizadas para a extrao de conhecimento

Pessoas Processos

Tecnologia

-ITIL: Entrega de Servios (expandido) -ITIL: Entrega de Servios (expandido) -Ferramentas de Workflow -Ferramentas de Gerenciamento (coleta de dados) -Data Warehouse -Ferramentas para testes de vulnerabilidade e penetrao -Ferramentas para anlise de logs

Para o desenvolvimento do modelo de Governana da Segurana da informao desenvolvido neste trabalho, foram identificados e apresentados 13 requisitos mnimos. Esses requisitos foram mapeados numa estrutura matricial que contempla os nveis de deciso (operacional, ttico e estratgico) e as dimenses que amparam cada um desses nveis de deciso (Controle, Processos, Pessoas e Tecnologia). Considerando essa estrutura matricial, que possui uma abrangncia ampla, foi possvel o desenvolvimento de um modelo que permite o alinhamento estratgico entre Segurana Computacional e o Negcio da Organizao. O modelo apresentado considerou a utilizao das melhores prticas dos principais modelos de apoio Governana de TIC em funo desses modelos terem sido desenvolvidos por especialistas, testados e implementados por uma grande quantidade de organizaes ao redor do mundo. A estrutura matricial do modelo desenvolvido ir permitir a definio de nveis de maturidade isoladamente para controles, processos, pessoas e tecnologia em cada um dos nveis de deciso. Isso facilitar a evoluo do modelo e permitir que as falhas sejam atacadas de forma pontual. A combinao do modelo COBIT com a norma ISO 17799 e o modelo ITIL permitir a utilizao das potencialidades de cada uma dessas propostas para o desenvolvimento de um modelo nico que facilite identificar: o que, quem, como e que recursos tecnolgicos utilizar para o alcance da Governana da Segurana da Informao. A partir da implementao de parte do modelo desenvolvido neste trabalho no Centro de Computao Eletrnica da Universidade de So Paulo, foi possvel identificar algumas potencialidades, dos quais ficaram mais evidentes: - O modelo permite uma implementao modular e de forma gradual, com capacidade de atender necessidades especficas em qualquer clula da matriz apresentada; - O modelo permite a melhoria contnua da qualidade dos controles, processos, pessoas e tecnologia; -O modelo pode ser aplicado em organizaes de qualquer tamanho, sendo possvel a insero de novos controles conforme as necessidades da organizao; - Componentes do modelo podem sofrer ajustes, serem substitudos, desenvolvidos ou adquiridos (terceirizados) em cada uma das clulas apresentadas. REFERNCIAS BIBLIOGRFICAS ABNTAssociao Brasileiira de Normas e Tcnicas. Tecnologia da informao Cdigo de prtica para a gesto da segurana da Informao. NBR ISO/IEC 17799. 30/09/2001.

BSA-BUSINESS SOFTWARE ALLIANCE. Information Security Governance: Toward a Framework for Action.2003. Disponible on-line em http://www.bsa.org. Visitado em 12/12/2004. CGTFR-CORPORATE GOVERNANCE TASK FORCE REPORT. Information Security Governance: A Call to Action.April, 2004. Disponvel on-line em:http://www.cyberpartnership.org/InfoSecGo v4_04.pdf. Visitado em 02/02/2005. ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate Governance. April, 2004. Disponvel on-line em: http://www.entrust.com/governance/. Visitado em 16/03/2005. ISO-International Organization for Standardization/ International Eletrotechnical Committee. Information technology- Code of practice for information security management. Reference number ISO/IEC 17799:2000(E). OGC-Office of Government Comerce. ITIL: The Key to Managing IT Services Best Practice for Service Support. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330015 8. PAULK, M.C.; CURTIS, B; CHRISSIS, M.B.;WEBER, C.V. Capability Maturity Model for Software, version 1.1. Technical Report, Carnegie Mellon Software Engeneering Institute, CMU/SEI-93-TR-024, February 1993. Disponvel on-line em: http://www.sei.cmu.edu/cmm/. Visitado em 12/01/2005. IIA-THE INSTITUTE OF INTERNAL AUDITORS. Information Security Governance: What Directors Need to Know. (2001). The Critical Infraestructure Assurance Project. ISBN 0-89413-457-4. Disponvel on-line em www.theiia.org/eSAC/pdf/ISG_1215.pdf. Visitado em 14/01/2005. ITGI-THE IT GOVERNANCE INSTITUTE.COBIT: Control Objectives for information and related Technology. Printed in the United States of America, 2000. ISBN: 1893209-13-X. ITGI-THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Boards of Directors and Executive Management. Printed in the USA, 2001. ISBN 1-893209-28-8. Disponvel on-line em: http://www.itgi.org/template_ITGI.cfm?template =/ContentManagement/ContentDisplay.cfm&Co ntentID=6672. Visitado em 02/02/2005. RUDD, Colin. An Introductory Overview of ITIL. Publicado por iTSMF ltd, Webbs Court, United Kingdom, 2004. Version 1.0a. Disponvel online em: http://www.itsmf.com/publications/ITIL/Overvie w.pdf. Visitado em 13/03/2005.

VAN GREMBERGEN, Wim. Strategies for Information Technology Governance. Idea Group Publishing, 2003. ISBN 1-591140-140-2. WEILL, Peter; Ross, Jeanne W. IT Governance: how top performers manage IT decision rights for superior results. Harvard Business School Publishing, 2004. ISBN 1-59139-253-5.