Segurança da Informação – As organizações dependem das informações armazenadas e processadas no ambiente computacional, mas não desenvolvem controles de proteção da informação considerando pessoas, processos e tecnologia.
E muitos profissionais que ocupam cargos importantes e com o poder de decisão em grandes organizações, ainda pensam a segurança da informação com conceitos ultrapassados. Por isso, convidamos Fernando Ferreira da AuditSafe e colunista do nosso portal para nos ajudar a responder questões importantes sobre o processo de proteção da informação em ambientes eletrônicos e físicos.
CryptoID: Numa avaliação ampla quais são os principais problemas que você encontrou nas empresas em relação à Segurança da Informação?
Fernando Ferreira: Os mais diversos tipos. Desde a falta de controles, por exemplo, o tradicional antivírus, até uma política de segurança básica, falta de controles de acessos adequados.
CryptoID: Diante desses problemas, o que se pode fazer?
Fernando Ferreira: A questão é que neste ambiente não podemos usar o “achômetro”. Precisamos tratar o assunto profissionalmente. Fazer uma adequada gestão de riscos e planejar e priorizar as ações de proteção da informação. A organização precisa ter um processo de proteção da informação funcionando.
CryptoID: Como está o mercado de certificação nas normas internacionais de Segurança da Informação e Riscos, mais especificamente a ISO 27001?
Fernando Ferreira: A AuditSafe tem recebido muitas solicitações sobre o assunto, mas na minha opinião, ainda tem muita empresa que pode adotar estratégias de Segurança da Informação totalmente personalizadas para seu tamanho e orçamento.
CryptoID: As empresas estão buscando orientação de “como” implementar Segurança da Informação?
Fernando Ferreira: Sim. Há muitas dúvidas do que fazer, e na maioria das empresas, a Segurança da Informação ainda é uma das responsabilidades de TI, especificamente, do responsável pela Infraestrutura.
A AuditSafe por ser certificada na norma e, também, pelo fato de ser referenciada pelo BSI para implementar a ISO 27001, é muito procurada para realizar gaps e análises de políticas de segurança, de suas estruturas de TI e SI, realizar programas de conscientização, e também análises de vulnerabilidades / testes de invasão em infra e aplicações. Desenvolvemos um método próprio para isso.
CryptoID: O que se aprende nas universidades não é suficiente pra implementar nas empresas?
Fernando Ferreira: Nas faculdades, a Segurança da Informação é uma das disciplinas do curso de graduação e os alunos tem uma visão muito genérica e rápida do assunto. Entretanto, se o aluno gostou do que foi estudado, minha recomendação é que busque cursos de pós-‐graduação focados em Segurança, desde os relacionados com a Gestão da SI até os cursos mais técnico. A AuditSafe possui um centro de treinamentos com cursos relacionados com SI, riscos, auditoria, Compliance, e também um portal de ensino à distância http://ead.auditsafe.com.br.
Onde se aplica
CryptoID: Aplica-‐se em qual tamanho de empresa? Indústria, Varejo e Serviços?
Fernando Ferreira: Todas as organizações podem ter uma proteção compatível com o seu porte e com o seu tipo de negócio. É tão mais barato aprender com o erro dos outros, mas mesmo assim, alguns gestores somente aprendem quando acontece com a sua organização. Sai caro e em algumas vezes, é um impacto terrível.
Contratação
CryptoID: Quem normalmente patrocina um projeto como esse?
Fernando Ferreira: Geralmente as áreas de TI, apoiadas por alguma diretoria Administrativa, CFO, etc.
CryptoID: Estas soluções são complicadas? Grande Projetos e Grandes Sistemas?
Fernando Ferreira: Muitos gestores desejam implementar Segurança na empresa toda. Em alguns raros casos isso é possível, mas dependendo do porte da organização essa decisão é inviável e quase sempre ineficaz. A ideia é compreender os riscos e definir um escopo inicial para os trabalhos. Tendo a SI implementada, aumentar o escopo gradativamente.
CryptoID: Como se inicia um contrato de implementação de um projeto dessa natureza?
Fernando Ferreira: Basta uma reunião inicial para levantamento de escopo e mapeamento das necessidades do negócio para que possamos medir os esforços necessários para elaboração de uma proposta.
CryptoID: Quais são as situações de atenção que o empresário deveria ter?
Fernando Ferreira: O empresário, na minha visão, deve considerar os reais benefícios de proteger suas informações internas e as de seus clientes. Deve considerar que ter uma Segurança da Informação madura, e consequentemente certificada, pode trazer novas oportunidades de negócios.
CryptoID: O quanto o empresário economiza em retrabalho? Consegue-‐se reverter benefícios aos clientes?
Fernando Ferreira: Sim. Na AuditSafe, certificada na versão mais atual da ISO 27001, conseguimos melhorar diversos processos, convertendo essas ações em melhores honorários para nossos clientes e diminuir custos operacionais.
CryptoID: Tem alguma área da empresa que é contra um projeto dessa natureza?
Fernando Ferreira: Talvez aqueles profissionais que ainda não enxergam SI como um fator competitivo e diferencial no mercado. Além de não compreenderem os benefícios internos reais que SI possui.
Realização do Projeto
Fernando Ferreira: De uma forma geral como se faz esse trabalho? Existe um método padrão?
Na verdade, a AuditSafe possui um método próprio para implementação de projetos desse porte, denominado MESI.
CryptoID: Esse projeto onera muito as pessoas da empresa? Qual o perfil necessário dos colaboradores para prover as informações e depois manter a Segurança?
Fernando Ferreira: Inicialmente requer um esforço, mas depois que os processos estão bem definidos e estabelecidos, todas as atividades passam a fazer parte do cotidiano.
CryptoID: Se aplica em empresas com SAP, Oracle, Totvs?
Fernando Ferreira: Sim, e os próprios ERPs podem fazer parte de um projeto grande de certificação. Inclusive, a realização de trabalhos mais direcionados de GRC, ou seja, mapeamento dos processos financeiros, seus riscos, e perfis de acessos conflitantes.
CryptoID: Quanto tempo demora um projeto como esse?
Fernando Ferreira: Depende do escopo e abrangência.
Sucesso ou Fracasso
CryptoID: Já viu iniciar um projeto desses e a empresa desistir? Quais os motivos e quais foram as consequências?
Fernando Ferreira: Na minha experiência, as empresas que decidem pela Segurança não voltam atrás ou desistem. Sabem da real importância que SI tem e querem maximizar todos os retornos possíveis com o investimento realizado.
Entretanto, um fator que pode contribuir como fracasso é a falta de engajamento dos membros do time responsável. Fator que se aplica em qualquer tipo de projeto.
Os riscos para o sucesso da implementação de um projeto como esse são:
- Falta de um responsável.
- Deficiências na comunicação.
- Falta de um facilitador.
- Falta de clareza dos objetivos e metas do projeto.
- Falta de clareza das responsabilidades dos
CryptoID: Quais são os benefícios de um projeto de sucesso?
Fernando Ferreira: Redução gradativa dos riscos, dos incidentes de Segurança e do vazamento de informações. Conhecimento dos tipos de ameaças mais comuns para foco na prevenção para obter o melhor uso dos recursos corporativos em todos os níveis. Maior divulgação e aderência das políticas internas e das boas práticas, incentivando o uso seguro dos ativos de informação. Popularização dos temas de Segurança como parte essencial do negócio. Aderência às melhores práticas internacionais de Segurança, como a família das normas ISO27000, CobiT e ITIL.
CryptoID: As empresas brasileiras têm investido em segurança da informação como deveriam?
Fernando Ferreira: O ambiente computacional está sendo cada vez mais usado, mas as organizações não têm investido em segurança da informação de uma maneira compatível e adequada com seu porte e com seu tipo de negócio. Mas ainda aquém do que vejo como desejado.
* Fernando Nicolau Freitas Ferreira
Sócio-fundador e CEO da empresa AuditSafe Auditoria e Consultoria em Riscos Corporativos.
- Mestre em Engenharia da Computação (foco em Redes e Segurança da Informação) pelo Instituto de Pesquisas Tecnológicas da Universidade de São Paulo Tecnólogo em Processamento de Dados pela Universidade Mackenzie
- Bacharel em Administração de Empresas pela UniSant’Anna.
- Membro e Conselheiro Técnico da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia – OAB/SP
- Membro da Comissão de Gerenciamento de Riscos Corporativos – IBGC
- Conselheiro Fiscal – Câmara de Comércio Indonésia-Brasil.Fernando foi vencedor do Prêmio de Excelência do Profissional de Segurança da Informação, denominado SECMASTER, na categoria de Melhor Contribuição para o Setor Privado. O concurso foi uma iniciativa do Capítulo Brasileiro da ISSA (Associação dos Profissionais de Segurança da Informação); e foi eleito como um dos 50 profissionais mais influentes na tecnologia de segurança da informação do país, para a 5ª edição do prêmio “A Nata dos Profissionais de Segurança da Informação 2008”.
- Colunista do CryptoID