Qual o grau de maturidade da sua empresa com relação à Segurança da Informação ?


Quando imaginamos a implantação de mecanismos, processos, políticas, normas e tudo referente à Segurança da Informação, um dos primeiros passos que devem ser tomados é identificar em que nível de maturidade nossa empresa se encontra, para que assim possamos desenvolver de forma mais realista um trabalho de implementação de um sistema de segurança da informação.

Claramente temos no mercado hoje uma divisão entre empresas que atuam de forma mais reativa, e estas são as empresas que menos possuem maturidade em segurança da informação e, do outro lado estão as empresas que atuam mais de forma proativa, e estas são as empresas que mais "entendem" da importância da segurança da informação para os seus negócios. Este fato de nada tem haver com o tamanho ou mesmo o ramos destas empresas, e muitas vezes chegamos a ver empresas que nada tem haver com tecnologia muito mais maduras em segurança da informação do que as empresas de tecnologia.

Para que possamos entender isso de uma forma mais completa, devemos primeiro imaginar que segurança da informação é muito mais do a simples aplicação de técnicas e soluções tecnológicas. Segurança da informação envolve basicamente pessoas e processos, além de tecnologia é claro. Esse aspecto esta claramente declarado no conjunto de práticas de segurança que formam a ABNT ISO/IEC 27002.

A definição de um modelos de maturidade dentro da empresa expressa a vontade da empresa em identificar a sua posição com relação a uma medição padronizada, e assim poder identificar quais serão os passos necessários para que possa alcançar o tão desejado ponto de evolução na segurança da informação.

Com a definição clara do modelo, podemos ter como benefícios a identificação do "GAP" entre a realidade e o desejo, identificar e estimar os benefícios que podem ser conseguidos com a evolução dos padrões de segurança da informação além de escolher as melhores técnicas e processos que serão usados para a implementação das soluções para que desta forma possamos aumentar o nível de maturidade.

Claro que de uma forma natural, seria o ideal que o crescimento da maturidade das empresas se desse por um planejamento. No entanto, o que vemos muito no mercado é que algumas empresas esperam que algo de sério aconteça para que só assim possa começar a pensar de uma forma mais sistémica e clara na área de Segurança da Informação, que até aquele momento era vista como uma área onde somente eram feitos investimentos sem que os gestores pudessem entender a importância e os resultados que um melhor planejamento poderia trazer para a empresa.

Para identificarmos em qual nível nossa empresa se encontra, podemos usar uma das muitas metodologias que podemos encontrar no mercado, das mais simples às mais complexas, podemos usar a CMMI, modelos criados pelo ISACA e usados no COBIT, modelos criados pelo NIST ou mesmo modelos criados por entidade independentes como é o caso do BSIMM.

O Modelo do NIST não é bem um modelo, e sim uma lista com as etapas que um programa de segurança pode ter. Mas pode ser usado como uma boa base para entendermos onde estamos e onde podemos chegar em nossa estrutura de segurança.
Independente do modelo adotado, podemos notar que na grande maioria temos 5 fases bem distintas e que podem ser usados como pontos de referência para nossa medição.

A primeira fazer é chamada de fase reativa, pois nesta fase a empresa apenas toma as ações reativas ao processo. A empresa esta muito mais focada em soluções tecnológicas, notadamente formada pelo trio firewall, backup e sistemas de anti-vírus. Nesta fase a maioria das empresa sofre ataques e perda de dados que dificilmente são identificados, pois a falta de melhores definições impedem a identificação dos problemas.

Assim que alguns aspectos tecnológicos são resolvidos, também encontramos nesta fase o processo de levantamento de vulnerabilidade, geralmente feito de forma automática e sem muita análise no final, entregando basicamente o resultado obtido por uma ferramenta. Esta também pode ser chamada a fase de "Apagar Incêndios".

Na segunda fase, a empresa já "aprendeu" algumas coisas sobre segurança da informação, e entendeu que não é apenas com tecnologia que ela vai melhorar a sua segurança, e assim passa a olhar para uma outra dimensão da Segurança da Informação, a DOCUMENTAÇÃO.

Nesta fase as empresas passam a buscar complementar os seus controles tecnológicos com documentação. Aqui há a participação das pessoas e a necessidade de uma normatização, uma melhor comunicação e o respaldo jurídico são mais evidentes, e é aqui que muitas empresas começam a sentir os limites de suas equipes quando chegam nesta fase. Geralmente é nesta fase que as empresas passam a contratar consultorias ou pessoas especializadas para ajudar no processo de melhoria da maturidade da empresa.

Mesmo com um melhor conhecimento sobre as necessidades de outros aspectos que não somente o tecnológico, as empresas ainda pecam no quesito participação. É comum que nesta fase as empresas ainda continuem achando que mesmo os processos precisarem de pessoas de RH, Jurídico e Gestão, a grande maioria da documentação será criada sem a participação destas figuras, o que pode entregar ao sistema uma documentação fortemente baseado nos desejos das áreas técnicas que nem sempre possuem os conhecimentos desejados e necessários para conduzir este processo.

A terceira fase é a chamada de fase da Análise de Risco, onde se observa que o processo de implementação de segurança da informação não pode ser feito sem que os riscos a que o negócio esta sujeito sejam conhecidos e mensurados. 

Aqui, basicamente podemos dizer que existe uma mudança de postura da empresa, pois diferente do que acontece com a avaliação de vulnerabilidades, quando realizamos uma Análise de Risco a fazemos tendo como base a importância dos ativos de informação para o negócio, o que nos leva a ter que identificar os processos de negócio nossa empresa tem, tendo feito esta identificação, o alinhamento dos objetivos de negócio com a área de TI.

Nesta fase passamos a dar mais valor ao processo de priorização de investimentos baseados na real necessidade do negócio, e não apenas no "achismo" das primeiras fases. Aqui nesta fase começam a surgir os primeiros indicadores, valores que podem ser usados como uma forma de medição da evolução do processo de segurança da informação.

Algumas literaturas gostam de colocar estas duas etapas separadas, criando assim a quarta e a quinta fase do processo de maturidade. Aqui eu discordo um pouco, acredito que as fases de Gestão de risco ( a quarta) e a Gestão da Segurança da Informação (quinta) sim são duas etapas separadas mas, a Gestão de Segurança da Informação seria a união de um processo de Gestão de Vulnerabilidades, Documentação, Análise de Risco e Gestão de Risco, assim meu modelo teria apenas 4 etapas, sendo a Gestão de Segurança da Informação um processo único.

Mas, quando a empresa chega à etapa de Gestão de Risco, a empresa passa a entender qual o seu nível aceitável de risco, como esse risco deve ser mitigado, quais controles serão implementados, e quais tipos de controles, sem que sejam necessariamente técnicos.

O processo de Gestão de Risco é claramente uma evolução no nível de maturidade de Segurança da Informação. É neste momento que a empresa vê com mais clareza a necessidade de adotar um padrão e começa a buscar ou a criar este padrão, e muitas buscam na ISO/IEC 27002 um modelo de controles que devem ser aplicados à sua estrutura.

Nesta etapa fica clara a necessidade para a empresa de criação de novos planos como os de Continuidade de Negócios, plano este onde a maior preocupação é com o objetivo de negócio da empresa, e como esta empresa pode continuar atuando no mercado caso um evento venha a interferir nas suas atividades.

O problema é que ainda assim, podemos encontrar empresas que vão se identificar em vários momento de maturidade, e isso é perigos, pois pode levar a empresa a acreditar que se encontra no nível mais alto "encontrado". Gosto de salientar que uma empresa só passa por um nível quando este nível é mostrado de uma forma segura. Precisamos identificar que os vários passas são seguidos e todos são feitos de forma "perfeita" onde por exemplo o processo de análise de vulnerabilidade é realizado da forma correta e não apenas a entrega de um relatório, que o processo de documentação é feito de forma correta com períodos de avaliação e renovação de documentação e assim por diante, não adianta uma empresa um dia ter feito uma análise de risco, e nunca mais ter realizado uma análise sobre isso e achar que seu nível de maturidade é 4.

Claro que este texto não é e nem tem a pretenção de ser um texto completo sobre maturidade, o que tentei fazer é apenas trazer para o foco a necessidade de empresas aprenderem um pouco mais sobre as suas características de maturidade, proporcionando assim a criação de um "roadmap" para melhorar os seus processos de segurança da informação.



[NIST] Security Maturity Levels
[BISMM] Building Security In Maturity Model





Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.