Plano piloto do LAI
Relatório apresentado pela Comissão de Segurança da Informação (CSI) - Plano Piloto realizado na Coordenadoria de Desenvolvimento, Produção e Suporte (CODEPS) do Tribunal, em 2012.
PLANO PILOTO PARA LEVANTAMENTO DE ATIVOS DA INFORMAÇÃO
1. Introdução
No estágio atual de globalização dos mercados mundiais observa-se uma tendência crescente das corporações em destacar e priorizar os projetos voltados a gestão, com o objetivo de aumentar a eficiência dos negócios. De forma similar, os governos têm investido em gestão pública, visando atender à necessidade crescente de competitividade que as nações precisam alcançar para manterem seus níveis de desenvolvimento, adaptando-se a tais mercados globalizados.
Nesse contexto, a elaboração de diretrizes, planos e ações voltadas à gestão pública são cada vez mais comuns em todas as esferas do Estado Brasileiro. Para assegurar a continuidade e a eficiência dos processos governamentais, os órgãos de controle brasileiros, nas três esferas de poder, têm recomendado que os órgãos da administração direta invistam na segurança das infra-estruturas críticas da informação, sejam elas informações em processos, pessoas ou até instalações físicas especiais. Relativos à segurança da informação, destacam-se a crescente convergência tecnológica, a elevada interconexão de redes e sistemas, e sua interdependência.
Para que cada unidade administrativa entenda o valor da implantação de uma Política de Segurança da Informação (PSI), é necessário compreender que não se trata apenas de um documento, cujo valor nasce na data de sua publicação. O produto mais importante que resulta da implantação de uma PSI não é o documento em si, que terá o papel de marco e de memória, mas a transformação que ocorre em cada área interna, ao longo do processo.
É exatamente quando cada área precisa verificar as informações com que lida, o valor de cada informação, o quão vulneráveis tais informações estão, é nesse momento que se cria o desejo interno de modificar os processos da área, tendo como alvo a continuidade do negócio público. A PSI em si resta como subproduto natural dessas mudanças positivas, sua formalização.
No intuito de implantar a sua Política de Segurança da Informação, o Tribunal Regional Eleitoral da Bahia partiu com duas ações estratégicas: (i) a inclusão da meta Implantação da Política de Segurança da Informação em seu plano estratégico plurianual e (ii) a criação da Comissão de Segurança da Informação (CSI), composta de integrantes de diversas áreas e responsável por tomar as medidas necessárias para o cumprimento dessa meta estratégica, no prazo definido. Tais ações estão em consonância com a Res. TSE 22.780/2010 e com recomendações expressas do CNJ e do TCU.
Com a CSI instituída, a primeira providência tomada por esta comissão foi se capacitar sobre segurança da informação. Em seguida, sob a orientação da Res. TSE 22.780/2010, foram definidas as metas plurianuais para a implantação da Política de Segurança da Informação, associadas ao Plano Estratégico do TRE-BA. A meta para 2012 é Realizar um Plano Piloto de Levantamento de Ativos da Informação na CODEPS.
Levantamento de ativos da informação é a primeira fase para a implantação de uma PSI, onde os ativos de informação são elencados e associados formalmente aos seus respectivos responsáveis. Entretanto, esta pode ser uma tarefa difícil, visto que será o primeiro contato das áreas do Tribunal com os conceitos formais de Segurança da Informação. Por isso, a primeira meta da CSI é a realização de um plano piloto de levantamento de ativos da informação que visa sobremaneira treinar as áreas envolvidas e a CSI nesta tarefa.
O plano piloto será realizado formalmente e terá tarefas padronizadas para as áreas, sob o acompanhamento contínuo de integrantes da CSI. A área escolhida para o plano piloto foi a Coordenadoria de Produção e Suporte (CODEPS). Espera-se que, ao final do plano piloto, a metodologia aplicada para levantamento de ativos da informação esteja madura o suficiente, e a CSI treinada o suficiente, para que seja realizado o levantamento de ativos da informação nas demais áreas do TRE-BA.
O propósito deste documento é viabilizar uma metodologia de levantamento de ativos da informação, no formato de plano piloto, para ser aplicada pela CSI na CODEPS. Este documento foi desenvolvido baseado na metodologia de Levantamento de Ativos da Informação da Universidade Cernegie Mellon (STEVENS, 2005). Além da Introdução, a Seção 2 define a metodologia, com a visão geral do plano piloto, os macro-processos envolvidos no levantamento de ativos da informação e propicia instrumentos para o mapeamento e o acompanhamento de ativos da informação, com um questionário que objetiva facilitar a identificação, o registro e a gestão dos ativos da informação.
2. Metodologia
2.1. Visão Geral
Segundo a ABNT (2005), Segurança da Informação (SI), como parte integrante do processo global de Gestão de Segurança, tem como objetivo proteger a informação contra ameaças no intuito de garantir a continuidade, minimizar os danos e maximizar os investimentos e oportunidades do negócio. A segurança da informação é obtida com a utilização de controles: políticas, práticas, procedimentos, estruturas organizacionais e infra-estruturas de hardware e software. É caracterizada pela preservação da disponibilidade, integridade, confidencialidade e autenticidade da informação, e visa preservar nas empresas a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais.
Para que uma organização identifique seus requisitos de segurança, ela deve basear-se em três pilares. O primeiro é o conjunto dos princípios, objetivos e necessidades para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. O segundo é a legislação vigente, os estatutos, as regulamentações e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender. E o terceiro, oriunda das duas anteriores, são os requisitos de segurança derivados da avaliação de riscos, processo responsável por identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
Em tese todas as atividades de uma organização envolvem risco. As organizações que gerenciam o risco buscam identificar, analisar, avaliar e tratar os riscos identificados, a fim de atender aos critérios e requisitos necessários à continuidade de suas operações.
A Gestão de Riscos (GR) quando implantada e mantida possibilita:
a) Aumentar a probabilidade de atingir seus objetivos;
b) Encorajar a gestão pró-ativa;
c) Identificar e tratar os riscos através de todo o Tribunal;
d) Melhorar a governança;
e) Melhorar os controles;
f) Melhorar a eficácia e eficiência operacional;
g) Minimizar perdas;
h) Aumentar a resiliência da prestação de serviços do Tribunal.
Definir o escopo de aplicação da Gestão de Riscos de Segurança da Informação é, portanto, necessário a fim de delimitar seu âmbito de atuação. Esse escopo pode abranger o Tribunal como um todo, um segmento, um processo, um sistema, um recurso ou um ativo de informação.
De forma simplificada as ameaças à segurança da informação se concentram em dois pontos: as vulnerabilidades existentes nos ambientes onde a informação é processada, armazenada ou transmitida e as ameaças externas e internas à segurança da informação nestes ambientes. É importante compreender aqui que armazenamento, processamento e transmissão são verbos que podem sugerir informações digitais, mas na verdade eles valem para um documento em papel, em que, por exemplo, um processamento poderia ser a adição de um parecer baseado nas informações antes contidas no papel. Independentemente destas definições entende-se que uma Gestão de Riscos de Segurança da Informação deve contemplar as seguintes ameaças potenciais:
a) Terremotos b) Furacões ou Tornados c) Inundação d) Falta de Energia e) Problemas no Transporte Público f) Greves g) Pandemias h) Escândalos i) Vazamento de Informações |
j) Incêndios k) Contaminação Química l) Distúrbios Sociais m) Bombas n) Terrorismo o) Falhas de Hardware p) Falhas de Software q) Vírus e Worms r) Morte de Pessoa-Chave |
Ademais, deve-se compreender que a Gestão de Riscos tem caráter preventivo e por isso os riscos sempre existirão, por mais que se empreguem esforços para minimizá-los. Assim, a idéia aqui é manter o bom senso para permitir a operacionalização da segurança, considerando:
a) O escopo do que se vai manter sob o risco gerido, contendo tudo o que deve ser gerenciado e nada a mais. O que estiver fora do escopo é considerado risco assumido. Assuma que sempre haverá riscos assumidos num plano de Gestão de Riscos;
b) Planos de proteção que sejam compatíveis com o valor (mesmo que imaterial) dos ativos e com o risco associado ao ativo;
c) Gestão de Riscos, assim como a Gestão de Segurança da Informação é um processo iterativo e evolutivo. Não há o plano perfeito na primeira vez. Não há listagem de ativos da informação completa na primeira vez e assim por diante.
Por fim, para que um ativo de informação esteja protegido de forma adequada é necessário que se identifiquem as ameaças potenciais e os possíveis impactos aos seus ativos, processos ou pessoas, caso estas ameaças se concretizem. Mesmo ativos da informação já identificados e protegidos podem sofrer sinistros. Neste caso, entra em ação o Plano de Continuidade de Negócios, que será produzido em outra etapa e também está previsto como meta do TRE-BA.
2.2. Macro-Processos
O Levantamento de Ativos de Informação é um processo iterativo e evolutivo, em três etapas: (i) identificação e classificação de ativos de informação, (ii) identificação de potenciais ameaças e vulnerabilidades e (iii) avaliação de riscos.
O produto de cada atividade servirá de insumo para as atividades subseqüentes, e o resultado final do processo deverá proporcionar à Administração condições para priorizar quais ativos de informação deverão receber ações de controle, visando o tratamento de riscos para a redução dos impactos ao negócio público. Além disso, o produto final do processo irá subsidiar as atividades de identificação e classificação de ativos de informação e identificação de potenciais ameaças e vulnerabilidades quando o novo ciclo do processo for executado.
2.2.1. Identificação e Classificação de Ativos da Informação
O crescente incremento da complexidade técnica e ambiental dos negócios representa grandes obstáculos e desafios para aqueles que necessitam proteger seus ativos de informação. Esses ativos, por sua vez, sofrem constantes processamentos e combinações, gerando outros recursos cada vez mais complexos e inter-relacionados. É tênue a linha entre posse e custódia dos recursos de informação, pois a informação flui livremente por toda a organização e frequentemente ultrapassa suas fronteiras chegando a outros participantes, como: colaboradores, clientes, fornecedores e concorrentes. O processo de Identificação e Classificação de Ativos de Informação auxilia a organização a conhecer, valorizar, proteger e manter seus recursos em conformidade com os requisitos legais e do negócio.
De forma geral, o processo de Identificação e Classificação de Ativos de Informação tem como objetivos prover a uma organização: (i) um entendimento comum, consistente e inequívoco das fronteiras dos ativos, (ii) a identificação clara de seu(s) responsável(is), (iii) um conjunto completo de informações sobre os requisitos de segurança de cada recurso, (iv) uma descrição de onde o bem está contido, é processado e é transportado e (v) a identificação do valor que o ativo representa para o negócio. Por fim, o processo cria condições para que se possa desenvolver e aplicar planos de gerenciamento de riscos sobre tais ativos.
O processo de Identificação e Classificação de Ativos de Informação no TRE-BA será composto por seis atividades:
1. Coletar informações gerais;
2. Definir as informações dos ativos;
3. Identificar o(s) responsável(is);
4. Identificar os contêineres dos ativos;
5. Definir os requisitos de segurança;
6. Estabelecer o valor do ativo de informação.
Cada atividade do processo coleta informações adicionais sobre os recursos, as quais podem ser refinadas conforme novas percepções identificadas nas atividades seguintes. Quando isto acontece, o processo dever ser reiniciado com cada ativo de informação para garantir precisão e a consistência entre as atividades.
2.2.2. Atividade 1 – Coletar Informações Gerais
O objetivo desta atividade é definir como será a estratégia da coleta das informações, quem serão os responsáveis e qual a previsão de conclusão dos trabalhos.
É natural que os recursos da informação evoluam com o tempo; desta maneira, os perfis gerados pelo mapeamento dos ativos da informação precisam ser constantemente atualizados ou até mesmo recriados. Além disto, pode ser necessário investigar ou saber a história de um ativo.
2.2.3. Atividade 2 – Definir as Informações dos Ativos
A finalidade desta etapa é caracterizar o escopo da atividade de mapeamento, ou seja, antes de se executar qualquer tarefa, a organização deve compreender e concordar sobre quais ativos serão considerados e qual o nível de profundidade das informações coletadas.
O nível de detalhe das informações dos ativos, definido pela organização, deve ser suficiente para determinar o conteúdo do recurso, suas fronteiras, o(s) responsável(is), o valor e os requisitos de segurança.
Deve-se utilizar o bom senso e ser consistente na definição dos ativos para ajudar a reduzir a complexidade na coleta das informações.
A definição do recurso da informação deve esforçar-se para satisfazer exigências mínimas de:
· Consistência (i.e., não muda durante curtos períodos de tempo);
· Clareza (i.e., não é ambígua ou vaga, sujeitando a dupla interpretação);
· Entendimento universal (i.e., está acima de linguagens e tecnologias);
· Aceitação (i.e., é aceitável conforme requisitos do negócio);
· Materialidade (i.e., é clara a respeito de como o recurso se apresenta - papel, mídia magnética, etc.).
É importante, quando possível, envolver o responsável pelo recurso e outras partes interessadas no processo da definição. Isso assegurará a exatidão e a consistência da definição e da aceitação da atividade. Em alguns casos o responsável não poderá ser determinado até que o recurso seja totalmente definido. Nestes casos, a definição do recurso da informação deve ser revista com o responsável após este ser identificado na Atividade 3.
2.2.4. Atividade 3 – Identificar o(s) Responsável(is)
O responsável por um ativo de informação deve ser uma parte interessada da organização, legalmente instituído, responsável por:
· Descrever o recurso da informação, conforme atividade 2;
· Definir as exigências de segurança do recurso da informação, conforme atividade 5;
· Comunicar as exigências de segurança do recurso da informação a todos os usuários;
· Assegurar-se de que as exigências da segurança estejam cumpridas através de monitoramento;
· Projetar uma estratégia apropriada de proteção do ativo de informação;
· Determinar os riscos que possam afetar os ativos de informação;
· Desenvolver as estratégias de tratamento (contingenciamento) de riscos.
A definição da posse de um ativo de informação deve estar associada ao papel ou ao cargo do responsável dentro da organização e não a uma pessoa específica.
2.2.5. Atividade 4 – Identificar os Contêineres dos Recursos
A finalidade desta etapa é listar todos os recipientes em que um ativo de informação é armazenado, transportado ou processado e quem são os responsáveis por manter estes recipientes. Pode ser executada paralelamente à Atividade 3, porque não há nenhuma dependência entre as duas atividades.
Num processo de avaliação de riscos, a identificação dos contêineres é essencial para identificar os riscos associados à informação. Os ativos de informação são protegidos a partir dos seus respectivos contêineres. É protegendo o contêiner que se inicia a proteção ao ativo de informação. Da mesma forma, o ativo de informação herda os riscos aos quais seus contêineres estão sujeitos. De maneira geral, os contêineres podem ser subdivididos em quatro categorias:
· Sistemas e aplicações;
· Hardwares;
· Pessoas;
· Outros.
Algumas questões básicas podem ser úteis para identificar contêineres:
· Qual sistema de informação ou aplicação usa ou processa determinada informação?
· Em quais plataformas (software) os ativos de informação podem ser encontrados?
· Que pessoas têm acesso à informação? Essas pessoas podem ser agrupadas?
· Algum processo automático depende do recurso da informação?
· Que tipos de mídias são utilizados para armazenar a informação?
· A informação é frequentemente impressa, quem pode imprimi-la e onde as cópias impressas são armazenadas?
· Pessoas externas à instituição têm acesso à informação?
· Existem cópias de segurança externas em contratos com terceiros?
· Existem locais de armazenamento físico da informação (papel, mídias magnéticas, etc.)?
2.2.6. Atividade 5 - Definir os Requisitos de Seguranças
Nesta atividade, os requisitos de segurança da informação devem ser definidos por meio de critérios que atendam a disponibilidade, integridade, confidencialidade e autenticidade dessa informação. Se um responsável por um ativo de informação não for capaz de apropriadamente definir os requisitos de segurança desse ativo, não será possível protegê-lo efetivamente.
Podem ser fontes primárias de requisitos de segurança: acordos, contratos, leis, relacionamento com outros ativos de informação, expectativas das partes interessadas e exigências do serviço.
2.2.7. Atividade 6 - Estabelecer o Valor do Ativo de Informação
Antes que os riscos de um ativo de informação possam ser devidamente avaliados, um valor, tangível ou não, deve ser determinado ao ativo.
O responsável pelo ativo de informação e as partes interessadas devem determinar o valor do ativo para a instituição. O valor do ativo deve refletir o quão ele é importante para que a organização alcance seus objetivos. Sob outro prisma, as vezes é mais fácil definir o valor do ativo quando se considera o quão impactante será sua indisponibilidade.
Normalmente o valor do ativo de informação não está nele mesmo, mas no processo de negócio que ele suporta.
Dado o valor, será mais fácil para a administração do Tribunal analisar o custo/benefício para proteger o ativo.
2.3. Fronteiras dos Ativos da Informação
A informação pode ser entendida como a comunicação da inteligência ou do conhecimento do serviço.
Os dados – elementos utilizados como insumos para cálculos, discussões e raciocínios – são componentes essenciais da informação.
A transformação dos dados em informação ocorre da necessidade da organização em mesclar tais dados num certo contexto, o qual agrega valor.
O contínuo ciclo que move os dados através do processo de criar novas informações resulta no desafio de determinar os limites dos recursos de informação.
A determinação de novos requisitos de segurança pode despertar os seguintes questionamentos:
· O novo ativo de informação é substancialmente diferente daqueles os quais lhe deram origem? É realmente “novo”?
· Quem é o responsável pelo novo recurso? É o mesmo dos recursos originários?
· Quais são os requisitos de segurança do novo recurso de informação? A simples combinação dos requisitos de segurança dos ativos originários é suficiente para manter o novo ativo ou é necessário definir um novo requisito?
· Os novos ativos requerem tratamento mais detalhado ou mais simplificado do que os ativos anteriores?