Estratégia e segurança de informação

O fato da segurança da informação ser fundamental para as operações das empresas, já é consolidado e exaustivamente debatido em qualquer bibliografia, assim como a importância e a necessidade de controlar e preservar as informações não autorizadas de ataques de hacker.

O que gostaria de passar nesta publicação é a importância de tratar a segurança da informação no nível estratégico das organizações e não somente deixar essa tarefa para as equipes técnicas especializadas.

Para que possamos estabelecer o grau de importância de cada informação da empresa, é necessário avaliar o dano que a sua perda, ou o vazamento, poderá afetar as operações ou os negócios. Essa análise deve ser feita durante o planejamento estratégico da empresa.

O planejamento estratégico, que as organizações realizam periodicamente, se destina a uma reavaliação crítica da sua situação atual e o estabelecimento de objetivos para os próximos anos. É nesse planejamento que se estabelece objetivos de lançamento de novos produtos, entrada ou saída de mercados, aquisições, expansões e todos os demais objetivos que afetam a organização como um todo. (FOINA,2013).

Um planejamento estratégico é estabelecido em três etapas básicas:

  • Etapa de diagnóstico: onde é analisada criticamente a situação atual da organização em relação aos objetivos proposto anteriormente;
  • Etapa de prospecção: são desenhados os cenários futuros para o ecossistema da organização e estabelecidos novos objetivos estratégicos para os próximos anos
  • Etapa de elaboração de planos: os planos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, recursos humanos, tecnologia, produção,etc).

Posteriormente os planos de ações receberão metas objetivas e orçamentos necessários para a sua realização (Da VEIGA,2010).

Paulo Rogério Foina, Professor e físico com mestrado e doutorado em informática, propõe uma escala de cinco níveis de sensibilidade a ser aferida para cada conjunto de informações referentes a uma mesma entidade:

  • Nível 1 – Informação Pública: Informação de fontes públicas, produzida internamente pela empresa mas que tem interesse público, essas informações não precisam de controle de acesso e de distribuição. Apenas deve-se cuidar para que elas não sejam danificadas ou alteradas. São exemplos: Dados de balanço de empresas de capital aberto, lista de produtos, notícias sobre a empresa.
  • Nível 2 – Informação Restrita: Informações adquiridas de terceiros com cláusulas de sigilo mas que outras empresa também podem adquirir, ou que foi produzida pela empresa e que tem interesse restrito à ela. Essas informações se forem vazadas, podem comprometer a imagem da organização mas não sua operação. São exemplos: relatório de consultoria sobre empresas concorrentes, dados pessoais dos funcionários e executivos da empresa, relatos de defeitos de produtos e serviços.
  • Nível 3 – Informação sigilosa: Informações obtidas com exclusividade de terceiros, ou que foi produzida pela empresa e que trata de decisões, processos ou produtos críticos para a sua operação. Essas informações, se vazadas ou danificadas, podem gerar decisões erradas e prejudiciais para operação da empresa ou viabilizar o lançamento de um novo produto ou serviço. São exemplos: relatórios de investigação de práticas concorrenciais ilegais, detalhes sobre campanhas de lançamento comercial, detalhes sobre planos de fusão, aquisição ou fechamento de empresa.
  • Nível 4 – Informação secreta: Informação referente a detalhes de produtos e serviços que estão em processo de desenvolvimento ou, decisões sobre significativas alterações do valor patrimonial da empresa. Essas informações, se vazadas ou danificadas, podem comprometer o protagonismo no lançamento de um novo produto ou ainda permitir que concorrentes o lancem antes da empresa. São exemplos: detalhes de produtos e serviços em desenvolvimento, detalhes sobre a negociação de compra ou venda de empresas ou filiais, relatórios sobre falhas graves de produtos, serviços ou processos internos.
  • Nível 5 – Informações ultra secretas: Informações sobre atos e fatos da organização cujo acesso é limitado apenas à mais alta direção executiva e seus acionistas. Compreende informações sobre segredos industriais que diferenciam a empresa de seus concorrentes. São exemplos: detalhes sobre operações ilícitas ou de alto risco jurídico, segredos industriais sobre componentes, insumos ou processos de produção dos principais produtos da empresa ainda não patenteados ou protegidos por lei.

As informações de níveis 1 e 2 não precisam ser tratadas pelo nível estratégico da empresa, bastando somente a proteção tradicionais das áreas técnicas. Já as demais devem ser consideradas no planejamento estratégico, pois elas implicam em despesas significativas e riscos a serem mitigados e compartilhados pela alta direção. As informações de nível 5 devem ficar fora da área corporativas, de preferencia não documentadas sob qualquer meio ou formato.

A separação das informações nesses níveis de sensibilidade permite que sejam planejados investimentos de salvaguardas e de proteção adequados para cada uma delas, reduzindo assim os custos totais e permitindo a atribuição de responsabilidades explícitas para as pessoas que as manipulam (DOHERTY, 2005)

Podemos utilizar uma tabela para o planejamento das ações de proteção e salvaguardas das informações, em que possa colocar os conjuntos de informações de acordo com o seu nível de sensibilidade, nos campos ao lado as ações de proteção, ações de controle de acesso (onde que as ações precisam ser feitas para garantir o sigilo e integridade em cada um dos níveis de sensibilidade), dano potencial, ações de TIC e custos estimados.

Lembrando que uma mesma ação de TIC pode atender a várias ações de proteção e de controle. Quando isso acontece, o curso dessas soluções pode ser compartilhado pelas ações estratégicas correspondentes aumentando o retorno financeiro da sua implantação. A estimativa de dano potencial corresponde ao valor necessário para corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das informações.

As ações de proteção e controle de acesso devem ser ações de nível estratégicas que definam parâmetros gerais para proteger as informações de contra danos e vazamentos não autorizados. Cada uma dessas ações será posteriormente desdobrada em ações de TIC capazes de implementar essas ações estratégicas.

Cada um das ações de TIC deve ser avaliada e ter um custo estimado para sua implantação, assim como, a cada conjunto de informações, deve ser estabelecido um valor decorrente do dano em caso de seu vazamento ou alteração indevida. A comparação entre o valor do potencial dano versus o custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se implementar as ações preconizadas.

Respaldo da alta direção da empresa

A análise tem como objetivo o reconhecimento da alta direção da empresa da importância dos investimentos em SI para a organização. Sem essa explicitação fica difícil para o gestor de TIC justificar os investimentos e gastos em ferramentas de segurança.

A alta direção das organizações não precisa conhecer tecnologia mas deve saber muito bem como avaliar investimentos e os retornos financeiros esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas necessidades orçamentárias para oferecer a segurança desejada pela organização.

Referências:

FOINA, P.R, Tecnologia da informação: Planejamento e gestão, 3° edição, Ed. Atlas, 2013

DOHERTY, N.F, FULFORD, H., Aligning the information security policy qwith the stracegic information system plan, Computer & Security, 2005, Vol. 25

Da VEIGA, A., ELOFF, J.H.P., A framework and assessment instrument for information security culture, Computers & Security, 2010, Vol. 29