brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Controles de TI e Segurança de Informações

Por Bruce Moulton

ID do Artigo: 3522
30 de março de 2004
Introdução
‘Considere realizado o que foi avaliado’
Uma paisagem de desafios
Promovendo uma cultura de ‘monitoração operacional’
Mas como efetivar tal cultura?
Conclusão
Links Relacionados
Para que seja efetivo, o controle de TI deve incluir a supervisão e a proteção dos controles de segurança. Este artigo aborda as razões por que as instituições financeiras devem considerar a promoção de uma cultura de “monitoração operacional”.

Introdução
Poucas palavras são usadas tão livremente nos círculos financeiros atuais quanto “controle”. Se pensarmos bem, nenhuma discussão sobre os escândalos corporativos recentes deixa de citar a falta de um “controle adequado” nas várias empresas mencionadas. Mas o que querem mesmo dizer sobre controle é quase sempre um pouco vago. O mesmo pode ser dito sobre o controle de TI, o foco principal deste artigo; com freqüência esse assunto é tratado sem a importância que merece. Como foi observado por um pesquisador da Gartner Inc, poucas expressões provocam tanta confusão:

“Em um período de tempo extremamente curto, a expressão ‘controle’ tem sido amplamente utilizada com relação à conformidade, auditoria, políticas, decisões, padrões, portfólio de serviços, investimentos, opções de recursos, funções e responsabilidades do gerenciamento. Em outras palavras, tem se tornado uma expressão usada para quase todos os problemas ou atividades no mundo de negócios e no gerenciamento de TI.”

Apesar da confusão sobre a definição de “controle” prevalecer, eu afirmaria que, apesar do controle de TI ser muito importante, ele tem atingido um nível de importância muito mais alto do que o necessário, devido em parte ao clima regulamentar atual. E além disso, na minha opinião, o controle de TI não pode ser efetivo, a menos que inclua a supervisão e a proteção dos controles de segurança das informações.

‘Considere realizado o que foi avaliado’
Apesar de haver várias definições para o controle de TI, penso que podemos concordar com a proposta do Governance Institute que, basicamente, determina dois pontos: “Adição das vantagens de TI à empresa e mitigação dos riscos de TI. O primeiro é conseqüência do alinhamento estratégico de TI com a empresa. O segundo resulta da incorporação da responsabilidade dentro da empresa. Ambos precisam ser suportados por recursos adequados e avaliados para garantir que os resultados sejam obtidos.”

A palavra-chave aqui é “avaliado” e agora explicarei o porquê. É muito útil, apesar de simples, pensar em controle de TI como um sistema de loop fechado (ou o que alguns chamam de “ciclo contínuo da vida”). Quando uma empresa alinha a TI com os negócios, ela começa por definir um comportamento desejado, ou a “forma como as coisas devem ser”. Em seguida, ela implementa essa estratégia com seus funcionários, processos e tecnologias. Como a empresa pode garantir que a implementação está produzindo o comportamento desejado? O ditado “Considere realizado o que foi avaliado” é bastante aplicável neste caso. O contrário também se aplica: “O que não foi avaliado, provavelmente não foi realizado.” Desta forma, a implementação de qualquer estratégia importante deve ser monitorada regularmente (alguns recomendam monitoração contínua), para garantir que o resultado desejado está sendo obtido. Como última medida, a empresa fecha o loop, atuando de acordo com os resultados da monitoração. Ou os resultados da adoção são registrados para o relatório de gerenciamento, ou os controles são alterados para atingir os objetivos, ou ainda os objetivos em si são alterados.

Como todos os profissionais de segurança de informações já sabem, a monitoração e avaliação estão (ou devem estar) no centro de tudo o que fazemos. Isto ocorre porque os controles podem se deteriorar com o tempo ou nem sempre são implementados como deveriam. Um sistema de gerenciamento de segurança corporativa permite que as empresas definam, avaliem e façam relatórios sobre a compatibilidade dos sistemas de segurança, as políticas de segurança corporativas predefinidas ou as regulamentações do governo. E o que funciona para a monitoração de segurança funciona também para a monitoração de riscos operacionais, pois a segurança é um dos principais componentes de risco em uma empresa. Isso é hoje mais importante do que nunca, como mostra esta breve descrição da paisagem regulamentar.

Uma paisagem de desafios
Considere os seguintes desenvolvimentos regulamentares recentes, cada um dos quais batendo em uma “tecla da responsabilidade”:

  • O Sarbanes-Oxley Act de 2002 requer que os executivos seniores de quase todas as empresas relacionadas nas bolsas de valores dos Estados Unidos verifiquem seus controles internos e certifiquem a precisão de suas declarações financeiras. A segurança das informações está emergindo como uma base imprescindível para a conformidade e, sem medidas de segurança adequadas, as empresas não podem fechar seus livros contábeis ou seus controles internos.
  • O Basel II Accord, que será publicado em breve, considera explicitamente os riscos operacionais dentro dos cálculos do total de requisitos de capital. E o faz com um importante detalhe: quanto mais eficiente for o esforço de gerenciamento dos riscos operacionais de uma instituição, menos capital será necessário poupar para emergências. Espera-se que as instituições desenvolvam uma infra-estrutura que avalie e quantifique os riscos operacionais, e essa avaliação deve incluir os elementos de risco das informações como variáveis explícitas.
  • Como mostram outras leis e regulamentações recentes, desde o Gramm-Leach-Bliley Act até o Security Breach Information Act da Califórnia, a sociedade está legislando várias expectativas de segurança das informações para as organizações (tanto públicas como privadas). Os gerentes que não avaliam a conformidade de suas empresas se expõem a uma variedade de “surpresas” desagradáveis.

Como observou o Robert Frances Group: “as diretivas de controle corporativo estão refletidas na legislação recente. Apesar da legislação não abordar os problemas de tecnologia em si, toda diretiva corporativa terá um forte efeito em TI. Além disso, numa época em que a tecnologia é crucial para as empresas, o controle corporativo fica incompleto sem o controle de TI adequado.”

Promovendo uma cultura de ‘monitoração operacional’
Há algum tempo, na época do Basel II Accord, escrevi um artigo sobre a “cultura de risco”(em inglês), e essa mesma idéia aparece de forma evidente em recentes artigos COSO (Committee of Sponsoring Organizations of the Treadway Commission) sobre o gerenciamento de riscos corporativos. Uma “cultura de risco” implementa a idéia de que o gerenciamento de riscos deve ser um elemento natural, integrado aos processos operacionais diários, e não um processo “externo” que controla os processos operacionais (como uma cultura informal, do tipo “te peguei”). O gerenciamento de riscos para as informações devem, de preferência, ser abordados dessa maneira. Através da promoção e documentação de uma cultura de risco, a segurança das informações pode ajudar as instituições financeiras a navegar no ambiente altamente volátil dos dias de hoje, onde produtos novos e extremamente complexos se proliferam, transações bancárias on-line aumentam, assim como a demanda para sistemas integrados globalmente, e a responsabilidade por regulamentações também cresce.

De forma semelhante, mas ainda com relação ao controle de TI, eu insisto que há uma grande necessidade de promover uma cultura de “monitoração operacional”. Acredito que tal cultura seja um elemento essencial do quadro de controle de TI. E o que isso envolve?

Uma cultura de monitoração operacional (COSO se referiu recentemente a isto como “monitoração constante”) abomina a prática da obtenção de conformidade através de “policiamento”. Ao contrário, ela reconhece que aqueles responsáveis pelas ações operacionais que causam impacto na conformidade devem analisar seu próprio desempenho. Eles devem saber, o tempo todo, se estão de acordo com os requisitos. Eles estão se mantendo dentro dos limites? Os auditores e coordenadores ainda exercem uma função importante como supervisores, porém um auditor não deve com muita freqüência “flagrar” gerentes que não estejam cientes dos problemas de conformidade. Além disso, se/quando um auditor tiver dúvidas, deve haver explicações ou esforços ativos para solucioná-las.

É interessante observar que a maioria das ações operacionais que podem causar impacto na postura de segurança das informações são executadas por recursos não dedicados à segurança. Isso quer dizer que, em uma cultura de risco, a maioria das monitorações dos controles de segurança das informações será feita por grupos como os de operações de computadores ou operações de rede.

Mas como efetivar tal cultura?
Não esconderei a verdade: não é nada fácil. Apesar da monitoração e avaliação assíduas serem essenciais para um controle efetivo de TI, temos que reconhecer que nem tudo é preto no branco. Existem áreas dentro de qualquer empresa que não podem ser avaliadas precisamente. Qualquer profissional da segurança de informações sabe o que eu quero dizer. Existem circunstâncias em que podemos contar somente com o nosso bom senso. Mas o que pode ser avaliado, deve ser avaliado.

Primeiro, a adoção de estruturas de controles internos amplamente aceitas, controles de TI ou controles de segurança das informações pode dar credibilidade aos processos, tecnologias e controles, necessários para suportar um ambiente de segurança das informações. Hoje em dia, estruturas como o COSO, COBIT (Control Objectives for Information and related Technology - Objetivos de Controle para Informações e Tecnologias Relacionadas), ITIL (Information Technology Infrastructure Library, Biblioteca de Infra-estruturas de Tecnologia da Informação), e ISO 17799 são vastas e abrangentes, e já atingiram o status de “amplamente aceitas”.

Porém, o maior desafio da cultura de risco que o CISO enfrenta é convencer os gerentes comerciais seniores de que todos eles devem ter objetivos com relação à segurança, e que cada um deles deve avaliar o seu desempenho de acordo com esses objetivos. Essa persuasão pode ser simples, se a conexão entre bons controles de segurança e operações confiáveis puderem ser destacadas. O sucesso do objetivo da cultura de risco poderá depender também de ferramentas que automatizem a avaliação e geração de relatórios relevantes. Se esse processo obtiver sucesso, todos, incluindo o administrador de sistema mais júnior da empresa, se tornarão parte da equipe de segurança, e a cultura de monitoração operacional terá raízes fortes e profundas.

Conclusão
O interesse no controle de TI está sempre em alta, e não é difícil de entender o porquê. De acordo com o livro “IT Governance: How Top Performers Manage IT Decision Rights for Superior Results” (Harvard Business School Press, Outono de 2004), as empresas com controles de TI superiores atingem mais de 25% de lucros a mais do que empresas com controles de TI precários. O livro, baseado em um estudo de 250 empresas em todo o mundo, detectou que empresas com controles acima da média tiveram retornos duas vezes maiores do que as empresas com controles precários.

Instituições financeiras, que precisam estar em conformidade com uma variedade de leis e regulamentações novas e existentes, poderiam se beneficiar muito de um aprimoramento dos seus esforços para o controle de TI, se incluíssem controles de segurança das informações no escopo de sua estratégia de controle e promovessem uma cultura de monitoração operacional.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home