Segurança da informação: um termo cada vez mais citado como diferencial de mercado (ou sobrevivência?) das grandes e médias empresas no mundo inteiro.COM (ou não?). Mas o POR QUE de se investir em segurança?

Nos dias de hoje, as motivações mais observadas para a necessidade de investimentos corporativos em análise e implementação em premissas de segurança da informação nas grandes empresas, são:

 Implementar novo produto ou processo de negócio suportado por sistema informatizado;
 Proporcionar “o conforto” quanto à segurança de um sistema que já se encontra em funcionamento há algum tempo;
 Estar de acordo com a legislação vigente como: Basiléia II, CVM 89, SPB – Sistema de Pagamentos Brasileiro, etc;
 Desfrutar-se do marketing adquirido na aderência às normas de segurança nacionais e internacionais como a ANBID, AICPA, NBR ISO/IEC 17799, COBIT, ITIL;
 Detectar perdas financeiras ou investigar por ”pressentimento” (devido à impossibilidade de detecção, por falta de controles e ferramentas) de que perdas ou mesmo fraudes já ocorreram anteriormente, por meio de possíveis vulnerabilidades existentes no sistema.

Os números dos problemas enfrentados pelas grandes empresas na ausência de conscientização nesse assunto são bastante alarmantes, pois conforme a última (9ª) PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO, realizada pela MÓDULO SECURITY SOLUTIONS, concluída no final de 2003:

 48% das grandes empresas não possuem nenhum plano de ação formalizado em caso de invasões e ataques; e
 42% das empresas (que puderam detectar e assumem que) já tiveram problemas com a Segurança da Informação.

Cabe ressaltar que a falta de conhecimento sobre segurança de informação, leva a maioria das empresas a optar por uma análise apenas pós-implementação de um referido produto suportado por sistemas informatizados. Esta abordagem leva a gastos mais significativos devido a alterações estruturais no desenvolvimento nestes sistemas. Conforme normas internacionais, a boa prática (e mais econômica) consiste no envolvimento de pessoal qualificado em segurança da informação, desde os “primórdios” do estudo de viabilidade do projeto de desenvolvimento, onde se desenham os controles e funcionalidades de segurança, até os testes e implementação finais do sistema.

Quais os perfis profissionais para análise, detecção e implementação da Segurança ?

Os trabalhos de análise da segurança técnica de sistemas, redes de computadores e telecomunicações, dependem de conhecimento especializado, onde a experiência técnica dos profissionais denota fator determinante na eficácia desta. O nível de conhecimento necessário dependerá da complexidade técnica dos sistemas e sua infra-estrutura, bem como dos danos potenciais em caso da viabilização das ameaças existentes.

Já para a detecção de fraudes eletrônicas nos sistemas financeiros, cuja dificuldade de detecção é ainda maior, necessita-se de conhecimento profundo do processo do negócio, e o treinamento de auditores com conhecimento dos processos contábeis, em conhecimentos específicos em extração de informações e genéricos em programação de sistemas, por exemplo, é uma estratégia eficiente para o entendimento e investigação plena de todas as fases do processo computadorizado.

Os especialistas encarregados podem ser profissionais capacitados da própria organização, alinhados com a estratégia corporativa, pois detém conhecimento considerável por saberem o que precisa ser feito, por acompanhar o dia a dia dos problemas, ou pode-se recorrer à contratação de auditores independentes (para identificação de problemas) e consultores externos (para implementação de medidas) especializados no mercado.

A contratação de auditores independentes e consultores externos, apesar do pequeno conhecimento interno dos processos e estratégia da corporação, trazem algumas vantagens significativas, a saber:

 Foco: nos objetivos a serem analisados e acordados, ou seja, diferente do pessoal interno, que pode dispersar-se pelas dificuldades do sistema e suas dependências, a análise externa se restringirá a apenas a aplicação específica, facilitando a tomada de decisão efetiva, para a melhoria da segurança.
 Conhecimento Externo: consultores independentes, por meio de trabalhos realizados em diversos clientes, podem agregar valor e dirimir “vícios” no que diz respeito a implementação de soluções de segurança avançadas disponíveis no mercado (ex: políticas, certificação digital, biometria, token, ...).

Considerando-se pessoal interno ou externo a condução da análise e implementação, o sucesso desta dependerá da cultura corporativa e grau de comprometimento para a implementação dos controles de segurança da informação (gerenciais, operacionais ou técnicos), ou seja, o que nos vem à mente em nossa empresa quando nos perguntamos se, por exemplo:

 Existe preocupação da alta administração da empresa em: planejamento, organização e monitoramento de iniciativas em segurança da informação? (Controle Gerencial)
 Os funcionários sabem criar e cuidar adequadamente de suas senhas para acesso aos sistemas? (Controle Operacional)
 E-mails com anexos são verificados quanto à existência de vírus? (Controle Técnico)

Controle define-se em políticas, procedimentos, conscientização, ferramentas de segurança e estruturas da organização estabelecidas adequadamente para a garantia da segurança (integridade, disponibilidade e confiabilidade) dos sistemas de informação que suportam processos do negócio contra eventos indesejáveis que possam danificar ou interromper o funcionamento destes.

Alessandro Manotti – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.