Com o entendimento adequado do ambiente de tecnologia e grau de automatização dos processos e ameaças, temos de definir quais seriam os procedimentos desejáveis para mitigar ou minimizar os riscos da operação do negócio. Definem-se Controles a estes procedimentos para a gestão dos riscos.

Tomemos como exemplo, uma grande empresa financeira que fixou como objetivo "Melhorar o relacionamento e exceder em 20% o número de clientes”, neste caso, nos perguntaríamos: 

·    Quais seriam as necessidades operacionais a serem consideradas para atender a este objetivo: Aumento da capacidade de processamento?, Maior banda nos links de comunicação?, Maior número de canais de comunicação/ relacionamento (Internet, Extranet, WAP – Wireless Application Protocol,...)?,... 

·    Quais os riscos que terão de ser assumidos para atingir este objetivo: Trabalhar com nível limite de processamento? Maior exposição a ataques de Hackers? Maior possibilidade de fraudes?,...

Mas como gerenciar estes riscos?

Neste caso, alguns exemplos de Atividades de Controle:

Planejamento de capacidade, Monitoração da largura de banda (Desempenho, Disponibilidade), Monitoração de tráfego suspeito de rede (IDS), Adoção de métodos de autenticação forte (Biometria, Senhas Fortes), Gerenciamento de Incidentes, etc.

Os Controles consistem nas políticas e procedimentos que nos ajudam a garantir que as estratégias de negócio sejam atendidas, tomando as ações necessárias para gerenciar os riscos concomitantes às estas respectivas estratégias.

Ao mesmo tempo, deve se ter a garantia que estes procedimentos sejam periodicamente executados a fim de assegurar a aderência ao respectivo controle.

Tipos de Controles

Controles geralmente podem ser classificados em 3 tipos os quais possuem focos distintos na:

·    Prevenção do problema: Segregação Física de CPD (Porta-Cofre,...), Segregação Lógica de Rede (DMZ – Zona Desmilitarizada,...), Inteligência Artificial (análise de comportamento do cliente) para evitar fraudes (José tenta usar cartão de crédito às três da manhã para comprar R$ 7.000 em carne no açougue).

·    Detecção do problema: Identificação de tráfego suspeito na rede (IDS-Intrusion Detection System), Análise Forense, Trilhas de Auditoria, Logs de Firewall, Sensores de Detecção de Incêndio.

·    Correção do problema antes de perdas ocorrerem: Verificadores de integridade das informações em aplicativos (sistema plano de saúde realiza lançamentos de urologia para pacientes mulheres)

 Além destes podemos considerar também como forma de controle, a Transferência de Risco, isto é quando terceirizamos o gerenciamento do risco, como, por exemplo, quando estabelecemos apólices de seguro e transferimos a materialidade do risco (incêndio, furto qualificado,...) à Companhia de Seguro.

Objetivos de Controle aplicados a Segurança de Sistemas

As Atividades de Controle são agrupadas em Objetivos de Controles, e uma das metodologias mais conhecidas no mercado para a definição destes Objetivos é o COBIT – Control OBjectives for Information Technology, desenvolvido pela ISACA - http://www.isaca.org, abaixo seguem alguns Objetivos de Controles mais conhecidos: 

·    Garantir a Segurança dos Sistemas: A importância destes controles é cada vez maior com o crescimento da utilização de diversas redes de comunicação (voz, dados) conectando pessoas ou empresas desde um mesmo prédio até países distantes. A eficácia dos controles de segurança física e lógica permite nível maior de confiança nestas comunicações e servidores, prevenindo acessos não autorizados, Crackers, Hackers e demais pessoas mal intencionadas. 

·    Gerenciar Dados: Controles de processamento das informações nos aplicativos com o objetivo de garantir integridade e confiabilidade às transações realizadas.

·    Gerenciar Operações: Controles de programação e execução de tarefas dos operadores (schedulagem, backup,...), Monitoração de Desempenho, Procedimentos de Contingência, Gerenciamento e Planejamento de Capacidade do ambiente, Utilização de Recursos Computacionais e Comunicação (Processamento, Banda,...).

·    Gerenciar Configurações: Dispõe quanto a eficácia dos controles de aquisição, implementação e manutenção dos sistemas operacionais bancos de dados, telecomunicações, e utilitários de Segurança.

·    Desenvolvimento e Manutenção de Sistemas Aplicativos: O que se refere a boas práticas de desenvolvimento e mapeamento dos controles de segurança conforme o risco do processo a ser automatizado. Estes controles visam racionalizar o alto custo operacional quando na implementação destes posteriormente ao desenho e implementação dos sistemas. 

Tendo-se mapeados os controles desejáveis a analisar, podermos aplicar o conceito “GAP ANALYSIS” (Análise de Inconsistências), ou seja, comparar entre o implementado e o desejável, enumerando e categorizando em grau de risco as inconsistências encontradas.

Alessandro Manotti – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.