Gestão de Segurança de Informações: Importância e Desafios, Notas de estudo de Engenharia Naval

Baixe Gestão de Segurança de Informações: Importância e Desafios e outras Notas de estudo em PDF para Engenharia Naval, somente na Docsity! Índice i Capítulo 7: Fatores Motivadores e Justificativas para Gestão de Segurança.....................................152 Permitindo negócios com a gestão de segurança...............................................................................152 Eficiências operacionais.....................................................................................................................153 Reduzindo custos de suporte ao serviço de assistência técnica .............................................154 Restabelecimento de senhas e de auto-serviço ..........................................................154 Controlando Spywares na empresa............................................................................155 Melhorando a gestão dos usuários .........................................................................................157 Estabelecendo uma nova identidade ..........................................................................158 Os custos imprevistos de gestão de usuários .............................................................159 ROI de gestão dos usuários........................................................................................160 Cumprimento e auditoria .......................................................................................................164 Controlando os custos de auditoria ............................................................................165 Possibilitando controles mais abrangentes.................................................................166 Agilizando processos organizacionais ...............................................................................................167 Agilizando interações com os clientes...................................................................................167 Operações de segurança e de cadeia de suprimento ..............................................................168 Prevenção contra ameaças proativas......................................................................................168 A eficiência operacional depende da gestão de segurança ....................................................169 Cumprimento: a perspectiva mais ampla...........................................................................................169 Como generalizar do cumprimento à governança .................................................................169 Governança: manutenção da receita e evitação de custos .....................................................171 Evitando multas de cumprimento ..............................................................................171 Evitando o impacto de violações em cascata.............................................................172 Mantendo a continuidade dos negócios .............................................................................................172 Custo da violação...................................................................................................................172 Papel da segurança na proteção do valor dos acionistas........................................................173 O custo de não se fazer nada..............................................................................................................173 Resumo ..............................................................................................................................................175 Capítulo 7 153 Estes são itens fundamentais de negócios – sem eles as organizações teriam um desempenho inferior (na melhor das hipóteses) ou deixariam de ser viáveis (na pior das hipóteses). No entanto, eles não parecem estar imediatamente relacionados à segurança. Quando você pensa na eficiência operacional, você tende a considerar a engenharia de processos, o aumento dos produtos marginais dos equipamentos de fabricação e outras alterações tangíveis nos equipamentos, que estão diretamente relacionados aos níveis de produção. É fácil examinar o custo de uma segurança com gestão deficiente:  A empresa pode rastrear a perda de produtividade dos funcionários que não podem ter acesso aos documentos ou aplicações exigidos para executarem o seu trabalho?  A empresa pode rastrear a perda nas vendas de clientes que não podem ter acesso aos recursos e aplicações exigidos para efetuar uma transação?  As organizações podem rastrear os custos reais e indiretos como despesas de assistência técnica para novas solicitações de acesso, restabelecimento de senhas, perda de informações como resultado de violação, paralisação de recursos devido a ataques, e assim por diante?  As organizações podem medir o custo de controles de auditoria deficientes? As violações das políticas da empresa estão colocando a empresa em risco de multas por parte de agências de regulamentação, roubo de informações ou perda de receita?  Os servidores dispõem de meios de correção adequados para evitar uma interrupção maciça nas operações como aquela causada pelo worm SQL Slammer? Os sistemas antivírus estão atualizados com as assinaturas mais recentes para proteger a organização? Os efeitos de uma gestão deficiente de segurança de informações permeiam as operações e colocam as organizações em altos riscos. Eficiências operacionais Em um mundo ideal sem ameaças ao patrimônio de informações, sem destruição acidental das informações, sem a necessidade de implementar os controles para conservar a privacidade, e sem a exigência de atividades de auditoria, pode-se imaginar que haja pouca necessidade para os controles de segurança. Os funcionários e contratados teriam acesso imediato aos aplicativos e dados de que necessitam. Os clientes podem revisar suas contas, colocar pedidos. e conduzir os negócios sem restrições. Os administradores de sistemas não precisam se preocupar com ameaças prejudiciais de vírus, worms e espionagem. No entanto, não vivemos em tal mundo – devemos aceitar alguns custos indiretos (atritos) para assegurar a segurança e integridade de nossas operações de tecnologia da informação (TI). A chave a partir de uma perspectiva operacional consiste em assim proceder de maneira eficiente. As melhores práticas na gestão de segurança podem melhorar a eficiência operacional em diversas áreas, incluindo:  Suporte ao serviço de assistência técnica  Gestão de usuários  Cumprimento e auditoria  Fluxos de processos Capítulo 7 154  Prevenção contra ameaças Estes melhoramentos são realizados através de uma combinação de ferramentas e práticas de segurança. Reduzindo custos de suporte ao serviço de assistência técnica Os serviços de assistência técnica são componentes essenciais da infra-estrutura de TI. Estas operações fornecem a resposta em primeira linha para os usuários e resolver os problemas, variando desde os relativamente comuns, como o restabelecimento de senhas, aos mais desafiadores, tais como diagnosticar vírus e infecções causadas por espionagem. Os custos de execução de um serviço de assistência técnica são determinados pelo número de pessoal exigido para manter os níveis de serviço de assistência apropriados, o nível de treinamento exigido para diagnosticar os problemas de modo eficiente, a proporção na qual as questões são resolvidas e, logicamente, o volume de chamadas. Com um total de 70 por cento de todos os serviços de assistência técnica relacionados à segurança, qualquer esforço no sentido de controlar os custos dos serviços de assistência técnica terá de incluir necessariamente uma avaliação abrangente das práticas de segurança. Restabelecimento de senhas e de auto-serviço Conforme observado no Capítulo 5, o usuário interno médio possui 18 contas para gerenciar através de múltiplos aplicativos. A proliferação de aplicativos e a abertura de sistemas aos parceiros dos negócios e clientes, bem como aos usuários internos criaram um problema significativo, que não pode ser resolvido de forma competente simplesmente aumentando-se o quadro de pessoal. Os estudos situaram o custo dos restabelecimentos de senhas para os serviços de assistência técnica na faixa de $30 a $60 por incidente. Os restabelecimentos de senhas de auto-serviço podem reduzir o volume de chamadas, permitindo aos usuários gerenciarem suas próprias senhas. No entanto, o auto-serviço constitui apenas uma parte da solução. Distribuindo-se uma ferramenta de auto-serviço para cada aplicativo que exige autenticação, ainda deixa a média dos usuários gerenciando um número oneroso de credenciais. Para obter-se uma eficiência ideal, um usuário deve ter uma identidade individual que seja a base para os controles de acesso através dos aplicativos.  A seção a seguir fornece mais informações sobre o papel da gestão da identidade na eficiência operacional. A conexão individual (SSO) destina-se a reduzir os custos do serviço de assistência técnica. Os usuários têm menos senhas para lembrar, o que por sua vez reduz a necessidade de restabelecimento de senhas. Além disso, com a SSO, as organizações podem implementar de modo mais fácil e abrangente uma rigorosa autenticação, empregando técnicas como a autenticação em dois fatores. Além do volume elevado e dos desafios de baixa habilidade no restabelecimento de senhas, os serviços de assistência técnica estão enfrentando problemas crescentes com espionagem. Capítulo 7 155 Controlando Spywares na empresa Os Spywares — aplicativos indesejáveis que monitoram a atividade, transmitem informações sobre a conduta dos usuários, ou de outra forma forçam os recursos de computação – constitui um problema crescente nas empresas. O Spyware entra tipicamente nas organizações quando os usuários navegam por sites que fazem o download de programas prejudiciais, desconhecidos aos usuários. Considere como os efeitos de ondulações da espionagem causam impacto no serviço de assistência técnica e na eficiência operacional de modo geral. Uma vez que um Spyware se instala com sucesso em um sistema, a espionagem inicia o seu trabalho, como o rastreamento dos websites visitados por um usuário ou a busca por informações confidenciais (por exemplo, os números do seguro social ou do cartão de crédito). Este overhead pode degradar o rendimento da CPU ou retardar as operações dos discos. Em alguns casos, os usuários—que não estão cientes da atividade adicional em seu sistema – podem supor que haja um problema de sistema e contatarem o serviço de assistência técnica. Um sistema com processamento lento pode ter um conjunto de causas principais, de modo que o serviço de assistência técnica provavelmente irá efetuar uma série de diagnósticos buscando pela causa. Uma vez que o Spyware seja identificado como a raiz do problema, o técnico do serviço de assistência e o usuário irão gastar o tempo removendo o Spyware e possivelmente instalando uma ferramenta anti-spyware para prevenir problemas posteriores. A instalação de um software anti-spyware cria um conjunto de questões de gestão de alterações, as quais, por sua vez, estarão melhor servidas com um sistema abrangente de gestão de informações de segurança. Em outros casos, os usuários podem pressupor de forma incorreta que o problema de desempenho reside no seu hardware, requisitando um sistema mais rápido. Agindo assim, isto pode trazer algum alívio em curto prazo, porém a menos que o Spyware seja removido e o sistema esteja protegido contra futuras infecções, é provável que o problema venha a retornar. Capítulo 7 158 O processo de obter uma nova contratação em uma posição para realizar um trabalho produtivo pode demorar dias em algumas organizações, porém este não precisa ser o caso em questão. Os sistemas integrados de gestão de segurança, especialmente os sistemas de gestão de identidade, podem reduzir o tempo exigido para a provisão de contas e estabelecer controles de acesso. Uma vez estabelecido um usuário, deve ser considerada a manutenção diária do usuário – ele possui informações sobre contas dispersas através de toda a organização em diferentes "depósitos de identidade"? Caso afirmativo, o custo para a manutenção contínua dispara como um foguete. Os lapsos na política tais como a remoção de contas antigas e de privilégios inadequados criam riscos significativos no atendimento aos regulamentos e de segurança – aumentando ainda mais os custos. Estabelecendo uma nova identidade Os sistemas de gestão de identidade gerenciam o aprovisionamento, senhas, e controles. A primeira etapa na gestão de usuários consiste em estabelecer uma identidade para o novo funcionário.  Para obter mais informações sobre a gestão de identidade e controles de acesso, veja Capítulo 5 e Capítulo 6. Muitas organizações já estão utilizando diretórios para armazenar informações públicas sobre funcionários e recursos. Estes diretórios incluem informações descritivas básicas (nome, cargo, local, endereço de e-mail, e assim por diante) e informações organizacionais, tais como departamentos e centros de custos. Estas informações constituem a base para a gestão de identidade; acrescente-se a isso informações sobre funções detalhadas no âmbito de uma organização e um conjunto de políticas que regem o uso de recursos de TI, e você terá a base para formar regras de controle de acesso. Por exemplo, suponha que Jane Smith é contratada como uma analista financeira numa empresa da Fortune 500. Os pontos-chave de informações a partir de uma perspectiva de gestão de usuários são:  Ela é membro do departamento financeiro, com responsabilidade específica para monitorar a atividade de contas a receber.  A maior parte do trabalho executado por este departamento é realizada em um escritório.  De acordo com as políticas da empresa, qualquer pessoa que tenha acesso às contas a receber terá o acesso negado às contas a pagar.  Por configuração padrão, o acesso é restrito ao horário comercial normal nos dias de semana, porém um supervisor pode cancelar esta restrição.  Todos os analistas financeiros requerem uma ferramenta de consulta ad hoc e acesso ao depósito de dados. Capítulo 7 159 Um sistema de gestão de identidade e um sistema de gestão de acesso podem usar estas informações e regras de políticas para determinar se:  Jane Smith terá acesso ao módulo de contas a receber do ERP (Planejamento de Recursos Empresariais).  Ela não terá acesso ao módulo de contas a pagar do ERP.  Ela irá acessar o sistema das 7:00h às 19:00h de segunda a sexta.  Ela irá acessar o ERP a partir da sub-rede no departamento financeiro  Ela não exige acesso remoto.  Ela irá exigir um sistema de desktop com configuração padrão.  Ela terá acesso concedido a uma ferramenta de consulta ad hoc.  Ela terá acesso concedido ao depósito de dados.  O seu acesso ao depósito de dados será restrito aos dados de contas a receber.  Ela irá exigir contas nos aplicativos padrão da empresa, tais como e-mail, sistema de gestão de documentos, e o portal da empresa. Se Jane for uma usuária média com dezenas de contas, não há dúvida de que muitos outros detalhes essenciais sobre controles de acesso podem ser rastreados por um sistema de gestão de identidade. Sem a gestão automatizada de identidades, o nível de esforço manual e o potencial para erros aumenta com o número de usuários e aplicativos. Por exemplo, considere o encargo adicional resultante de uma simples política da empresa de mudar as senhas a cada 30 dias. Os custos imprevistos de gestão de usuários Não é apenas o pessoal do serviço de assistência técnica que possui o encargo da gestão de identidade. Os supervisores e gerentes devem aprovar o acesso aos sistemas para os seus funcionários e contratados. Os processos interfuncionais, especialmente aqueles envolvendo fluxos de trabalho complexos, podem acarretar vários sistemas gerenciados por diferentes departamentos. Os gerentes em cada uma destas áreas são envolvidos no processo de aprovação. Quando os processos manuais são utilizados para controlar processos complexos de volume elevado, irão ocorrer erros: Um usuário não será autorizado a utilizar um aplicativo relativamente menor exigido em um processo de fluxo de trabalho, fechando efetivamente a utilização da operação por parte do usuário. Será concedido a alguém o acesso de leitura a dados que não deveriam ser acessados, criando uma vulnerabilidade que poderia expor informações sensíveis. Quando um usuário muda de uma área de gestão financeira para outra e os antigos direitos de acesso do usuário não são alterados quando os seus novos direitos são concedidos, o potencial para atividades fraudulentas é criado. Capítulo 7 160 De uma maneira clara, as organizações encaram os custos e riscos associados à gestão de identidade, indiferente se um sistema de gestão de identidade é implementado – as organizações estão gerenciando identidades, quer percebam isto ou não. A questão é, como estão executando o trabalho? Os sistemas de gestão de identidade fornecem vários elementos para ajudar a reduzir o risco de erros na gestão de controle de acesso e melhorar a qualidade da gestão dos usuários:  Uma representação individual de um usuário que inclui atributos – tais como cargo, departamento e funções – que podem ser utilizados como referência ao determinar os direitos de controle de acesso  Mecanismos para definir políticas e regras baseadas nos atributos dos usuários e grupos de usuários  Integração com os aplicativos para reforçar as regras de controle As organizações com sistemas de gestão de identidade ainda precisam aplicar políticas abrangentes, definir regras apropriadas, e manter as alterações de acordo com as características de identidade. Tendo estabelecido estes elementos, elas se encontram em uma posição para automatizar muitas tarefas de gestão dos usuários, o que, por sua vez, reduz a demanda por recursos de pessoal e o potencial para erros na gestão de acesso. Com um entendimento da natureza qualitativa destes custos, é possível fazer estimativas quantitativas de sua magnitude. ROI de gestão dos usuários Existem diversos fatores a considerar ao medir o ROI nos sistemas automatizados de gestão de usuários:  O custo do aprovisionamento de novos usuários, tanto internos como externos  A perda de produtividade devido a acesso inadequado  O custo do suporte ao serviço de assistência técnica para o restabelecimento de senhas As Tabelas 7.1 até a Tabela 7.3 ilustram os detalhes de cálculo da economia nos custos de cada uma destas áreas. Capítulo 7 163 Custos com restabelecimento de senhas Outra área na qual as organizações podem realizar uma economia significativa nos custos é no restabelecimento de senhas. Seguindo pressupostos similares quanto ao porte da organização e o custo dos funcionários da área de TI, a Tabela 7.3 mostra que os restabelecimentos de senhas em organizações de grande porte pode custar mais de $5,5 milhões de dólares por ano. Implantando- se um sistema automático de gestão de usuários que inclui o restabelecimento de senhas de modo independente, pode reduzir significativamente o custo total dos restabelecimentos de senhas. Número de funcionários/contratados em sua organização 21.000 Número médio de contas por funcionário/contratado * 6 Número total de contas de funcionários/contratados 126.000 Número de usuários de parceiros comerciais que têm acesso às senhas de sua extranet da empresa e/ou aos sistemas de TI 35 Número médio de contas por parceiro comercial 3 Número total de contas por parceiro comercial 105 Número de clientes que têm acesso às senhas de sua extranet da empresa e/ou aos sistemas de TI 50 Número médio de contas por cliente 1 Número total de contas por cliente 50 Número total de contas 126.155 Número médio de restabelecimentos de senhas por usuário, por conta, por ano 12 Número total de restabelecimentos de senhas por ano 1.513.860 Quantidade estimada de mão de obra necessária para restabelecer uma senha (em minutos) 5 Salário anual com encargos totais para o pessoal de TI $91.090 Custos de TI diretos anuais associados com o suporte de restabelecimentos de senhas internas e externas $5.524.740 Percentual ganho na economia com a automação e agilização de uma organização (com a gestão automatizada de usuários) 90% Economia obtida com a gestão automatizada de usuários: $4.972.265,89 *A estimativa do Datamonitor é de 6 contas por funcionário/contratado Tabela 3: Estimativa de custos com restabelecimento de senhas. A gestão automática de usuários proporciona várias oportunidades para realizar uma economia nos custos e melhorar a eficiência operacional. Como parte de uma estrutura mais ampla da gestão de informações de segurança, elas também dão suporte a operações de cumprimento e auditoria aperfeiçoadas. Capítulo 7 164 Cumprimento e auditoria O cumprimento significa uma variedade de itens em diferentes indústrias. A extensão de questões de cumprimento parece ser tão ampla quanto a própria economia. Considere alguns dos regulamentos que requerem um cumprimento demonstrável:  Na indústria de assistência médica, a Health Insurance Portability and Accountability Act (Lei de Transmissibilidade e Responsabilidade de Segurança à Saúde) – (HIPAA) define “informações de proteção à saúde” e regras para controlar o seu uso, armazenagem e transmissão.  No setor de fabricação, a United States Occupational Safety and Health Administration (Administração de Segurança e Saúde Ocupacional dos Estados Unidos) (OSHA) regulamenta a fabricação de produtos químicos altamente perigosos, com regulamentos como o OSHA 1910.119.  Através das indústrias, as empresas de atividades comerciais públicas nos Estados Unidos devem atender aos regulamentos de responsabilidade e integridade estabelecidos sob a Lei Sarbanes-Oxley.  O Anteprojeto 1386 do Senado da Califórnia determina que se a sua empresa for responsável por permitir que um agressor adquira informações comerciais ou de consumidores da Califórnia (tais como informações sobre cartões de crédito, número de Seguro Social, e assim por diante), a sua empresa terá de responder por isso. Esta lei também se aplica às organizações fora da Califórnia que realizam negócios com residentes da Califórnia.  A Australian Privacy Amendment Act (Lei de Aditamento sobre Privacidade da Austrália) de 2000 exige que as organizações protejam as informações pessoais individuais, bem como informem às pessoas sobre o tipo de informações coletadas, como elas são coletadas, e para qual finalidade.  Na Europa, a privacidade constitui um fator de interesse principal, de modo que a diretriz de dados da UE determina exatamente como as informações pessoais individuais devem ser processadas.  Na comunidade bancária internacional, a BASEL II estabelece normas e procedimentos para muitos tipos de transações financeiras que também exigem um cumprimento significativo de TI. Esta lista fornece uma pequena amostra dos regulamentos que as empresas devem atender, tanto em termos de um cumprimento efetivo como em termos de comprovar o seu cumprimento. A partir de uma perspectiva operacional, as empresas devem se concentrar na redução dos custos marginais de cumprimento. O preço das auditorias que falharam, das multas, penalidades e a suspensão das operações, todas constituem fatores incorporados nos custos de cumprimento. Por exemplo, se um hospital deixar de cumprir com a HIPAA, o hospital poderá perder o fluxo de receita da Medicare até que a organização possa comprovar o seu cumprimento. Esta situação pode cortar efetivamente o equivalente a 50 por cento do fluxo de caixa de um hospital – colocando-o essencialmente fora do negócio. Capítulo 7 165 Controlando os custos de auditoria A HIPAA exige que somente aqueles com necessidade legítima de informações possam ter acesso às informações de proteção à saúde. Quando um médico acessa o registro de um paciente, deve ser efetuado um rastreamento de auditoria daquela transação. As informações do rastreamento de auditoria podem incluir a identidade do registro que foi acessado, a identidade da pessoa que acessa o registro, e uma indicação do que foi feito àquele registro. Este tipo de informação é facilmente rastreado quando o registro é localizado em um sistema individual. Os registros dos pacientes são mais complexos. Um único "registro de paciente" para alguém com permanência em hospital pode realmente incluir registros por parte de:  Um sistema de gestão referente aos registros de um médico  Sistema de registro da entrada de um paciente no hospital  Sistema de gestão de farmácia  Sistemas de processamento de reivindicações de seguros Quando uma unidade lógica de informações se estende por sistemas múltiplos (como é o caso deste exemplo), o processo de auditoria torna-se mais complexo. O rastreamento do uso de informações protegidas sobre o paciente requer um método para identificar registros de auditoria logicamente relacionados através de sistemas múltiplos. Esta exigência implica um conjunto de identidades compatíveis para doutores e pacientes através dos aplicativos. Ele também requer um meio para identificar uma transação individual (veja Figura 7.2). As informações sobre um paciente serão utilizadas muitas vezes durante uma permanência em hospital, e um médico irá usar sistemas de gestão de registros para rastrear muitos pacientes. A correlação dos registros de auditoria para uma única transação lógica através de sistemas múltiplos, pode consumir muito tempo e ser extremamente dispendiosa se não for automatizada. Além disso, de acordo com a situação deste exemplo, sem automação será muito difícil, a partir de uma perspectiva prática, aplicar os controles de acesso à segurança de forma adequada, devido à mão de obra necessária para estabelecer e manter a sua conservação – somente através da automação é que uma organização poderá manter este nível de controle de políticas que irá ajudar a ativar o cumprimento regulamentar enquanto se reduzem os custos. Capítulo 7 168 Operações de segurança e de cadeia de suprimento Os parceiros comerciais terão interesses similares sobre a utilização de um portal da cadeia de suprimento; as empresas na cadeia de suprimento terão interesses adicionais sobre o cumprimento regulamentar. Por exemplo, a Empresa A compartilha informações dos clientes com a Empresa B, de modo que a Empresa B pode embarcar um produto diretamente ao cliente. Se o sistema da Empresa B sofrer um ataque e as informações do cliente forem roubadas, como esta situação irá afetar a Empresa A? Existem diversas possibilidades, como por exemplo:  A violação pode ser imaterial para a Empresa A. As informações podem ter sido mínimas, tais como um nome e endereço de embarque; nenhuma informação pessoal, como números de cartões de crédito, jamais foram transmitidos à Empresa B.  A violação poderia incidir na área cinza de responsabilidade e impacto. Se as informações que foram divulgadas continham informações de proteção à saúde, nesse caso a Empresa B poderia estar violando os regulamentos da HIPAA; a culpabilidade da Empresa A também poderia ser colocada em questão. Mesmo que os regulamentos não tenham sido violados, a divulgação pública desta violação poderia causar um impacto negativo em ambas as reputações das empresas.  Se a violação incluir o roubo de informações financeiras privadas de residentes da Califórnia, aplicar-se-iam os regulamentos de privacidade da Califórnia e cada pessoa que teve as informações roubadas teria de ser notificada. A eficiência operacional que é realizada em processos de negócios bem integrados pode ser substancial. A longo prazo, contudo, exigem práticas de gestão de segurança perfeitas e abrangentes para preservar a integridade das operações e o cumprimento contínuo dos regulamentos relevantes. Prevenção contra ameaças proativas Outra maneira para melhorar a eficiência operacional consiste em se preparar para prevenir contra ameaças de maneira proativa. O custo da prevenção contra ataques pode ser uma pequena fração do custo de um ataque, como ilustram os exemplos a seguir:  Um gerente de TI distribuiu ilegalmente $2,2 milhões em software de direitos autorais e outras propriedades intelectuais.  Um agressor representa um custo de $5,8 milhões para uma empresa de gestão de informações do cliente se recuperar de uma invasão e roubo.  Um único agressor representa um custo total de $25 milhões em danos para empresas múltiplas, após roubar informações sobre nomes de usuários, senhas e cartões de crédito. Capítulo 7 169 O custo para recuperação do ataque de um único vírus, worm ou ameaça combinada pode facilmente ultrapassar o custo de manter assinaturas atualizadas de antivírus e correções do OS. O monitoramento de redes e a prevenção contra invasão podem minimizar o impacto de uma violação. Se uma violação for detectada prontamente, seções da rede podem ser isoladas para reduzir o impacto do ataque e minimizar o tempo de paralisação dos recursos da rede. Gerenciando-se as vulnerabilidades de maneira proativa, acham-se disponíveis recursos de TI limitados para encaminhar questões de operações de negócios ao invés de responder às violações na segurança do sistema.  Para obter mais informações sobre a gestão de vulnerabilidade, veja Capítulo 2 e Capítulo 3. A eficiência operacional depende da gestão de segurança As práticas de gestão de segurança possibilitam várias eficiências operacionais. Nos exemplos mais claros, a gestão de identidade pode reduzir os custos de suporte ao serviço de assistência técnica e os custos indiretos de gestão dos usuários. Em outros casos, a gestão de segurança é um elemento crucial da base da eficácia de longo prazo das operações de negócios, como os portais de serviço independente dos clientes e dos parceiros de cadeias de suprimento. Encaminhar de forma eficiente as demandas operacionais em relação ao cumprimento constitui ainda outra área na qual a gestão de segurança fornece retornos concretos sobre o investimento. O cumprimento, no entanto, acarreta muito mais do que os processos operacionais que demonstram o cumprimento. Cumprimento: a perspectiva mais ampla O ambiente do cumprimento é complexo e dinâmico. Muitos governos, a partir de níveis estaduais para nacionais e internacionais, estão regulamentando o modo como as empresas conduzem as suas operações. O fato de uma boa parte deste regulamento abranger áreas relativas, significa que há uma oportunidade para se criar uma estrutura de cumprimento que englobe múltiplos regulamentos com um conjunto de políticas e procedimentos. As metas de uma grande parte deste regulamento se sobrepõem com objetivos fundamentais da empresa:  Preservar a integridade das informações do cliente e da empresa  Relatar precisamente o estado da empresa  Proteger informações confidenciais Reconhecer que muita coisa do que uma organização realiza para permanecer em cumprimento aos regulamentos esteja em sintonia com as melhores práticas a partir de uma perspectiva operacional, constitui a chave para entender que o cumprimento é realmente uma parte da governança. Como generalizar do cumprimento à governança Governança é a prática de assegurar que uma organização possa operar de acordo com os princípios e procedimentos que asseguram a viabilidade da organização. As empresas estão constantemente respondendo a influências externas, tais como regulamentos, pressões da Capítulo 7 170 concorrência, e mudanças no mercado de trabalho. Elas também respondem a exigências internas, como a necessidade de fluxos de processos aperfeiçoados para atender às quotas de produção e uma melhor comunicação entre a equipe de vendas, no sentido de aprimorar a conversão da liderança. Como a organização responde a estas influências, é uma função da engenhosidade operando dentro dos limites estabelecidos pelas práticas de governança. Estabelecendo-se práticas de governança perfeitas, incluindo a gestão de segurança, as organizações são mais capazes de se adaptar à dinâmica do mercado e ao ambiente regulamentar. Por exemplo, uma agência estadual poderia emitir um novo regulamento protegendo as informações financeiras privadas dos clientes. Se as práticas de gestão de segurança da empresa estiverem no local, a organização terá:  Sistemas de gestão de identidade, de modo que os auditores possam rastrear quem acessa e atualiza os dados dos funcionários, parceiros e clientes  Controles de acesso para assegurar que somente as pessoas com necessidade de dados parciais específicos tenham acesso àqueles dados  Rastreamentos de auditoria de modo que o tempo e o tipo de operações referentes aos dados dos clientes sejam conhecidos (bem como a identidade do usuário)  Relatórios de gestão e auditoria para acesso rápido às informações de segurança visadas  Gestão de correções e outros procedimentos de controle de alterações no local para assegurar que as vulnerabilidades no software do sistema sejam direcionadas numa base de prioridade  Controles abrangentes, tais como sistemas antivírus e de filtragem de conteúdo, para diminuir a probabilidade de paralisação do sistema, resultante de infecção através de programas prejudiciais Com isto, a base para atender à nova exigência provavelmente já se encontra no local. Podem ser exigidos relatórios e procedimentos relacionados adicionais, porém os blocos de construção para estas adições já se estão prontamente disponíveis. Estas medidas fundamentais de segurança também se ajustam bem à gestão da infra-estrutura e às melhores práticas de governança. Capítulo 7 173 Papel da segurança na proteção do valor dos acionistas Quando a palavra de uma violação de segurança principal torna-se pública, o efeito sobre uma empresa pode ser imediato. Além dos desafios técnicos e operacionais de responder a um ataque, as empresas devem controlar a dimensão das relações públicas do incidente. É difícil medir o efeito quantitativo da perda de boa vontade e confiança dos parceiros comerciais e clientes. Os pesquisadores fizeram várias tentativas para avaliar o custo das violações de segurança, utilizando valores como:  Custo da mão de obra para recuperar-se de uma violação  Perda de receita durante o período em que os sistemas principais estiveram indisponíveis  Custo das multas e outras conseqüências imediatas Estes estudos são um ponto de partida para entender o âmbito do impacto econômico nas violações de segurança. No entanto, existem limites para o seu valor. Alguns economistas de TI, por exemplo, acreditam que pelo fato destes estudos se basearem em incidentes com relatos independentes, muitos incidentes não relatados não são contados, resultando numa subestimativa dos custos reais dos incidentes de segurança. Os estudos de eventos constituem uma abordagem que diminui a dependência de relatórios independentes. Com esta abordagem, são utilizadas informações publicamente disponíveis sobre incidentes de segurança em larga escala – tais como o worm Slammer ou a venda de informações roubadas de cartões de crédito de um banco principal. Esse tipo de estudo foi realizado por especialistas em economia de TI da Ernst and Young, através do qual se constatou que durante um período de 6 anos, 22 incidentes de segurança separados em empresas públicas de grande porte apresentaram em média uma queda de 2,7 por cento no valor dos acionistas no dia em que o incidente foi anunciado; esta perda apresentou um aumento na queda de 4,5 por cento em 3 dias. Este declínio representou um total de $20,2 bilhões em perdas para uma média de $918 milhões por incidente. As empresas apresentaram uma média de $86 bilhões em capitalização do mercado, de modo que as medidas precisas podem não se aplicar à base ampla das empresas públicas. No entanto o impacto é real, quantificável e substancial. Existem custos diretos devido ao fato de nada ser feito com relação à segurança das informações. O custo de não se fazer nada Os riscos sempre fizeram e farão parte dos negócios, como sendo o fator impulsionador para permanecer competitivo e melhorar a eficiência operacional. Os custos associados a estes fatores de negócios são reais e vemo-los relacionados à segurança:  Os custos da gestão de usuários, incluindo tarefas comuns como restabelecimento de senhas, são significativamente mais elevados sem os sistemas automatizados do que com os mesmos.  Os negócios acham-se sob números crescentes de regulamentos. O cumprimento não é opcional. O custo referente ao não-cumprimento ou cumprimento sem a capacidade de comprovar o cumprimento, inclui multas e a possível suspensão das operações dos negócios. Capítulo 7 174  A continuidade dos negócios em face a um desastre ou violação de segurança pode significar a diferença entre um fluxo de receita sustentado e a paralisação das operações. Um executivo envolvido com estas questões poderia perguntar, “O que irá acontecer se eu não implantar sistemas de gestão de segurança?” Considere as possibilidades:  A empresa pode violar o regulamento e sofrer multas. As multas civis por violações da HIPAA, por exemplo, são de $100 por pessoa por violação, até $25.000 por pessoa por ano, para cada violação de cada disposição da Parte C. Os regulamentos de segurança definem multas no montante de $600.000 em relação ao não-cumprimento total.  Funcionários, contratados e consultores podem explorar controles de acesso com gestão deficiente para danificar os recursos de TI. Mesmo as violações simples são dispendiosas. Um programador de mainframe insatisfeito em uma empresa de logística causou prejuízos de $80.000 ao excluir vários aplicativos.  Para obter mais detalhes, veja o site de crimes cibernéticos do Departamento de Justiça dos Estados Unidos em http://www.usdoj.gov/criminal/cybercrime/cccases.html. A resposta curta é que o dinheiro real está sendo gasto em segurança. A dúvida é se este dinheiro destina-se a pagamentos fixos e correções únicos, ou a uma solução de longo prazo que melhora a postura de segurança da organização. Onde o dinheiro está sendo gasto?  As organizações de hoje estão pagando a equipes de serviços de assistência técnica para restabelecer senhas.  Os analistas, gerentes e outros não conseguem acessar as informações de que necessitam para que os seus trabalhos sejam executados, porque eles não têm acesso aos sistemas necessários.  Os sistemas vulneráveis são expostos à Internet, porque não são corrigidos corretamente. O custo da violação de segurança irá incluir o custo para eliminar os problemas técnicos, bem como o custo em termos de relações públicas.  Computadores pessoais e laptops novos estão sendo comprados porque os usuários enganam-se com o fraco desempenho de seus sistemas com limitações de hardware, ao invés de carregarem o desempenho a partir de Spywares. Os investimentos nestes problemas irão resolver o problema hoje; eles não resolvem o problema no futuro – e os problemas irão ocorrer novamente. À medida que as organizações crescem e a infra-estrutura de TI torna-se mais complexa, a escala dos problemas irá crescer da mesma forma. A solução consiste em alinhar a segurança com os objetivos dos negócios e utilizar sistemas de gestão de segurança, tais como gestão de identidade e controles de acesso, para direcionar as vulnerabilidades de segurança que ameaçam os objetivos-chave dos negócios. A primeira etapa neste processo reside em entender as ameaças e vulnerabilidades voltadas para as organizações e as ferramentas, técnicas e práticas para direcioná-las.  Os Capítulos 1 até 6 tratam destes tópicos. Capítulo 7 175 A primeira etapa consiste em avaliar o nível de riscos que são apropriados à organização. Nem todos os riscos podem ser reduzidos e o custo para reduzir os riscos além de um determinado ponto pode ser proibitivo. Uma vez que um nível confortável de retenção de riscos é encontrado, podem ser aplicadas técnicas de gestão de segurança de informações para proteger a organização enquanto se aplicam os princípios fundamentais para melhorar a eficiência operacional. Não fazer nada é uma opção. Não é exatamente um meio de economizar dinheiro ou assegurar a viabilidade de uma organização em longo prazo. Resumo Qualquer investimento em TI exige uma justificação racional, e a segurança não é diferente. Este capítulo examinou diversos ativadores de negócios que levaram à adoção de tecnologias e práticas de segurança, incluindo:  Eficiência operacional  Cumprimento dos regulamentos  Continuidade nos negócios Os custos totais para se manter níveis básicos de segurança, tais como as contas de usuários em cada sistema, são acionados pelos custos de mão de obra em muitas organizações. O tempo exigido para se criar uma conta de usuário pode parecer quase trivial para quem não estiver familiarizado com o processo. Os gerentes ou supervisores solicitam uma conta, alguém precisa determinar quais aplicações o usuário irá necessitar, e um administrador deverá criar as contas e conceder o acesso apropriado. Quando o usuário mudar as posições ou responsabilidades, as contas terão de ser alteradas de modo correspondente. O custo para se criar e alterar as contas dos usuários em organizações de grande porte com índices de crescimento modestos, ainda pode atingir a casa das centenas de milhares de dólares por ano. O custo da perda de produtividade é similarmente elevado. Como demonstrado nos cálculos do ROI, reduzir a demora entre o tempo em que uma conta do usuário é solicitada e o tempo em que o usuário pode iniciar o trabalho de produção, pode resultar numa economia substancial. A gestão de segurança abrangente permite um cumprimento eficaz e sustentável. As aplicações de segurança das empresas podem fornecer uma estrutura para manter o cumprimento com uma extensa faixa de regulamentos existentes e futuros. Utilizar uma única estrutura de segurança para o cumprimento faz parte do processo de aplicar o cumprimento como uma questão de governança ao invés de uma série de processos diferenciados, previstos para atenderem a regulamentos individuais. Outra força principal por trás da aplicação da gestão de segurança é a continuidade nos negócios. As violações de segurança podem paralisar uma atividade de negócios. Mesmo as empresas com tecnologia inteligente têm sido vítimas de ataques que interrompem as suas operações. O planejamento para a continuidade nos negócios constitui mais um caso de uma função principal nos negócios que depende da segurança de informações. O custo de não se fazer nada para gerenciar a segurança é elevado. A ineficiência operacional irá continuar a elevar os custos. A falta de cumprimento ou a falta de provas de cumprimento deixa as empresas expostas a multas e problemas de relações públicas em potencial. Os sistemas vulneráveis estão sujeitos a ataques. A divulgação pública de ataques tem produzido um impacto