Modelo de Avaliao da Maturidade

da Segurana da Informao
Evandro Alencar Rigon, Carla Merkle Westphall
Departamento de Informtica e Estatstica (INE)
Universidade Federal de Santa Catarina (UFSC)
Caixa Postal 476 - 88.040-970 - Florianpolis - SC - Brasil
{rigon@inf.ufsc.br, carlamw@inf.ufsc.br }
Abstract. Business processes are supported by information technologies,
although many processes and information systems were not designed to be
secure. The lack of a security evaluation method might expose organizations
to several risky situations. This work presents an information security maturity
management process which uses a measurement method and a set of controls
which treats information security on a comprehensive way. The results
indicate that the method is efficient for evaluating the current state of
information security, to support information security management, risks
identification and business and internal control processes.
Resumo. Os processos de negcio das organizaes so suportados por
tecnologias da informao, apesar de muitos processos e sistemas no terem
sido projetados para serem seguros. A falta de um mtodo para avaliar a
segurana poder expor a organizao ao risco em diversas situaes. Este
artigo apresenta um processo para a gesto da maturidade da segurana da
informao atravs de um mtodo de medio e um conjunto de controles que
tratam a segurana da informao de forma abrangente. Os resultados
indicam que o mtodo eficiente para avaliar o estado atual da segurana,
auxiliar no processo de gesto da segurana da informao e identificao de
riscos, e apoiar a melhoria dos processos e controles internos da organizao.
1. Introduo
O gerenciamento da segurana da informao exige uma viso bastante abrangente e
integrada de vrios domnios de conhecimento, englobando aspectos de gesto de
riscos, de tecnologias da informao, de processos de negcios, de recursos humanos,
da segurana fsica e patrimonial, de auditoria, de controle interno e tambm de
requisitos legais e jurdicos. Uma abordagem gerencial que considera a segurana como
um assunto somente de tecnologia, comum nas organizaes, pode ser a raiz de muitos
problemas, pois gerenciam a segurana da informao dentro das estruturas de
operaes de Tecnologia da Informao (TI), com menos viso e controle gerencial.
A avaliao crtica e metdica dos controles relacionados segurana da
informao torna-se necessria j que tecnologias, processos de negcio e pessoas
mudam, alterando constantemente o nvel de risco atual e gerando novos riscos
organizao (PINHEIRO e SLEIMAN, 2009).
O desafio est em definir objetivos de segurana da informao, alcan-los,
mant-los e melhorar os controles que os suportam, para assegurar a competitividade, a
lucratividade, o atendimento a requisitos legais e a manuteno da imagem da
VII Simpsio Brasileiro de Sistemas de Informao
93
organizao junto sociedade e ao mercado financeiro. Modelos de maturidade podem
ajudar a enfrentar este desafio.
Os modelos de maturidade so baseados na melhoria de processos e na
existncia de fundamentos para guiar e medir a implementao e a melhoria dos
processos (CHAPIN e AKRIDGE, 2005). Atualmente existem pesquisas relacionadas
ao uso de modelos para medir a maturidade de Sistemas de Gesto de Segurana da
Informao (CHAPIN e AKRIDGE, 2005) (ACEITUNO, 2007) (WOODHOUSE,
2008) (PARK et al, 2008) (JANSSEN, 2008) (CUNHA, 2008).
Este artigo prope um mtodo para a gesto da segurana da informao atravs
de um processo de avaliao peridica de maturidade e da melhoria contnua dos
controles. O modelo proposto genrico e aplicvel a todos os tipos de organizao,
independente de tamanho ou rea de atuao, atravs do uso dos 133 objetivos de
controle de segurana da informao constantes da norma ABNT NBR ISO/IEC 27002
(ABNT NBR ISO/IEC 27002:2005, 2007). O modelo proposto faz uso de controles
adequados, dependentes da anlise do risco e da evoluo do ambiente geral.
O texto do artigo est organizado em sete sees. A seo 2 apresenta os
principais trabalhos relacionados. A seo 3 apresenta as principais normas tcnicas
relacionadas segurana da informao e gesto de riscos. A seo 4 descreve
conceitos bsicos sobre modelos de maturidade. A seo 5 dedicada especificao
do modelo de avaliao da segurana da informao atravs da medio de nveis de
maturidade. A seo 6 apresenta um estudo de caso onde o modelo foi aplicado em uma
organizao para verificao da sua eficcia. A ltima seo apresenta as concluses.
2. Trabalhos relacionados
No trabalho de (JANSSEN, 2008), o objetivo principal propor um instrumento de
avaliao da maturidade dos processos de segurana da informao para instituies
hospitalares. um estudo exploratrio, de natureza qualitativa, com aplicao de
questionrios semiestruturados para estudo de caso em 3 instituies hospitalares. Como
concluso do trabalho foi destacada a aprovao do instrumento com relao sua
utilidade para avaliar a maturidade dos processos de segurana da informao em
instituies hospitalares. O trabalho desenvolvido por (JANSSEN, 2008) se assemelha a
este trabalho na utilizao da norma ABNT NBR ISO/IEC 27002 e no uso de um
modelo de maturidade. A principal diferena que no nosso trabalho apresentado um
processo de gesto para melhoria contnua da segurana, na forma de um modelo
genrico aplicvel a todos os tipos de organizao, independente de tamanho ou rea de
atuao, atravs do uso dos 133 objetivos de controle de segurana da informao
constantes da norma ABNT NBR ISO/IEC 27002. A principal diferena que o modelo
proposto por (JANSSEN, 2008) apresenta proposies especficas, estticas, e que pode
no possibilitar ao avaliador a adequada anlise dos riscos na medida em que haja
evoluo das tecnologias, processos de negcio e/ou requisitos externos aplicveis.
O trabalho de (CUNHA, 2008) teve como objetivo criar um modelo para que a
alta administrao da organizao incorpore requisitos de segurana da informao
como parte de seu processo de governana computacional, de forma a evidenciar de
maneira objetiva os riscos relacionados informao no momento da definio do
planejamento estratgico da organizao. As semelhanas com o nosso trabalho esto na
utilizao da norma ABNT NBR ISO/IEC 27002, o modelo de governana de TI -
VII Simpsio Brasileiro de Sistemas de Informao
94
CobiT, e avaliaes de riscos. A principal diferena est no objetivo do estudo, uma vez
que o foco do modelo proposto por (CUNHA, 2008) o alinhamento entre o
planejamento estratgico da segurana da informao e o planejamento estratgico da
organizao, no apresentando um mtodo para medio da situao atual da segurana
e do acompanhamento e evoluo da segurana e de seus processos relacionados.
Em (WOODHOUSE, 2008) existe uma proposta terica de um modelo de
maturidade de um sistema de gesto da segurana da informao (SGSI), composto por
nove nveis: -3 (Subversivo), -2 (Arrogante), -1 (Obstrutivo), 0 (Negligente), 1
(Funcional), 2 (Tcnico), 3 (Operacional), 4 (Gerenciado) e 5 (Estratgico). Os nveis
com nmeros negativos demonstram uma postura de desinteresse e falta de
responsabilidade na segurana da informao considerando riscos da prpria empresa e
das empresas com as quais existem interaes. O trabalho de (WOODHOUSE, 2008) se
assemelha a este trabalho por no utilizar uma metodologia baseada em checklists
genricos criados com base em controles tcnicos. No entanto, (WOODHOUSE, 2008)
no apresenta um mtodo para efetivamente realizar medies e apurar o nvel de
maturidade da segurana da informao. O artigo se limita a definir nove nveis para
avaliar a maturidade de um sistema de gesto da segurana da informao com base na
cultura de uma organizao, e no a maturidade dos processos relacionados segurana
da informao e respectivos riscos ao negcio da organizao.
(PARK et al, 2008) apresenta uma maneira de medir a maturidade de
gerenciamento de servios de tecnologia da informao e usa as melhores prticas
definidas no IT Infrastructure Library (ITIL) como fundamento. O artigo demonstra a
fase de entrevista com os responsveis, a fase de clculos da maturidade e ainda os
resultados obtidos com os clculos. O modelo de (PARK et al, 2008), baseado nas
melhores prticas do ITIL, apresenta a limitao de avaliar a segurana sob a tica dos
processos de Suporte e Entrega de Servios, essencialmente vinculados Tecnologia da
Informao, no permitindo uma anlise dos riscos segurana da informao gerados
em processos do negcio no essencialmente relacionados TI.
3. Principais normas tcnicas relacionadas segurana da informao
As principais referncias normativas so as normas da famlia 27000 da International
Organization for Standardization (ISO), especficas para gesto da segurana da
informao, e adotadas pela Associao Brasileira de Normas Tcnicas (ABNT).
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informao - Tcnicas de
segurana - Sistemas de gesto de segurana da informao - Requisitos: uma
traduo da ISO/IEC 27001:2005 e tem como objetivo prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gesto da Segurana da Informao (SGSI) (ABNT NBR ISO/IEC
27001:2006).
ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informao - Tcnicas de
segurana - Cdigo de prtica para a gesto da segurana da informao: verso
atualizada da ABNT NBR ISO/IEC 17799 de 2005, o fundamento normativo da
segurana da informao. O objetivo da norma estabelecer diretrizes e princpios
gerais para iniciar, implementar, manter e melhorar a gesto da segurana da
informao, atravs da definio de controles que podem ser utilizados para atender aos
requisitos identificados por meio da anlise/avaliao de riscos (ABNT NBR ISO/IEC
VII Simpsio Brasileiro de Sistemas de Informao
95
27002:2005, 2007). A norma est estruturada em 11 sees de controles de segurana
da informao, divididas em 39 categorias principais de segurana e uma seo
introdutria que aborda a anlise/avaliao e o tratamento de riscos. So definidos 133
controles aplicveis segurana da informao. A norma ABNT NBR ISO/IEC
27002:2005 no perfeita e prev que as organizaes possam vir a utilizar mais
controles alm dos que ela recomenda.
A ABNT NBR ISO/IEC 27005, adoo idntica ISO/IEC 27005:2008, fornece
as diretrizes para a avaliao de riscos da segurana da informao, de acordo com os
conceitos definidos na ABNT NBR ISO/IEC27001, para implementao da segurana
da informao baseada na gesto de riscos (ABNT NBR ISO/IEC 27005, 2008).
4. Modelos de maturidade de segurana
Um modelo de maturidade de segurana fornece um guia para um programa de
segurana completo. Define, tambm, a ordem na qual os elementos de segurana
devem ser implementados, incentiva o uso de padres de melhores prticas e fornece
um meio para comparar programas de segurana (CHAPIN e AKRIDGE, 2005).
Aps identificar processos e controles crticos, o uso de um modelo de
maturidade permite a identificao de lacunas que representam risco e sua
demonstrao administrao. Com base nessa anlise podero ser avaliados e
desenvolvidos planos de ao para melhoria dos processos e controles considerados
deficientes at o nvel de desenvolvimento desejado (ITGI, 2007).
Algumas abordagens de padres para gerenciamento da segurana da
informao podem ser classificados da seguinte forma: orientados a processos como
CobiT e ITIL; orientados a controles como ISO 27001; orientados a produtos como os
Critrios Comuns (ISO 15408); orientados a gerenciamento de riscos como OCTAVE e
ISO 27005 e orientados a melhores prticas como a ISO 27002. O trabalho de
(ACEITUNO, 2007) define um modelo de maturidade para o gerenciamento da
segurana da informao, compatvel com a norma ISO 27001.
5. O modelo de avaliao por nveis de maturidade
O modelo apresentado neste artigo almeja avaliar a segurana da informao de maneira
abrangente, fazendo com que o foco da segurana da informao esteja de acordo com
os objetivos organizacionais. O modelo tem como principais caractersticas:
a) Ser estruturado na forma de um processo de gesto que possibilite avaliao e
melhoria contnuas, atravs do uso da norma ABNT NBR ISO/IEC 27001.
b) Ser baseado em controles apropriados para a segurana da informao, atravs
do uso da norma ABNT NBR ISO/IEC 27002;
c) Fornecer meio para medir a situao atual da gesto da segurana da informao
e sua evoluo ao longo do tempo, atravs do uso de um modelo de maturidade;
d) Fornecer subsdio para levar a aes de melhoria oportunas e viveis, baseadas
nos riscos, suportado pelo uso da ABNT NBR ISO/IEC 27005.
5.1. Avaliao e melhoria contnua
Como os riscos so dinmicos, os requisitos de segurana da informao so alterados
constantemente. A norma ABNT NBR ISO/IEC 27001 adota o modelo Plan-Do-Check-
Act (PDCA) para estruturar os processos do SGSI e garantir a melhoria contnua.
VII Simpsio Brasileiro de Sistemas de Informao
96
5.2. Controles de segurana da informao
O modelo de avaliao deste
ABNT NBR ISO/IEC 27002.
5.3. Medio e Acompanhamento
O CobiT (Control Objectives for Information and
conjunto de indicadores obtid
controle das atividades do que na sua execuo, que auxiliam na otimizao de
investimentos em TI, garantem a entrega de servio e providenciam uma medid
emitir julgamento e permitir a comparao.
O modelo de gesto da segurana da informao apresentado neste
sua base de medio suportada
Figura 1. Representao grfica do modelo de maturidade
A escala de maturidade utilizada neste
Tabela 1. Escala utiliz
Nvel Caractersticas
0 No-
Existente
Completa falta de qualquer processo reconhecvel. A organizao ainda no
reconheceu que h um risco a ser tratado.
1 Inicial Existe uma evidncia de que a organizao reconheceu que riscos existem e
precisam ser tratados.
existem alguns processos aplicados caso
2 Repetitivo Processos foram desenvolvidos at o estgio em que procedimentos similares
so seguidos por diferentes pessoas que
treinamento formal ou comunicao dos procedimentos, e a responsabilidade
individual. Existe uma alta confiana no conhecimento das pessoas, sendo
os erros comuns.
3 Definido Procedimentos foram documentados
treinamento. obrigatrio que os procedimentos sejam seguidos; entretanto,
improvvel que desvios sejam detectados. Os procedimentos no so
s, sofisticados, mas so a formalizao das prticas existentes.
4 Gerenciado A gerncia monitora e mensura a conformidade com os procedimentos e
toma aes quando os processos parecem no funcionar efetivamente.
Processos esto sob constante melhoria e utilizam boas prticas. Ferramentas
e automao so utilizadas em uma maneira
.2. Controles de segurana da informao
deste artigo utiliza a estrutura de objetivos de controle
ABNT NBR ISO/IEC 27002. A norma define 133 controles que podero ser avaliados.
.3. Medio e Acompanhamento
Control Objectives for Information and Related Technology
obtidos atravs do consenso de experts, mais focad
controle das atividades do que na sua execuo, que auxiliam na otimizao de
investimentos em TI, garantem a entrega de servio e providenciam uma medid
emitir julgamento e permitir a comparao.
O modelo de gesto da segurana da informao apresentado neste
sua base de medio suportada na escala de maturidade do CobiT (figura
Representao grfica do modelo de maturidade utilizado no CobiT
(adaptado de ITGI, 2007).
de maturidade utilizada neste artigo apresentada na tabela 1.
Escala utilizada para os nveis de maturidade
(adaptado de ITGI, 2007)
Caractersticas
Completa falta de qualquer processo reconhecvel. A organizao ainda no
reconheceu que h um risco a ser tratado.
Existe uma evidncia de que a organizao reconheceu que riscos existem e
precisam ser tratados. No entanto, no h qualquer processo padronizado;
existem alguns processos aplicados caso-a-caso por iniciativas individuais.
Processos foram desenvolvidos at o estgio em que procedimentos similares
so seguidos por diferentes pessoas que realizam a mesma tarefa. No h
treinamento formal ou comunicao dos procedimentos, e a responsabilidade
individual. Existe uma alta confiana no conhecimento das pessoas, sendo
os erros comuns.
Procedimentos foram documentados, formalizados e comunicados atravs de
treinamento. obrigatrio que os procedimentos sejam seguidos; entretanto,
improvvel que desvios sejam detectados. Os procedimentos no so
sofisticados, mas so a formalizao das prticas existentes.
A gerncia monitora e mensura a conformidade com os procedimentos e
toma aes quando os processos parecem no funcionar efetivamente.
Processos esto sob constante melhoria e utilizam boas prticas. Ferramentas
e automao so utilizadas em uma maneira limitada e fragmentada.
utiliza a estrutura de objetivos de controle da norma
que podero ser avaliados.
echnology) apresnta um
s atravs do consenso de experts, mais focados no
controle das atividades do que na sua execuo, que auxiliam na otimizao de
investimentos em TI, garantem a entrega de servio e providenciam uma medida para
O modelo de gesto da segurana da informao apresentado neste artigo tem a
igura 1).

utilizado no CobiT
tabela 1.

Completa falta de qualquer processo reconhecvel. A organizao ainda no
Existe uma evidncia de que a organizao reconheceu que riscos existem e
No entanto, no h qualquer processo padronizado;
caso por iniciativas individuais.
Processos foram desenvolvidos at o estgio em que procedimentos similares
realizam a mesma tarefa. No h
treinamento formal ou comunicao dos procedimentos, e a responsabilidade
individual. Existe uma alta confiana no conhecimento das pessoas, sendo
e comunicados atravs de
treinamento. obrigatrio que os procedimentos sejam seguidos; entretanto,
improvvel que desvios sejam detectados. Os procedimentos no so, por si
sofisticados, mas so a formalizao das prticas existentes.
A gerncia monitora e mensura a conformidade com os procedimentos e
toma aes quando os processos parecem no funcionar efetivamente.
Processos esto sob constante melhoria e utilizam boas prticas. Ferramentas
limitada e fragmentada.
VII Simpsio Brasileiro de Sistemas de Informao
97
Nvel Caractersticas
5 Otimizado Os processos foram refinados ao nvel de melhores prticas, baseado no
resultado de melhorias contnuas e de comparao com outras organizaes.
TI utilizada de maneira integrada para automatizar fluxos de trabalho.
5.4. Fases do ciclo de avaliao e melhoria contnua
Uma mtrica, ou indicador, por si s, no a resposta para gerenciar os problemas de
segurana da informao de uma organizao. Alm de medir, deve existir ao sobre
os problemas encontrados e o acompanhamento da evoluo ao longo do tempo. A
figura 2 apresenta as oito fases que compem o ciclo de avaliao da maturidade da
segurana da informao (SI) proposto.

Figura 2. Fases do ciclo de avaliao e melhoria da segurana da informao (SI)
5.4.1. Definio do escopo de avaliao
Nesta fase ser definido o escopo para a avaliao do nvel de maturidade da segurana.
Uma organizao pode possuir atividades administrativas, industriais e de prestao de
servios, e considerar conveniente dividir a avaliao da maturidade em partes.
A definio do escopo consiste em identificar as reas, tecnologias e processos
da organizao que sero includos na avaliao (ABNT NBR ISO/IEC 27001, 2006).
5.4.2. Anlise dos riscos relacionados segurana da informao
Nesta fase a organizao realizar a identificao global dos riscos relacionados
segurana das suas informaes, para garantir que os controles selecionados estejam
relacionados ao tratamento dos riscos (ABNT NBR ISO/IEC 27001, 2006).
A metodologia de anlise pode ser quantitativa, qualitativa ou uma combinao
de ambas. A estimativa qualitativa frequentemente utilizada em primeiro lugar, para
que se obtenha uma indicao geral do nvel de risco e tornar evidentes grandes riscos, e
normalmente menos complexa e menos onerosa (ABNT NBR ISO/IEC 27005, 2008).
Este modelo utiliza o mtodo qualitativo para anlise de riscos, atravs do uso de
uma escala com atributos qualificadores que descrevem a magnitude das consequncias
potenciais (impacto) e a probabilidade dessas consequncias ocorrerem. Essa
abordagem foi considerada suficiente para a identificao dos riscos e para suportar a
deciso de escolha dos controles de segurana da informao a serem avaliados.
VII Simpsio Brasileiro de Sistemas de Informao
98
5.4.3. Seleo dos controles de segurana da informao
Nesta fase so selecionados os controles de segurana da informao, constantes da
ABNT NBR ISO/IEC 27002, considerados aplicveis para a cobertura dos riscos
identificados na fase de anlise dos riscos relacionados segurana da informao.
Apesar de o modelo utilizar a estrutura de controles da ABNT NBR ISO/IEC
27002 como base de avaliao, as organizaes devem ser capazes de identificar outros
controles, considerando, por exemplo, a anlise dos riscos corporativos, a gesto da
conformidade, outras fontes de requisitos legais ou regulamentares aplicveis, ou de
melhores prticas adotadas no setor ao qual a organizao estiver inserida.
5.4.4. Planejamento da anlise dos controles de segurana da informao
Nesta fase ser realizado um planejamento para anlise e avaliao dos objetivos de
controle considerados aplicveis e suas respectivas atividades de controle. Esta fase tem
por finalidade identificar e comprometer as partes envolvidas nas anlises, identificar as
partes interessadas, definir um cronograma para as atividades de avaliao do ciclo, e
criar um plano de comunicao para os resultados obtidos.
5.4.5. Anlise e avaliao da maturidade dos controles de segurana da informao
Nesta fase o nvel de maturidade de cada controle ser comparado com a anlise de
riscos e, caso necessrio, aes devem ser propostas para correo e/ou melhoria das
atividades relacionadas. Esta fase dividida em cinco etapas:
a) Identificao dos processos e atividades relacionadas: os controles de segurana da
informao so cumpridos nas atividades dos processos de negcio, operacionais
(execuo da tarefa) ou de controle (verificao ou aprovao da tarefa executada).
Esta etapa consiste em identificar e relacionar ao controle de segurana todos os
processos, procedimentos e atividades que contribuam para que seja cumprido;
b) Anlise do nvel de maturidade do controle: com base nos processos e atividades que
suportam o controle avaliado, apurar o nvel de maturidade do controle de acordo
com a escala de maturidade utilizada pelo modelo. Possivelmente haver atividades
relacionadas ao mesmo controle com nveis de maturidade distintos;
c) Avaliao da maturidade do controle: nesta etapa ser avaliado se a maturidade do
controle, apurada pelo conjunto das atividades que o suportam, est de acordo com a
maturidade necessria para tratar os riscos relacionados ao negcio;
d) Definio de melhorias necessrias: com base nas possveis deficincias encontradas
no cumprimento dos controles, nesta etapa sero documentadas as aes e melhorias
nas atividades relacionadas ao controle de segurana, ou mesmo a criao de novas
atividades, para manter o risco em nvel adequado. As alteraes devem ser
documentadas em conjunto com os responsveis pelos processos de negcio;
e) Comunicao dos resultados aos responsveis pelo controle: nesta etapa os
resultados da anlise do controle de segurana so comunicados aos responsveis,
para que tomem conhecimento e possam avaliar as aes necessrias e possveis
intervenes emergenciais.
5.4.6. Consolidao dos planos de ao de segurana da informao
razovel esperar que diversos objetivos de controle possam ter planos de ao em
comum, relacionados ou mesmo interdependentes. Nesta fase todas as melhorias
VII Simpsio Brasileiro de Sistemas de Informao
99
propostas sero consolidadas e organizadas de acordo com os processos e atividades de
negcio aos quais esto relacionadas. Esta fase est dividida em quatro etapas.
a) Reviso e organizao das melhorias identificadas: nesta etapa todas as melhorias
identificadas so analisadas em conjunto, para identificao de pontos em comum e
para a convergncia das aes de melhoria;
b) Definio do responsvel pela execuo: esta etapa tem a finalidade de indicar, para
cada plano de ao proposto, um responsvel pela sua execuo e acompanhamento;
c) Aprovao dos planos de ao: nesta etapa os planos de ao devem ser aprovados.
Tambm ocorre a priorizao dos planos e a definio da data de incio da execuo;
d) Comunicao dos planos de ao: nesta etapa os planos de ao so comunicados aos
responsveis, de maneira a torn-los conscientes dos trabalhos a serem realizados.
5.4.7. Acompanhamento dos planos de ao de segurana da informao
Nesta fase ser realizado um acompanhamento da execuo dos planos de ao para
verificar o cumprimento dos prazos e avaliar possveis desvios de execuo.
5.4.8. Fechamento, documentao e emisso de relatrios
Nesta fase so registradas as aes realizadas durante o ciclo de avaliao e
confeccionados relatrios operacionais e gerenciais. Nesta fase documentada a
evoluo do nvel de maturidade dos objetivos de controle.
A documentao de fechamento dever ser completa o suficiente para
demonstrar a evoluo da segurana da informao, conscientizar a direo para os
principais pontos de ateno e riscos remanescentes, justificar a necessidade de recursos
para melhorar o nvel de segurana, e embasar as anlises crticas de melhoria do SGSI.
6. Estudo de caso de avaliao da maturidade da segurana da informao
Um estudo de caso foi realizado para aplicao do modelo de avaliao do nvel de
maturidade da segurana da informao. A organizao que participou do estudo possui
sua sede administrativa situada em Florianpolis, no Estado de Santa Catarina.
O escopo de avaliao escolhido foi o conjunto de processos e atividades
administrativas da organizao. A organizao j havia realizado, em anos anteriores,
avaliaes de segurana da informao com mtodo semelhante ao descrito neste artigo,
fato que facilitou as tarefas de avaliao e diminuiu o tempo de anlise.
A organizao avaliada no possua, no incio dos trabalhos, uma avaliao
formal dos riscos especificamente relacionados segurana da informao. Considerou-
se que uma anlise completa dos controles de segurana da informao seria adequada
para a apurao do atual nvel de maturidade e identificao de riscos desconhecidos.
Inicialmente, em virtude da grande extenso dos processos de negcio da
organizao, decidiu-se por considerar como sendo aplicvel a maioria dos controles de
segurana da informao propostos na norma ABNT NBR ISO/IEC 27002. O controle
10.9.1 - Comrcio Eletrnico - foi o nico controle excludo do escopo de anlise, pois
a organizao no apresenta este tipo de atividade.
A avaliao dos controles foi realizada pelo responsvel pela segurana da
informao, com a possibilidade de consulta aos especialistas em cada rea.
VII Simpsio Brasileiro de Sistemas de Informao
100
Foi selecionado para exemplo o controle 11.2.4 - Anlise crtica dos direitos de
acesso de usurio, objetivo de controle 11.2 - Gerenciamento de acesso do usurio. De
acordo com a ABNT NBR ISO/IEC 27002, convm que o gestor conduza a intervalos
regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo
formal, a fim de manter um efetivo controle sobre os acessos. As atividades realizadas
nos cinco passos de avaliao foram:
a) Identificao dos processos e atividades relacionadas: a organizao possua um
processo semestral de reviso dos direitos de acesso ao ambiente computacional.
Todo o processo de reviso estava formalizado em um procedimento de gesto, e a
Poltica de Segurana de Informaes atribua as responsabilidades pelo processo de
reviso aos usurios chave de cada sistema, mdulo ou ambiente computacional.
Houve treinamento dos responsveis pela reviso e h material de apoio disponvel.
A coordenao do processo era realizada pelo responsvel pela segurana da
informao. Entretanto, a solicitao da reviso de acessos e a resposta de concluso
eram realizadas por e-mail, com pouco controle sobre a execuo do processo;
b) Anlise do nvel de maturidade do controle: de acordo com a escala de maturidade
utilizada neste trabalho, a existncia de um processo formalmente definido e
aprovado, com responsabilidades identificadas, e com treinamento dos envolvidos
caracteriza o nvel de maturidade 3 Definido;
c) Avaliao do nvel de maturidade do controle: a organizao, por estar submetida a
exigncias de controles nos processos de TI, necessitava demonstrar que possua
controle sobre o processo de reviso de direitos de acesso. Neste caso no bastava
para a organizao ter um processo definido para realizar a atividade, mas um
processo para controlar a atividade de modo a garantir que fosse executada de acordo
com o definido. Como consequncia a organizao considerou necessrio melhorar o
processo de reviso de direitos de acesso de modo a atingir o nvel 4 - Gerenciado.
d) Definio de melhorias necessrias: para alcanar o nvel 4 de maturidade
(gerenciado) as seguintes aes foram sugeridas:
i. Fazer um sistema para registrar todos os ciclos de reviso de direitos de acesso,
contendo ambientes que participaram do ciclo, responsveis e data de concluso;
ii. Modificar o processo de reviso de direitos de acesso para que houvesse controle
documentado sobre a realizao das revises;
iii. Realizar comunicao formal ao responsvel pelo sistema, mdulo ou ambiente
que no tivesse seu processo de reviso concludo no prazo estipulado; e
iv. Realizar comunicao formal sobre o acompanhamento do processo ao gerente da
rea de TI e auditoria interna sobre a finalizao do ciclo de reviso.
e) Comunicao dos resultados aos responsveis pelo controle: as aes propostas
foram documentadas e encaminhadas ao gerente de TI e auditoria interna.
Aps a finalizao das avaliaes do nvel de maturidade de todos os controles
selecionados, as aes propostas deram origem a planos de ao. Os planos de ao que
no necessitavam de recursos financeiros foram selecionados para serem executados
primeiro. Os planos de ao que necessitavam de investimento ou exigiam mudanas
maiores em processo sero acompanhados pela organizao. A cada novo ciclo de
avaliao os controles aplicveis sero reavaliados e os planos de ao revisados.
A tabela 2 apresenta os resultados dos nveis de maturidade mdios apurados
para cada seo da norma ABNT NBR ISO/IEC 27002 na avaliao.
VII Simpsio Brasileiro de Sistemas de Informao
101
Tabela 2. Nveis de maturidade mdios apurados
Seo Descrio ABNT NBR ISO/IEC 27002
Maturidade
mdia
5 Poltica de segurana da informao 3,17
6 Organizando a segurana da informao 2,78
7 Gesto de ativos 2,55
8 Segurana em recursos humanos 2,35
9 Segurana fsica e do ambiente 3,24
10 Gerenciamento das operaes e comunicaes 2,61
11 Controle de acessos 2,59
12 Aquisio, desenvolvimento e manuteno de sistemas de informao 2,80
13 Gesto de incidentes de segurana da informao 1,55
14 Gesto da continuidade do negcio 2,02
15 Conformidade 2,24
A figura 3 apresenta a visualizao dos nveis de maturidade mdios apurados.

Figura 3. Visualizao dos nveis de maturidade mdios apurados no estudo de caso
Atravs da anlise dos resultados obtidos, considera-se que a organizao possui
um nvel de maturidade mdio geral de 2,54. Isso indica que, em mdia, seus processos
relacionados segurana da informao esto sendo estruturados para serem definidos
formalmente. A organizao considera que a maioria dos seus processos possui nvel de
maturidade adequado sua realidade, sendo que os principais controles relacionados
conformidade com requisitos externos esto classificados nos nveis entre 3 e 4.
Diversos planos de ao criados objetivaram pequenas melhorias em processos, no
estando necessariamente relacionados a incrementos do nvel de maturidade.
A partir das anlises realizadas durante o estudo de caso observou-se que a
organizao participante do estudo delegou a responsabilidade pela realizao das
anlises e avaliaes a apenas uma pessoa. O fato de o responsvel pela avaliao estar
subordinado ao departamento de TI poderia caracterizar falta de independncia para
avaliao. Considera-se, contudo, que tal situao tem pouca influncia na avaliao do
mtodo em si e nos benefcios gerados pela sua utilizao.
De acordo com a percepo da organizao, o mtodo de avaliao dos controles
da norma ABNT NBR ISO/IEC 27002 por meio de nveis de maturidade proporcionou
algumas vantagens, conforme relato do responsvel pela rea de TI: Este mtodo no
VII Simpsio Brasileiro de Sistemas de Informao
102
ser utilizado apenas como uma forma de avaliao isolada, e sim como um instrumento
de gesto para a segurana das nossas informaes. Alm de fornecer uma foto do
cenrio atual dos nossos controles, o mtodo proporciona a criao de documentao
para avaliao e direcionamento dos esforos para a melhoria da segurana. Muitas
aes de melhoria foram identificadas com a avaliao individual de cada item de
controle, e o modelo de maturidade auxilia na sua priorizao.
7. Concluses e Trabalhos Futuros
O detalhamento de um mtodo para a gesto da segurana da informao atravs da
avaliao peridica da maturidade e melhoria contnua dos controles foi mostrado. O
uso da escala de maturidade aliado ao processo cclico de avaliao proporcionou a
gerao de indicadores instantneos e temporais para a gesto da segurana da
informao (RIGON, 2010).
A semelhana entre este trabalho e os trabalhos relacionados apresentados est
no uso da norma ABNT NBR ISO/IEC 27002 e de um modelo de maturidade. A
principal diferena reside no fato de que os modelos propostos que apresentam
proposies especficas, estticas, podem no possibilitar ao avaliador a adequada
anlise dos riscos inerentes ao negcio na medida em que haja evoluo do ambiente.
Outra importante diferena que este trabalho procura definir um modelo genrico de
avaliao, aplicvel a todos os tipos de organizao, atravs do uso de todos os
objetivos de controle constantes da norma ABNT NBR ISO/IEC 27002.
Consideramos que o uso de modelos com proposies estticas e especficas
para um determinado setor til para avaliadores iniciantes ou inexperientes, pois pode
conter exemplos do que poderia ser feito para melhorar os seus processos de segurana;
contudo, limitam a avaliao s questes propostas, viso do elaborador e ao tempo
em que foram criadas. J o uso de um modelo genrico pode no ser o mais adequado
para avaliadores iniciantes, que devem primeiro compreender e interpretar as normas;
no entanto, propiciam ao avaliador experiente espao para adequaes e expanses do
escopo de avaliao de acordo com mudanas dos nveis de risco ao longo do tempo,
sendo mais condizente com o ciclo de melhoria contnua.
A percepo da organizao que participou do estudo de caso indica que o
mtodo de avaliao apresentado pode ser eficaz para avaliar o estado atual da
segurana da informao da organizao, para auxiliar nos processos de gesto,
identificao de riscos, e para apoiar a melhoria dos processos e controles internos.
Alguns trabalhos futuros podem ser sugeridos: (a) Projetar ferramenta para
automatizar a vinculao dos resultados das avaliaes de riscos dos objetivos de
controle a nveis de maturidade mnimos a serem atingidos; (b) Aplicar o instrumento
de avaliao proposto em outras organizaes para possibilitar comparaes entre
organizaes do mesmo setor; (c) Criar modelos que possam ser utilizados em todas as
fases e etapas de avaliao; e (d) Inserir no ciclo de avaliao uma fase para auditoria
independente dos resultados, para as organizaes que optarem pela auto avaliao.
8. Referncias
ACEITUNO, Vicente. ISM3 - Information Security Managemente Maturity Model v.
2.1. ISM3 Consortium. 2007. Disponvel em <http://www.ism3.com/page1.php>.
Acesso em: 20 janeiro 2011.
VII Simpsio Brasileiro de Sistemas de Informao
103
ABNT. NBR ISO/IEC 27001:2006: Tecnologia da informao Tcnicas de segurana
Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro, 2006.
34 p.
ABNT. NBR ISO/IEC 27002:2005: Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005.
120 p.
ABNT. NBR ISO/IEC 27005:2008: Tecnologia da informao - Tcnicas de segurana
- Gesto de riscos de segurana de informao. Rio de Janeiro, 2008. 55 p.
CHAPIN, D. A. e AKRIDGE, S. "How can security be measured," Information Systems
Control Journal, vol. 2, pp. 43-47, 2005.
CUNHA, Renato Menezes da. Modelo de Governana da Segurana da Informao no
Escopo da Governana Computacional. UFPE. 2008. Disponvel em <
http://www.bdtd.ufpe.br/tedeSimplificado/tde_arquivos/26/TDE-2009-03-
09T123252Z-5469/Publico/rmc.pdf >. Acesso em: 29 abril 2010.
ITGI IT GOVERNANCE INSTITUTE. CobiT 4.1 - Control Objectives for Information
and related Technology - Framework. Rolling Meadows - USA: [s.n.], 2007.
Disponvel em <http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx>. Acesso em: 12 setembro 2010.
JANSSEN, Luis Antonio. Instrumento de avaliao de maturidade em processos de
segurana da informao: estudo de caso em instituies hospitalares. PUC-RS.
2008. Disponvel em <http://tede.pucrs.br/tde_arquivos/2/TDE-2008-04-
22T140541Z-1200/Publico/400421.pdf >. Acesso em: 29 abril 2010.
MARANHO, Mauriti; ISO Srie 9000: manual de implementao: verso ISO 2000.
6 ed. Rio de Janeiro: Qualitymark, 2001. 220p.
PARK, Jung-Oh; KIM, Sang-Geun; CHOI, Byeong-Hun; JUN, Moon-Seog. The Study
on the Maturity Measurement Method of Security Management for ITSM. In: Proc.
of the International Conference on Convergence and Hybrid Information
Technology, pp.826-830, 2008. IEEE Press.
PINHEIRO, Patrcia Peck; SLEIMAN, Cristina Moraes. Tudo o que voc precisa saber
sobre direito digital no dia-a-dia. So Paulo: Saraiva, 2009. 58p.
RAMOS, Anderson (org.). Security Officer - 1: guia oficial para formao de gestores
em segurana da informao. Porto Alegre: Zouk, 2006. 460p.
RIGON, Evandro Alencar. Modelo de Avaliao da Maturidade da Segurana da
Informao. UFSC. 2010. Disponvel em
<http://projetos.inf.ufsc.br/arquivos_projetos/projeto_1055/Modelo_Avaliacao_Matu
ridade_Seguranca_Informacao_Rigon.pdf>. Acesso em: 08 abril 2011.
WOODHOUSE, Steven. 2008. An ISMS (Im)-Maturity Capability Model. In:
Proceedings of the 2008 IEEE 8th International Conference on Computer and
Information Technology Workshops (CITWORKSHOPS '08). IEEE Computer
Society, Washington, DC, USA, pp. 242-247.
VII Simpsio Brasileiro de Sistemas de Informao
104