Governança de Tecnologia da Informação

Aula 03
COBIT® e a Governança de TI

Objetivos Específicos
• Identificar e avaliar os fundamentos da segurança de informação e da
continuidade dos negócios

Temas

Introdução
1 Aspectos fundamentais da segurança da informação
2 Gestão da Continuidade do Negócio
Considerações finais
Referências

Professores Autores
Bruno Domingos Rodrigues / Orlando Tuzzolo Júnior
 Governança de Tecnologia da Informação

Introdução
A informação existe em diversas formas: impressa, escrita em papel, armazenada de
forma eletrônica, armazenada na nuvem, sendo transmitida por diversos meios como e-mail,
internet, falas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003b).

A segurança da informação é um ativo muito importante para qualquer organização,

e, portanto, necessita ser adequadamente protegida, independentemente do meio em que
trafegue. Isso é especialmente importante quando tratamos a informação no contexto de
negócio. Como resultado deste momento atual, a informação está cada vez mais exposta
às vulnerabilidades e às ameaças do ambiente que a cerca (ASSOCIAÇÃO BRASILEIRA DE
NORMAS TÉCNICAS, 2003b).

Espera-se que, ao final desta aula, você compreenda como a segurança da informação é
apresentada pela norma NBR ISO/IEC 27001, que propõe a especificação de um Sistema de
Gerenciamento de Segurança da Informação com base na avaliação de riscos, estabelecendo
os objetivos de controle que devem ser atendidos, de acordo com as necessidades de negócio.

Você entenderá, ainda, que a norma NBR ISO/IEC 27002 estabelece um código de
melhores práticas para apoiar o Gerenciamento de Segurança da Informação, fornecendo um
substancial guia de implementação e descrevendo como controles podem ser estabelecidos.
Esses controles devem ser escolhidos com base em uma avaliação de riscos dos ativos mais
importantes da organização (MOLINARO; RAMOS, 2010).

Estudará, também, alguns conceitos fundamentais de segurança da informação e quais

são os aspectos que devem ser considerados nos sistemas de Gestão da Continuidade do
Negócio da organização, além de alguns casos sobre o que ocorreu com as organizações que
falharam em gerir a segurança da informação.

1 Aspectos fundamentais da segurança da informação

A norma NBR ISO/IEC 27001 considera mandatório o uso da norma NBR ISO/IEC 27002
como um guia de controles; entretanto, ela não limita a organização ao uso único dos
controles propostos pela norma NBR ISO/IEC 27002 (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2003a, 2003b). A organização pode considerar o uso de outros controles que
forem necessários. (MOLINARO; RAMOS, 2010).

As principais categorias de segurança da informação da norma NBR ISO/IEC 27002

(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003b) são:

• Política de segurança da informação.

• Organização da segurança da informação.

Senac São Paulo - Todos os Direitos Reservados 2

 Governança de Tecnologia da Informação

• Segurança em recursos humanos.

• Segurança física e do ambiente.

• Gestão de ativos.

• Controle de acesso.

• Criptografia.

• Segurança física e do ambiente.

• Segurança nas operações.

• Segurança nas comunicações.

• Aquisição, desenvolvimento e manutenção de sistemas.

• Relacionamento na cadeia de suprimento.

• Gestão de incidentes de segurança da informação.

• Aspectos da segurança da informação na gestão da continuidade do negócio.

• Conformidade.

Acesse a Midiateca e estude alguns casos de implantação da norma NBR ISO/IEC 27001 e
entenda como ela oferece valor para o negócio.

1.1 Conceitos importantes envolvidos na segurança da informação

Os pilares básicos da segurança da informação são a integridade, a confidencialidade e a
disponibilidade da informação (MARTINS, 2003).

Se uma informação for modificada sem que haja a permissão e o conhecimento do

seu proprietário, evidentemente a integridade estará comprometida. Caso alguém não
autorizado tenha acesso à informação, podendo, inclusive, distribuí-la para outras pessoas,
a confidencialidade será anulada. Finalmente, é preciso entender que a disponibilidade está
associada ao fato de que a informação deve estar disponível sempre que for requisitada.

Além dos três conceitos importantes citados por Martins (2003), existem outros que
foram definidos pela norma NBR ISO/IEC 27001 e que auxiliam no entendimento da dinâmica
da segurança da informação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003a).

Senac São Paulo - Todos os Direitos Reservados 3

 Governança de Tecnologia da Informação

a. Risco: é a combinação da probabilidade de um evento e de suas consequências;

b. Ativos: representam qualquer coisa que tenha valor para a organização;

c. Ameaças: são a causa potencial de um incidente indesejado, que pode resultar

em dano para um sistema ou uma organização;

d. Vulnerabilidade: representa a fragilidade de um ativo ou grupo de ativos que

pode ser explorada por uma ou mais ameaças;

e. Agentes ameaçadores: são os atores responsáveis pelas ameaças.

Figura 1 – Conceitos de segurança e seus relacionamentos

Desejam usufruir ou
danificar
Ativos

Para Valorizam

Aumentam Riscos Proprietários

Levam a Impõe Agentes

ameaçadores
Podem ter
Vulnerabilidades Contramedidas

Exploram Diminuem

Ameaças
Aumentam

Fonte: Molinaro e Ramos (2010, p. 100).

Acesse a Midiateca e conheça alguns casos reais de falhas na segurança da

informação em grandes empresas, as suas consequências e as recomendações para
evitar a reincidência.

2 Gestão da Continuidade do Negócio

A Gestão da Continuidade do Negócio é um processo holístico que identifica potenciais
impactos que ameaçam a organização e fornece um framework para aumentar a resiliência
e a capacidade de responder efetivamente, protegendo os interesses dos principais
stakeholders, a reputação da empresa, sua marca e suas atividades de criação de valor
(BUSINESS CONTINUITY INSTITUTE, 2015). A organização, nesse contexto, é qualquer uma
que forneça bens ou serviços, quer para clientes individuais, quer para outras organizações
empresariais.

Senac São Paulo - Todos os Direitos Reservados 4

 Governança de Tecnologia da Informação

Exemplos de organizações empresariais incluem fabricantes, empresas de distribuição,

organizações de vendas, organizações de transporte, como ferrovias ou companhias aéreas,
empresas de serviços públicos, empresas de produção e distribuição de eletricidade, água,
gás, telecomunicações e serviços comunitários, governo e assim por diante. Embora nem
todas sejam estabelecidas para gerar lucro, essas organizações fornecem algum serviço e
devem construir toda uma estrutura operacional que lhes permita entregar os serviços.

Como todas as organizações sofrem, igualmente, o risco dos efeitos de um desastre que
pode interromper suas operações, devem considerar a criação e a manutenção de um plano de
continuidade dos negócios para que possam otimizar suas chances de retomada bem-sucedida
após uma interrupção. É fundamental que se apurem fatores junto às áreas de negócios,
havendo clareza sobre alguns questionamentos, tais como: quanto tempo aquele negócio
pode ficar sem operar sem causar impactos severos para a imagem da empresa? Quanto
tempo levará a recuperação do processamento até o ponto que em parou? Quanto deverá
se alocar, em recursos financeiros, para cobrir despesas que podem advir da interrupção do
processamento (por exemplo, multas do setor regulatório por não cumprimento de prazos)?
Essas informações, indubitavelmente, serão fundamentais para a elaboração do plano e para
estabelecer a prioridade de recuperação.

2.1 O Ciclo de vida da Gestão de Continuidade do Negócio

O ciclo de vida da Gestão de Continuidade do Negócio compreende uma série de
elementos que precisam ser considerados a fim de implementar a gestão de continuidade de
negócio de forma eficaz (HILES, 2007).

De acordo com a norma NBR ISO/IEC 15999-1 (ASSOCIAÇÃO BRASILEIRA DE NORMAS

TÉCNICAS, 2007), a melhor maneira de implementar gradualmente um processo de Gestão
da Continuidade de Negócios é composta pelas seguintes fases:

1. Programa de Gerenciamento do BCM (BUSINESS CONTINUITY INSTITUTE, 2015).;

2. Entender a organização;

3. Determinar as estratégias do BCM;

4. Desenvolver e implementar as respostas do BCM;

5. Exercitar, manter e rever.

É importante que a organização avalie se a continuidade da segurança da informação

está contida dentro do processo de Gestão da Continuidade do Negócio ou no processo de
Gestão de Recuperação de Desastres. Requisitos de segurança da informação devem ser
determinados já no planejamento da continuidade do negócio e da recuperação de desastre,
o que variará conforme a complexidade do ambiente tecnológico e as demandas do negócio,
visando à preservação da confidencialidade e da integridade de informações importantes e à
disponibilidade destas, para não haver impactos negativos na imagem institucional da empresa.

Senac São Paulo - Todos os Direitos Reservados 5

 Governança de Tecnologia da Informação

Figura 2 – BCM Lifecycle. BS 25999-1:2007

CM na cultura d
r B aO
ta rga
en

lem

niz
Entender a Organização

açã
Imp

o
Programa de Determinar as
Gerenciamento do Estratégias do
Exercitar,
BCM – Business BCM – Business
manter e rever
Continuity Continuity
Management Management

Desenvolver e implementar as respostas do

BCM – Business Continuity Management

Fonte: Associação Brasileira de Norma Técnicas (2007, p. 39).

Os elementos do ciclo de vida da Gestão de Continuidade do Negócio podem ser

implementados em organizações de todos os tamanhos, em todos os setores: público,
privado, sem fins lucrativos, educacional, manufatura, visto que o fator mais importante
é a complexidade do ambiente tecnológico, que irá demandar um plano mais ou menos
elaborado, bem como um ciclo de testes mais intenso, resultando em investimentos maiores
para a organização.

2.2 Plano de continuidade do serviço de TI

O propósito do plano de continuidade do serviço de TI é apoiar a gestão global do processo
de continuidade de negócio. Por isso, ao gerir os riscos que podem afetar seriamente os
serviços de TI, garante-se que o provedor de serviços de TI possa fornecer o serviço mínimo
acordado. Além disso, o plano de continuidade deve concentrar-se no que a organização
considera como desastre. Assim, eventos menos significativos podem ser tratados pelo
processo de Gestão de Incidentes da TI (ISACA, 2012).

Segundo ISACA (2012, p. 185-189), os estágios para se construir um plano de continuidade

do serviço de TI são:

Estágio 1: Iniciação

• Definição da política de continuidade do serviço de TI.

• Definição do escopo.

Senac São Paulo - Todos os Direitos Reservados 6

 Governança de Tecnologia da Informação

• Início do projeto.

Estágio 2: Requisitos e estratégia

• Análise de impacto no negócio.

• Avaliação de risco.

• Estratégia de continuidade dos serviços de TI.

Estágio 3: Implementação

• Desenvolvimento de planos e procedimentos de continuidade dos serviços de TI.

Estágio 4: Operação do dia a dia

• Educação, treinamento e sensibilização.

• Revisão e auditoria.

• Testes regulares.

Considerações finais
Nesta aula, pudemos avaliar como a segurança da informação é vital para qualquer
organização nos tempos atuais, visto que a informação é tratada de diversas formas.

Estudamos que um Sistema de Gestão da Segurança da Informação (SGSI), a exemplo do

que é especificado na norma NBR ISO/IEC 27001, considera uma visão holística e coordenada
dos riscos de segurança da informação da organização, para implementar um conjunto de
controles detalhados, com base na estrutura global de um sistema de gestão coerente, e
alinhado à estratégia de negócios (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003a).

Através de casos públicos, verificamos o que as Organizações enfrentaram em situações

onde a segurança da informação foi mal gerida ou negligenciada.

Por fim, conhecemos um processo importantíssimo que trata da continuidade do

negócio, e visualizamos as fases para sua implantação. Neste aspecto, analisamos, também,
o plano de continuidade do serviço de TI, que deve fazer parte do plano de continuidade do
negócio, apoiando a organização a retomar seus serviços após um desastre. Lembre-se de
que a tecnologia suporta todos os processos de negócio; então, é muito importante ter estes
dois planos – Continuidade do Negócio e Continuidade do Serviço de TI – alinhados.

Senac São Paulo - Todos os Direitos Reservados 7

 Governança de Tecnologia da Informação

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC. Norma 15999-1. Gestão de
continuidade de negócios. Parte 1: código de prática. Rio de Janeiro, 2007.

______. Norma 27001. Tecnologia da Informação. Técnicas de Segurança. Sistemas de Gestão

da Segurança da Informação. Requisitos. Rio de Janeiro, 2013a.

______. Norma 27002. Tecnologia da Informação. Técnicas de Segurança. Código de prática

para a Gestão da Segurança da Informação. Rio de Janeiro, 2013b.

BUSINESS CONTINUITY INSTITUTE. Página inicial. Disponível em: <http://www.thebci.org/>.

Acesso em: 18 set. 2015.

HILES, Andrew. International perspectives, standards and sources. Chichester, England: John
Wiley and Sons, 2007.

ISACA. COBIT 5: Enabling Processes, Rolling Meadows, IL (EUA). 2012. Disponível em: <http://
www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx>. Acesso em: 22 ago. 2015.

MARTINS, José Carlos Cordeiro. Gestão de projetos de segurança da informação. Rio de

Janeiro: Brasport, 2003.

MOLINARO, Luís Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de Tecnologia da
Informação e Governança de TI: arquitetura e alinhamento entre sistemas de informação e o
negócio. São Paulo: LTC (GEN), 2010.

Senac São Paulo - Todos os Direitos Reservados 8