UNIVERSIDADE ANHEMBI MORUMBI
FELIPE TENAGLIA DIAS
SAMUEL DA SILVA MAROSTEGA
ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI
São Paulo
2011
FELIPE TENAGLIA DIAS
SAMUEL DA SILVA MAROSTEGA
ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI
Trabalho apresentado como exigência parcial para a
disciplina [nome da disciplina], do curso Sistemas de
Informação da Universidade Anhembi Morumbi.
Orientador: Prof. Luciano Freire
São Paulo
2011
FELIPE TENAGLIA DIAS
SAMUEL DA SILVA MAROSTEGA
ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI
Trabalho apresentado como exigência parcial para a
disciplina [nome da disciplina], do curso Sistemas de
Informação da Universidade Anhembi Morumbi.
Aprovado em
____________________________________________________
Nome do orientador/titulação/IES
____________________________________________________
Nome do convidado/ titulação/IES
____________________________________________________
Nome do convidado/IES
São Paulo
2011
AGRADECIMENTOS
Nosso obrigado a todos que colaboraram no desenvolvimento deste trabalho,
direta ou indiretamente.
Agradecemos ao professor e coordenador Luciano Freire pelo tempo
dedicado a reuniões de orientação e aos professores que compreenderam o
momento e incentivaram a conclusão deste trabalho.
RESUMO
No cenário globalizado, as empresas tentam a todo custo fazer mais com
menores investimentos. Terceirizar é uma opção que a maioria adota. Quando se
observa a área de Tecnologia da Informação, existem riscos que as organizações
correm quando não escolhem o fornecedor certo. Falhas de funcionamento,
dificuldade de alteração de requisitos, não retenção de talentos, exposição de
informações sigilosas, dificuldade de adaptação às alterações de negócio ou
tecnológicas e recursos sem conhecimento técnico suficiente são alguns dos
problemas que a organização pode encontrar ao terceirizar serviços de TI.
Saber escolher o fornecedor é muito importante. É preciso identificar no
momento de contratação, os fatores críticos que devem ser atendidos pelo
fornecedor, além de estabelecer acordos de nível de serviço e métricas para análise
do desempenho da parceria. O objetivo deste trabalho é identificar os riscos mais
comuns e estabelecer um roteiro a ser analisado no momento de contratação, a fim
de determinar se o fornecedor atende às necessidades de segurança da empresa.
Palavras-chave: terceirização, segurança, tecnologia da informação
ABSTRACT
In the global scenario, companies try their hardest to do more with less
investment. Outsourcing is an option that the vast majority adopts. When we look at
the area of Information Technology, there are risks that organizations face when they
do not choose the right supplier. Malfunctions, difficulty of changing requirements, not
retaining talent, exposure of sensitive information, difficulty in adapting to changing
business or technological resources and without sufficient technical knowledge are
some of the problems the organization may face when outsourcing IT services.
Knowing how to choose the supplier is very important. You need to identify at
the time of contracting, the critical factors that must be met by the supplier, and
establish service level agreements and metrics for performance analysis of the
partnership. The objective is to identify the most common risks and establish a model
to be analyzed at the time of hiring, to determine whether the supplier meets the
security needs of the company.
Key-words: outsourcing, security, information technology
LISTA DE TABELAS
Tabela 1: Principais motivos que levam as empresas a terceirizarem TI ....... 15
Tabela 2: Principais motivos que levam as empresas a terceirizarem TI ....... 16
Tabela 3: Principais motivos que levam as empresas a terceirizarem TI ....... 16
Tabela 4: Classificação dos níveis de vulnerabilidade .................................... 20
Tabela 5: Classificação dos níveis de impacto ............................................... 21
Tabela 6: Cálculo de classificação de riscos .................................................. 21
Tabela 7: Modelos de Maturidade da Segurança da Informação ................... 30
Tabela 8: Análise de risos utilizada na formulação do questionário ............... 34
Tabela 9: Principais destaques dos entrevistados .......................................... 41
Tabela 10: Respostas dos entrevistados ........................................................ 43
LISTA DE ABREVIATURAS E SIGLAS
TI
Tecnologia da Informação
ITGI
Information Technology Governance Institute
ISO
International Organization for Standardization
ITIL
Information Technology Infrastructure Library
ISACA Information Systems Audit and Control Association
COBIT Control Objectives for Information and related Technology
CMMI
Capability Maturity Model Integration
IEC
International Electrotechnical Commission
SUMÁRIO
1
INTRODUÇÃO ................................................................................................................ 12
1.1
OBJETIVO ...................................................................................................................... 12
1.2
JUSTIFICATIVA ............................................................................................................... 12
1.3
ABRANGÊNCIA ............................................................................................................... 13
1.4
ESTRUTURA DO TRABALHO ............................................................................................ 13
2
2.1
3
3.1
4
TERCEIRIZAÇÃO DE TI ................................................................................................. 15
MOTIVOS PARA TERCEIRIZAR TI ...................................................................................... 15
RISCOS ........................................................................................................................... 17
VULNERABILIDADE ......................................................................................................... 17
TÉCNICAS DE ANÁLISE DE RISCOS........................................................................... 19
4.1
CARACTERIZAÇÃO DOS ATIVOS ....................................................................................... 19
4.2
IDENTIFICAÇÃO DE AMEAÇAS .......................................................................................... 19
4.3
IDENTIFICAÇÃO DAS VULNERABILIDADES ......................................................................... 19
4.4
DETERMINAÇÃO DA VULNERABILIDADE ............................................................................ 20
4.5
ANÁLISE DE IMPACTO ..................................................................................................... 20
4.6
DETERMINAÇÃO DO RISCO ............................................................................................. 21
4.7
SELEÇÃO DE CONTROLES DE SEGURANÇA ...................................................................... 22
4.8
APRESENTAÇÃO DOS RESULTADOS ................................................................................ 22
5
NORMAS ......................................................................................................................... 23
5.1
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO ......................................... 23
5.1.1
ISO 27001 ................................................................................................................... 23
5.1.2
ISO 27002 ................................................................................................................... 23
5.2
GUIDE TO INFORMATION TECHNOLOGY SECURITY SERVICES ........................................... 27
5.3
CAPABILITY MATURITY MODEL INTEGRATION................................................................... 27
5.4
COBIT ........................................................................................................................... 27
5.5
NÍVEL DE MATURIDADE .................................................................................................. 28
6
SEGURANÇA DA INFORMAÇÃO ................................................................................. 31
7
METODOLOGIA.............................................................................................................. 33
7.1
ELABORAÇÃO DO ROTEIRO ............................................................................................ 33
7.1.1
ANÁLISE DE RISCOS....................................................................................................... 33
7.1.2
QUESTIONÁRIO .............................................................................................................. 36
7.1.3
AVALIAÇÃO DO QUESTIONÁRIO ....................................................................................... 39
8
RESULTADOS DA PESQUISA ...................................................................................... 41
9
CONCLUSÃO .................................................................................................................. 44
9.1
TRABALHOS FUTUROS ................................................................................................... 44
10
REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................... 45
12
1
INTRODUÇÃO
Com a chegada da Era da Informação, o setor de TI Tecnologia da
Informação passa a ganhar cada vez mais importância dentro das organizações,
deixando de ser suporte operacional e passando a estar alinhada com os objetivos
da empresa. Segundo pesquisa da Fundação Getúlio Vargas (SEBRAE/SC, 2011),
as empresas no Brasil investem 6,7% de sua receita líquida em TI, valor que dobrou
nos últimos 14 anos e 8% nos próximos anos.
Essa crescente atenção destinada a TI não é por acaso. Segundo PORTER e
MILLAR (1985), TI passou a ser um fator crítico de sucesso, possibilitando que a
organização obtenha vantagem competitiva através de redução de custos ou
diferenciação de produtos ou serviços. Enquanto tornar seu produto diferente
envolve a exploração de informações relacionadas às necessidades dos clientes ou
inovações mercadológicas, reduzir custos envolve uma série de medidas que visam
fazer mais gastando o mesmo ou menos capital e uma dessas medidas é a
terceirização. Com o aumento da importância de TI na vantagem competitiva das
organizações, a demanda deste setor cresceu consideravelmente em certo período
de tempo. Sendo assim, as empresas recorrem à terceirização principalmente para
obter acesso imediato a conhecimento e também redução de custos. Embora seja
importante para as empresas, o recurso da terceirização expõe as mesmas a alguns
riscos, que podem ocasionar prejuízo financeiro e à imagem das corporações.
1.1 Objetivo
Este trabalho tem como objetivo propor um roteiro para avaliação de riscos,
baseado em um checklist, para que as empresas contratantes possam reduzir os
riscos de segurança quando contratam fornecedores de serviços de TI.
1.2 Justificativa
Devido a constante utilização de serviços de terceiros no ambiente de TI, as
empresas estão expostas a uma série de riscos. Sabendo disso, busca-se identificar
os riscos com base no referencial teórico e em pesquisas realizadas a partir de
outros trabalhos.
13
1.3 Abrangência
Este trabalho abrange uma série de riscos identificados por órgãos
relacionados à padronização e boas práticas (como ISO e NIST). Será realizada
uma análise de riscos com estes controles e na sequencia será elaborado um
roteiro, que as empresas podem utilizar no momento de selecionar um fornecedor de
serviços de TI.
O roteiro proposto é aplicável a qualquer empresa que se utilize de
terceirização de serviços de TI, mas principalmente micro e pequenas empresas,
que contam com menor verba e muitas vezes não dispõem de pessoal qualificado
para lidar com este processo.
1.4 Estrutura do Trabalho
No capitulo 2 será abrangido os conceitos de terceirização de TI, os principais
motivos para terceirizar.
No capitulo 3 será apresentado alguns riscos, ameaças e vulnerabilidade que
a organização pode estar sujeita a enfrentar a partir do momento que resolve
terceirizar seus serviços.
No capitulo 4 será explorado as técnicas de analise de riscos como por
exemplo: caracterização dos ativos, identificação de ameaças e vulnerabilidades,
determinação da probabilidade, analise de impacto, determinação de riscos, seleção
de controles de segurança e apresentação dos resultados.
No capitulo 5 será abordado os controle e normas existentes que tem relação
com segurança da informação e terceirização de TI.
No capitulo 6 será apresentado as etapas e os três elementos primordiais
para garantir a Segurança da Informação.
No capitulo 7
será apresentado algumas formas de medir o nível de
maturidade e realizar uma avaliação através de princípios de qualidade que abrange
cinco fases na adoção das praticas de qualidade: Incerteza, despertar,
esclarecimento, sabedoria e certeza.
14
No capitulo 8 será visto a metodologia que foi utilizada para atingir o objetivo
deste trabalho, elaboração do roteiro, analise de riscos, questionário para entrevista
e avaliação deste questionário.
No capitulo 10 será apresentado a conclusão do trabalho e sugestões para
trabalhos futuros.
15
2
TERCEIRIZAÇÃO DE TI
O conceito de terceirizar TI começou a tomar forma nas décadas de 50 e 60
(CUSUMANO, 1992). Para LEITE (1994), terceirizar é o ato de passar a
responsabilidade de parte de uma área ou sua totalidade para outra empresa,
denominada fornecedora. ARAÚJO (2001) conceitua de forma semelhante, dizendo
que terceirizar é passar adiante (para terceiros) a responsabilidade de execução de
uma ou mais tarefas.
Já GIOSA (2003) conceitua como um processo gerencial no qual são
repassadas algumas atividades para terceiros, com os quais se estabelece uma
relação de parceria que permite à empresa contratante que se foque apenas nas
tarefas ligadas à sua área de negócio.
2.1 Motivos para terceirizar TI
Em sua pesquisa, LEITE (1995), demonstra que cada vez mais empresas seja ela do setor privado ou público – passam a terceiros a responsabilidade de
operação
de
TI,
concentrando
esforços
em
outras
atividades.
Segundo O’BRIEN (2001) em relação ao mercado norte americano, as
grandes empresas têm terceirizado parte ou a totalidade de suas operações de TI.
LEITE (1995) afirma ainda, que na época da pesquisa, 80% das empresas
pesquisadas adotavam a terceirização para operar pelo menos alguma parte de
tecnologia da informação. Em seu estudo, ficou evidente qual o principal motivo que
levou as empresas estudadas a terceirizarem como podemos ver na tabela 1 a
seguir.
Tabela 1: Principais motivos que levam as empresas a terceirizarem TI
Expectativa
Conseguir acesso imediato a novos recursos, acelerando o
processo de informatização
Redução de custos
Definição estratégica de concentrar esforços exclusivamente nas
atividades-fim da organização
Procurar melhorar a eficácia da função, a fim de obter novas
facilidades com o uso da informática
Outros (todos individualmente inferiores a 3%)
Fonte: LEITE, 1995
Porcentagem
32%
20%
20%
13%
15%
16
Conforme observado por Leite, (1994), o custo é o segundo principal motivo
que leva as empresas a terceirizarem TI, mas pode ser quando avaliado em relação
a outras atividades.
Em estudo com aproximadamente 200 profissionais de TI, o ITGI, IT
Governance Institute, (ISACA, 2005) observou as seguintes palavras-chave no
contexto destes profissionais como motivos que levaram suas organizações a
adotarem a terceirização. As razões mais recorrentes estão na tabela 2 a seguir que
demonstram os principais motivos que levam as empresas a terceirizarem TI.
Tabela 2: Principais motivos que levam as empresas a terceirizarem TI
Motivo
Porcentagem dos profissionais que
enxergam como crítico
Falta de conhecimento interno
48%
Reduzir custos
42%
Oferecer um serviço melhor/mais 34%
rápido
Reduzir riscos em TI
30%
Fonte: ISACA, 2004
Uma controvérsia em relação ao principal motivo que leva as empresas a
terceirizarem TI é o estudo de mestrado de PRADO (2000), onde identifica a
seguinte situação que é demonstrada na tabela 3 a seguir.
Tabela 3: Principais motivos que levam as empresas a terceirizarem TI
Motivo para terceirizar TI
Expectativa de redução de custos
Acesso ao conhecimento e à tecnologia
Flutuação na carga de trabalho
Melhoria na prestação de serviços de produtividade
Outros
Importância
1º
2º
3º
4º
5º
Ocorrência
28%
20%
18%
16%
19%
Fonte: PRADO, 2000
Embora observadas controvérsias em relação à primeira colocação entre
expectativa de redução de custos e acesso imediato à conhecimento e tecnologia,
estas duas são as principais razões para uma empresa tomar a decisão de
terceirizar sua área de Tecnologia da Informação.
17
3
RISCOS
Segundo MARCH e SHAPIRA (1987) risco é definido em dois aspectos:
econômico e gerencial. No aspecto econômico, o risco é uma variante de uma
distribuição provável de possíveis ganhos ou perdas coligadas a uma determinada
ação. Já no aspecto gerencial, o risco é associado a resultados negativos, logo, são
problemas percebidos como um perigo ou ameaça.
Ameaças são fatores/ocorrências que podem violar sistemas e causar
incidentes de segurança e, dessa forma causar danos aos negócios das empresas.
Existem diversos tipos de ameaças e incidentes como:
•
revelação de informações;
•
destruição de informações ou recursos;
•
interrupção de serviços de rede;
•
modificação ou deturpação das informações;
•
roubo, remoção ou perda de informações ou de outros recursos.
Todos os ambientes estão vulneráveis a incidentes de segurança, portanto, à
ação de ameaças. Alguns ambientes tendem a ter maior ou menor probabilidade de
ocorrência, devido à eficiência das medidas de segurança implementadas
(MOREIRA, 2001).
3.1 Vulnerabilidade
A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque,
ou seja, é uma condição encontrada em determinados recursos, processos,
configurações etc. Condição causada muitas vezes pela ausência ou ineficiência das
medidas de proteção utilizadas com o intuito de guardar os bens da empresa
(MOREIRA 2001).
Todos os ambientes são vulneráveis, partindo do pressuposto de que não
existem ambientes totalmente seguros. Muitas vezes, as medidas de segurança
implementadas
pelas
empresas
possuem
vulnerabilidades.
Neste
caso,
a
ineficiência de medidas de proteção, em função de configurações inadequadas é
uma das causas.
Identificar as vulnerabilidades do sistema é um aspecto importante na
identificação de medidas adequadas de segurança.
18
Os riscos não podem ser determinados sem o conhecimento de até onde um
sistema é vulnerável, contribuindo então para a ação das ameaças (MOREIRA
2001).
Em um processo de análise de segurança, deve-se identificar os processos
vulneráveis e saber se os riscos associados são aceitáveis ou não.
O nível de vulnerabilidade decai na medida em que são implementados
controles de proteção adequadas, diminuindo também os riscos para os negócios.
Pode-se dizer que os riscos estão ligados a um nível de vulnerabilidade que o
ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades
precisam ser identificadas (MOREIRA 2001).
Os riscos relacionados com a área de TI estão cada vez mais evidenciados e
o impacto nos negócios é visível, principalmente se a organização apresentar forte
dependência da área de tecnologia da informação para tomada de decisão.
Segundo ISACA (2007) não se pode dizer que existe somente um tipo
genérico de risco em TI. O mesmo relata alguns que podem ser utilizados como
exemplo:

Risco de investimento: É o risco de que o investimento sendo feito em TI
não seja excessivo ou perdido;

Risco
de
segurança:
Risco
de
informações
confidenciais
sejam
divulgadas, ou acessadas por indivíduos sem a autoridade necessária.
Inclui a privacidade e proteção de dados pessoais;

Risco de integridade: O risco dos dados não serem inconsistentes, por
serem privativos, incompletos ou inexatos;

Risco de relevância: O risco de que as pessoas certas não tenham a
informação necessária no momento oportuno para a tomada de decisão;

Risco de disponibilidade: O risco de um serviço se tornar indisponível;

Risco de Infraestrutura: Risco de que os sistemas e a infraestrutura de TI
não ofereçam suporte à necessidade atual ou futura do negócio da
organização de uma maneira eficiente, ou com o custo estimado;

Risco de posse do projeto: Risco de os projetos de TI não atingirem seus
objetivos por falta de responsabilidade e comprometimento;
19
4
TÉCNICAS DE ANÁLISE DE RISCOS
Técnicas de análise de riscos são metodologias para identificar o nível de
risco e ameaça aos sistemas informatizados. O Guide 73 (ISO, 2002) define como o
processo de comparar o risco estimado com critérios de risco predefinidos para
determinar a importância do risco. É a primeira etapa do gerenciamento de riscos.
Existem diversas metodologias de análise de riscos, a metodologia escolhida
neste trabalho é a publicada por FERREIRA (2003) em seu livro, com base no NIST.
Essa abordagem é qualitativa, sendo composta pelos passos a seguir.
4.1 Caracterização dos ativos
Ativo é qualquer coisa que tenha valor para a organização (ISO/IEC 13335-1,
2004). Esta etapa consiste em realizar um detalhado levantamento de tudo que tem
valor para a organização, como hardware, software, interfaces de sistemas, dados e
informações, além de pessoas que usam ou sustentam o ambiente de TI.
4.2 Identificação de Ameaças
Ameaça é o potencial de um incidente indesejado, que pode resultar em dano
para um sistema ou organização (ISO/IEC 13335-1, 2004). Deve-se identificar as
ameaças para cada ativo listado. O SP 800-30 (NIST, 2002) classifica as ameaças
como naturais (terremotos, tornados, enchentes, deslizamentos de terra, avalanches
e etc.), humanos (intencionalmente ou deliberadamente, como ataque à rede, envio
de arquivos maliciosos ou acesso indevido à informações confidenciais) ou
ambientais (queda de energia por um longo período, poluição e queda de líquidos
são alguns exemplos).
4.3 Identificação das Vulnerabilidades
A definição de vulnerabilidade segundo a ISO/IEC 17779 (2005) é uma
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças. Nesta etapa é possível contar com o auxílio de sites especializados em
vulnerabilidades, como o National Vulnerability Database (mantido pelo NIST) e o
20
SecurityFocus. Os sites de alguns fabricantes de software também contam com
listas de vulnerabilidades e seus respectivos hot fixes, pacotes que corrigem estas
vulnerabilidades.
No
caso
de
sistemas,
é
possível
realizar
testes
para
identificar
vulnerabilidades, como utilizar ferramentas de varredura de portas, realizar ataques
simulados ou ainda contar com o conhecimento dos profissionais especializados.
4.4 Determinação da Vulnerabilidade
Esta etapa consiste em analisar cada vulnerabilidade identificada e
determinar a probabilidade desta ser explorada. Alguns fatores podem contribuir na
determinação da chance de ocorrer algum evento, como encontrar uma motivação
da ameaça, a natureza da vulnerabilidade, existência e eficiência de modelos de
controle atuais demonstrados na tabela 4 abaixo.
Tabela 4: Classificação dos níveis de vulnerabilidade
Nível
Alto
Médio
Baixo
Definição
A fonte de ameaça está altamente motivada e possui conhecimento
suficiente para a execução do ataque. Os controles de Segurança
para prevenir que a vulnerabilidade seja explorada são ineficazes
A fonte de ameaça está motivada e possui conhecimento suficiente
para a execução do ataque. Os controles de Segurança para prevenir
que a vulnerabilidade seja explorada são eficazes
A fonte de ameaça não está altamente motivada e não possui
conhecimento suficiente para a execução do ataque. Os controles de
Segurança para prevenir que a vulnerabilidade seja explorada são
eficazes
Fonte: NIST, 2002
4.5 Análise de Impacto
Esta importante etapa constitui na determinação do impacto adverso causado
pela exploração de uma vulnerabilidade. O SP 800-30 (NIST, 2002) recomenda a
utilização das seguintes informações para determinar o impacto:
 Missão do sistema (processos suportados pelo sistema);
 Criticidade do sistema e dos dados envolvidos (a importância do
sistema e dos dados para a organização);
 Classificação do sistema e informações.
21
A Tabela 5 a seguir demonstra a classificação dos níveis de impacto.
Tabela 5: Classificação dos níveis de impacto
Nível
Alto







Médio
Baixo
Definição
Perda significante dos principais ativos e recursos
Perda da reputação, imagem e credibilidade
Impossibilidade de continuar com atividades de negócio
Perda dos principais ativos e recursos
Perda da reputação, imagem e credibilidade
Perda de alguns dos principais ativos e recursos
Perda da reputação, imagem e credibilidade
Fonte: NIST, 2002
4.6 Determinação do Risco
O objetivo desta etapa é analisar o nível de risco ao ativo de TI. A
determinação do risco para uma determinada combinação de ameaça e
vulnerabilidade pode ser expressa como (NIST, 2002):
 A possibilidade de uma fonte de ameaça tentar explorar uma
vulnerabilidade;
 A magnitude do impacto caso a fonte de ameaça explore a
vulnerabilidade com sucesso;
 A conformidade dos controles de segurança planejados ou existentes,
para reduzir ou eliminar o risco;
Para se determinar o nível do risco, deve-se utilizar a Matriz de Riscos, obtida
pela multiplicação da probabilidade de ocorrência pelo nível de impacto, como no
exemplo da tabela 6 abaixo.
Tabela 6: Cálculo de classificação de riscos
Probabilidade
Alto (1,0)
Médio(0,5)
Baixo(10)
Baixo 10 * 1,0 =
10
Baixo 10 * 0,5 = 5
Baixo (0,1)
Baixo 10 * 0,1 = 1
Fonte: NIST, 2002
Impacto
Médio(50)
Médio 50 * 1,0 = 50
Alto(100)
Alto 100 * 1,0 = 100
Médio 50 * 0,5 = 25
Alto 100 * 0,5 = 50
Médio 50 * 0,1 = 5
Alto 100 * 0,1 = 10
22
O risco é classificado como alto quando obtém mais de 50 pontos, médio
quanto tem entre 10 e 50 pontos, e baixo quando tem menos de 10 pontos.
4.7 Seleção de Controles de Segurança
A partir da relação de ativos e suas vulnerabilidades, deve-se determinar um
ou mais controles que visem mitigar ou eliminar os respectivos riscos. É
recomendado usar alguma norma para auxiliar este item.
A seleção de controles é o resultado da análise de riscos, e fornece subsídio
para o processo de mitigação de riscos.
4.8 Apresentação dos Resultados
O NIST (2002) recomenda que uma vez finalizada a análise de riscos, os
resultados devem ser documentados em um relatório oficial. Um relatório de análise
de risco é um documento gerencial, que auxilia os tomadores de decisão a definir as
políticas de segurança da empresa.
23
5
NORMAS
Neste trabalho, serão exploradas algumas normas como ISO, CMMI e Cobit.
O uso das mesmas ocorre visto sua vasta utilização no ambiente empresarial. Neste
capítulo será apresentada uma breve introdução à algumas normas que têm relação
com segurança da informação.
5.1 International Organization for Standardization - ISO
Sediada na Europa, a ISO é uma entidade não governamental que atua na
padronização de diversas disciplinas e sua adoção e aceitação é mundial.
Atualmente
é
a
principal
desenvolvedora
de
padrões
internacionais.
O
desenvolvimento das normas conta com a participação de institutos de normas de
mais de 160 países (ISO, 2011).
5.1.1 ISO 27001
Adotando a proposta da BS7799 publicada pelo BSI, a ISO 27001 especifica
os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um Sistema de Gerenciamento de Segurança da Informação
documentado dentro do contexto dos riscos de negócio globais da organização. Ela
especifica
requisitos
para
a
implementação
de
controles
de
segurança
personalizados para as necessidades individuais de organizações ou suas partes
(NBR ISO 27001, 2006).
Este padrão pode ser utilizado por empresas de diferentes tipos, portes e
setores,
como
por
exemplo,
empreendimentos
comerciais,
agências
governamentais, organizações sem fins lucrativos (NBR ISO 27001, 2006).
5.1.2 ISO 27002
Ao contrário da ISO 27001 que propõe um modelo que a empresa deve
implementar, a ISO 27002 é um guia de boas práticas, que pode ser utilizado em
conjunto com a ISO 27001.
24
Os objetivos de controle e os controles desta norma têm como finalidade ser
implementados
para
atender
aos
requisitos
identificados
por
meio
da
análise/avaliação de riscos. Esta Norma pode servir como um guia prático para
desenvolver os procedimentos de segurança da informação da organização e as
eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas
atividades inter organizacionais (NBR ISO 27002, 2005).
A seguir, a ISO 27002 destaca os seguintes controles, que devem ser
analisados:
O fornecedor deve:
1. Verificar se o fornecedor possui uma política de segurança da informação;
2. Determinar os controles para assegurar a proteção dos ativos, incluindo:
a. Procedimentos para proteger os ativos da organização, incluindo
informação, software e hardware;
b. Quaisquer mecanismos e controles para a proteção física requerida;
c. Controles para assegurar a proteção contra software malicioso;
d. Procedimentos para determinar se ocorreu qualquer comprometimento
de ativos, por exemplo, perda ou modificação de dados, software e
hardware;
e. Controles para assegurar o retorno ou a destruição da informação e
dos ativos no final do contrato, ou em um dado momento definido no
acordo;
f. Confidencialidade,
integridade,
disponibilidade
e
qualquer
outra
propriedade relevante dos ativos;
g. Restrições em relação a cópias e divulgação de informações, e uso dos
acordos de confidencialidade;
3. Promover treinamento dos usuários e administradores nos métodos,
procedimentos e segurança da informação;
4. Assegurar a conscientização dos usuários nas questões e responsabilidades
pela segurança da informação;
5. Possibilitar a transferência de pessoal, onde necessário;
6. Responsabilidades com relação a manutenção e instalação de software e
hardware;
25
Quando existem partes externas:

Determinar recursos de processamento da informação que uma parte externa
estará autorizada a acessar
a. Acesso físico à escritórios, salas com computadores e arquivos de
papéis;
b. Acesso lógico à banco de dados e sistemas de informação;
c. Conexão entre a organização e a parte externa, como acesso remoto
ou conexão permanente;
d. Se o acesso ocorrerá dentro ou fora da organização;
 Determinar o valor e a sensibilidade da informação envolvida, e sua
criticidade para as operações do negócio;
 Determinar os controles necessários para proteger a informação que não
deve ser acessada pelas partes externas;
 Identificar as pessoas das partes externas envolvidas no manuseio das
informações da organização;
 Estabelecer os critérios que a parte externa e/ou o pessoal autorizado a ter
acesso é/são identificados, como a autorização é verificada e com qual
frequência isso precisa ser reconfirmado;
 Determinar as formas de controle aplicadas pela parte externa quando estiver
armazenando, processando, comunicando, compartilhando e repassando
informações;
 Avaliar o impacto do acesso não estar disponível à parte externa quando
necessário, e a entrada ou o recebimento incorreto ou por engano da
informação;
 Verificar a existência de práticas e procedimentos para tratar com incidentes
de segurança da informação e danos potenciais, e os termos e condições
para que a parte externa continue acessando, caso ocorra um incidente de
segurança da informação;
 Determinar requisitos regulamentares e outras obrigações contratuais
relevantes para a parte externa sejam levados em consideração;
26
Política de controle de acesso:

Identificar as diferentes razões, requisitos e benefícios que justificam a
necessidade de acesso pelo terceiro;

Determinar os métodos de acessos permitidos e o controle e uso de
identificadores únicos, tais como identificadores de usuários e senha de
acesso;

Definir processo de autorização de acessos e privilégios para os usuários;

Determinar requisito para manter uma lista de pessoas autorizadas a usar os
serviços que estão sendo disponibilizados, e qual seus direitos e privilégios
em relação a tal uso;

Elaborar declaração de que todo o acesso que não seja explicitamente
autorizado é proibido;

Validar processo para revogar os direitos de acessos ou interromper a
conexão entre os sistemas;
Serviços terceirizados:

Monitorar níveis de desempenho de serviços para verificar aderência aos
acordos;

Analisar criticamente os relatórios de serviços produzidos por terceiros e
agendamento de reuniões de progresso conforme requerido pelos acordos;

Fornecer informações acerca de incidentes de segurança da informação e
analise critica de tais informações tanto pelo terceiro quanto pela organização,
como requerido pelos acordos e por quaisquer requerimento ou diretrizes que
os apoiem;

Resolver e gerenciar quaisquer problemas identificados;

Renegociação dos acordos se os requisitos de segurança da organização
mudarem;
27
5.2 Guide to Information Technology Security Services
Escrito pelo NIST, órgão do Departamento de Comércio norte-americano.
Contém uma série de recomendações para assegurar o bom uso da tecnologia da
informação com o objetivo de assegurar a competitividade das empresas. Inclui
práticas que podem ser utilizadas em todo o ciclo de vida do serviço de TI, mas é
voltado ao setor executivo da empresa, pois não contém muitos termos e conceitos
utilizados na operação de Tecnologia da Informação.
5.3 Capability Maturity Model Integration
Descreve as principais características de uma organização de processos de
engenharia de segurança, sendo usado como uma ferramenta para a organização
definir práticas de seguranças, além de sugerir melhorias. Possui também um
mecanismo para avaliar a capacidade de um provedor de engenharia de segurança.
O SSE-CM aplica se a todas as organizações de engenharia de segurança.
5.4 Cobit
O objetivo do Cobit é focar no que é necessário para atingir um adequado
controle e gerenciamento de TI e está posicionado em elevado nível. O Cobit foi
alinhado e harmonizado com outros padrões e boas práticas de TI. Sua atuação é
como um integrador desses diferentes materiais de orientação, resumindo os
principais objetivos sob uma metodologia que também está relacionada aos
requisitos de governança e de negócios (ISACA, 2007)
O ISACA (2007) define o Cobit como um modelo e uma ferramenta de suporte
que permite aos gerentes suprir as deficiências com respeito aos requisitos de
controle, questões técnicas e riscos de negócios, comunicando esse nível de
controle às partes interessadas.
O Cobit habilita o desenvolvimento de políticas claras e boas práticas para
controles de TI em toda a empresa. O Cobit é atualizado continuamente e
harmonizado com outros padrões e guias. Assim, o ISACA (2007) cuidada para que
o Cobit seja interpretado como integrador de boas práticas de TI e a metodologia de
28
governança de TI que ajuda no entendimento e gerenciamento dos riscos e
benefícios associados com TI.
A estrutura de processos do Cobit e o seu enfoque de alto nível orientado aos
negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o
assunto. Os benefícios de implementar o Cobit como um modelo de governança de
TI incluem:

Um melhor alinhamento baseado no foco do negócio;

Uma visão clara para os executivos sobre o que TI faz;

Uma clara divisão das responsabilidades baseada na orientação para
processos;

Aceitação geral por terceiros e órgãos reguladores;

Entendimento compreendido entre todas as partes interessadas,
baseado em uma linguagem comum;

Cumprimento dos requisitos do COSO (Committe of Sponsoring
Organisations of the Treadway Commission, Comissão Nacional Sobre
Fraudes em Relatórios Financeiros) para controle do ambiente de TI;
Todos os componentes do Cobit são inter-relacionados, proporcionando o
suporte para as necessidades de governança, gerenciamento, controle e avaliação
de diferentes audiências.
5.5 Nível de Maturidade
Existem algumas formas de medir o progresso dos processos nas
organizações uma destas formas é utilizando um modelo de maturidade. O conceito
de nível de maturidade aparece no gerenciamento de qualidade. O nível de
maturidade ajuda a identificar o quando o fornecedor se preocupa com os processos
de TI, e as atitudes tomadas pelo mesmo para diminuir ou neutralizar os riscos
envolvidos.
A avaliação de maturidade através de princípios de qualidade abrange cinco
fases na adoção das praticas de qualidade: Incerteza, despertar, esclarecimento,
sabedoria e certeza. Cada um dos estágios é analisado seis aspectos diferentes
formando a Matriz de Maturidade do Gerenciamento da Qualidade (CROSBY, 1999).
29
Define-se Maturidade como “a extensão em que o processo é explicitamente
definido, gerenciado, medido, controlado e eficaz” (SIQUEIRA, 2005).
Segundo (MOREIRA, 2001) os níveis de maturidade conduzem uma
organização para um melhor entendimento do seu plano de segurança e fornecem
um instrumento para avaliar o grau de confiança que pode ser colocado em
informatização e na conectividade entre organizações diferentes.
Outro modelo foi apresentado em 1993, para avaliação de maturidade em
processos de usabilidade de software ou justificativa de custos da engenharia de
usabilidade (ROHN, 1944). Neste modelo são apresentados quatro estágios e
maturidade normalmente definido para organizações que o negocio seja
desenvolvimento de software. Os estágios são: cepticismo, curiosidade, aceitação e
parceria (ROHN, 1944).
Segundo JANSSEN (2008) ao verificar os modelos existentes de maturidade
em Segurança da Informação, o Information Systems Audit and Control Association
(ISACA), em 2005, elaborou uma Tabela resumo, conforme apresentado na tabela 1
contendo os principais modelos de maturidade publicados sobre Segurança da
Informação e com as suas características principais. Por alguma razão não
mencionada, eles apresentam igualmente cinco níveis de maturidade, definindo um
padrão de quantidade de níveis. Entretanto, cada modelo aborda a sua própria visão
e a sua definição de níveis de maturidade apresentadas na tabela 7 abaixo:
30
Tabela 7: Modelos de Maturidade da Segurança da Informação
Modelo
NIST PRISMA
Citigroup's Information
Security Evaluation Model
(CITI-ISEM)
Cobit Maturity Model
SSE-CMM
CERT/CSO Security
Capability Assessment
Fonte: JANSSEN, 2008
Níveis
1. Políticas
2. Procedimentos
3. Implementação
4. Testado
5. Integrado
1. Aderência
2. Conhecimento
3. Integração
4. Práticas Comuns
5. Melhoria Contínua
1. Inicial/adhoc
2. Repetitivo mas
intuitivo
3. Processos
Definidos
4. Gerenciado e
Medido
5. Otimizado
1. Executado
Informalmente
2. Planejado e
Controlado
3. Bem Definido
4. Quantitavamente
Controlado
5. Melhoria Contínua
1. Existente
2. Repetível
3. Pessoalmente
Designado
4. Documentado
5. Revisado e
Atualizado
Objetivos
Focado na direção dos níveis
de documentação
Focado na direção
organizacional sem
distanciamento e adaptado
Focado na direção de
procedimentos específicos
auditáveis
Focado na direção da
engenharia de segurança e
design de software
Focado na direção de
mensuração da qualidade
relativa dos níveis de
documentação
31
6
SEGURANÇA DA INFORMAÇÃO
A informação nada mais é do que um dos fatores mais importantes e
essenciais na organização dos negócios e por isso deve ser bem protegida, pois
com o crescimento da tecnologia de interconectividade, as ameaças também
aumentaram devendo haver uma preocupação e um cuidado maior (ABNT NBR
ISSO/IEC 27002).
Independente de qual seja a forma de transmissão da informação, na qual
existem várias, tais como: armazenada em computadores, enviada por fax, correio
eletrônico, escrita ou impressa em papel, falada entre outras, todas devem ser
sempre protegidas corretamente.
A Segurança da Informação contribui em todos os aspectos para o
desenvolvimento e crescimento de uma empresa, pois a mesma ajudara a evitar
problemas tais como: riscos de invasões quando se tem projetos de propostas para
o mercado de trabalho para uma carreira promissora da empresa, riscos de vazar
informações importantes sobre o rendimento e funcionamentos internos dos
negócios, uma boa segurança evita os riscos operacionais e aumenta a excelência
no mercado competitivo. E tudo isso se resume em proteção que diminui as
ameaças existentes que podem danificar todo um negócio havendo um descuido
referente seu armazenamento.
Para uma boa gestão de segurança é importante seguir etapas para garantir a
proteção, criando uma estrutura organizacional, processos e funções de software e
hardware, onde se implanta um conjunto de controles adequado para a informação
ser criada e armazenada de maneira segura e pratica em sua disponibilidade
adequando-se em procedimentos e tecnologias. É necessário criar um esquema de
monitoramento para estar sempre atentos contra qualquer risco ao sistema.
Existem três elementos primordiais para uma a garantia na Segurança da
Informação (RAMOS et al., 2008; MILLER e MURPHY, 2009):
 Confidencialidade: garantia de sigilo para a preservação da informação,
onde só terá acesso quem deve ter conhecimento de seu conteúdo;
 Integridade: garantia de cuidado em proteger as informações contra
qualquer tipo de alteração, mantendo sua originalidade;
 Disponibilidade: é o que mantém uma informação acessível a quem de
direito precisar, obtenha-a sem dificuldades e sempre que necessitar;
32
O objetivo da Segurança é proteger os negócios nas tomadas de decisões e
operações, garantindo o sucesso e estabilidade no mercado. A adoção de um
Sistema de Gestão de Segurança da Informação deve ser uma decisão estratégica
para uma organização.
33
7
METODOLOGIA
Para atingir os objetivos estabelecidos, neste trabalho, foi realizado um
levantamento dos principais controles necessários para uma política de segurança
eficiente.
Na elaboração do roteiro tomamos como base os controles obtidos da ISO
27002 mencionados previamente. A escolha da ISO como base do questionário se
deve à sua aceitação e adoção mundial, além de ser referenciada em diversas
outras normas.
Visto a grande quantidade de controles mencionados na norma, foi realizada
uma filtragem (vários dos controles acabam se sobrepondo), a fim de termos um
número aceitável de questões no nosso roteiro.
Além dos controles obtidos na ISO 27002, decidiu-se realizar uma análise de
risco, a fim de obter ameaças e vulnerabilidades presentes no ambiente de
terceirização de TI. Essa relação de ativos, ameaças e vulnerabilidades possibilitou
analisar a abrangência do roteiro em relação à realidade das empresas. A análise
realizada ajudou a elaborar o questionário, agrupando os itens identificados por
ativos. Nesta etapa, foi utilizada a metodologia de análise de riscos descrita
anteriormente neste trabalho.
Com o roteiro elaborado, foi realizada uma pesquisa a fim de obter a opinião
de alguns profissionais que participam da tomada de decisão referente à
fornecedores de serviços de TI em suas organizações. A pesquisa foi disponibilizada
como um formulário do Google Docs, disponível no endereço http://goo.gl/HqWnp.
7.1 Elaboração Do Roteiro
Tendo uma lista com os principais controles recomendados pela ISO 27002
para a manutenção da segurança, foi realizada a análise de riscos, e na sequência o
questionário.
7.1.1 Análise de Riscos
Na análise efetuada, foram realizadas apenas as etapas de caracterização
dos ativos e identificação de ameaças e vulnerabilidades. A realização parcial da
34
análise se deve à particularidade de cada caso, logo neste trabalho buscamos itens
mais genéricos, que contemplam o cenário de terceirização de TI. Determinar a
probabilidade e o impacto depende muito do ambiente de cada organização. A
existência de mecanismos de segurança na empresa que contrata um fornecedor
diminui a probabilidade, enquanto o impacto depende muito da criticidade dos ativos
envolvidos para a organização.
Nesta etapa foi utilizada a metodologia de análise de riscos descrita
anteriormente neste trabalho, no capítulo 4.
Convém que as organizações incluam as probabilidades das ameaças
ocorrerem e também a criticidade dos ativos envolvidos, visto que são propriedades
muito particulares a cada empresa e sendo assim, não foram incluídas neste roteiro.
A tabela 8 abaixo reúne os ativos, ameaças e vulnerabilidades utilizados na
elaboração do questionário.
Tabela 8: Análise de risos utilizada na formulação do questionário
Ativos
Ameaças
Computadores
Acesso indevido a
equipamento
Roubo de informações
confidenciais
Fraudes (envio não
autorizado de e-mail)
Contaminação com vírus
Vulnerabilidade
Controle de acesso ineficaz
Acesso liberado após período de
inatividade
Acesso físico de usuário liberado após
desligamento
Controle de acesso ineficaz
Sessões ativas após um período de
inatividade
Acesso físico de usuário liberado após
desligamento
Roubo de informações
Envio de arquivos maliciosos
Controle de acesso ineficaz
Acesso liberado após período de
inatividade
Acesso físico de usuário liberado após
desligamento
Inexistência de filtro contra arquivos
maliciosos
Proliferação de vírus por sistemas de
antivírus não atualizados
35
Ativos
Ameaças
Banco de dados
Acesso indevido ao banco
de dados
Roubo de informações
confidenciais
Inserção de dados
inconsistentes
Remoção de dados
Não realização ou má
execução de backup
Software
Desastres naturais
Vulnerabilidade
Controle de acesso ineficaz
Acesso lógico de usuário liberado após
desligamento
Controle de acesso ineficaz
Permissão de inserção no banco de dados a
usuários não autorizados
Permissão de remoção no banco de dados a
usuários não autorizados
Política de backup não implementada
corretamente
Inexistência de um plano de contingencia
para desastre
Acesso indevido a sistemas Controle de acesso ineficaz
Roubo de informações
Falta de atualização dos sistemas
confidenciais
Ausência de registro de uso de privilégios
especiais
Alteração ou remoção de
Inexistência de filtro contra arquivos
informações
maliciosos
Não aderência aos requisitos especificados
Informação
Senhas
Usuários compartilhando
acessos
Controle de acesso ineficaz, visto que os
usuários não tem acesso necessário
Anotação em locais indevidos
Roubos de senha
Uso de programa que captura senha
Quebra de senha
Invasão de ativo
Senhas não alteradas por um longo período
Senhas fracas
Controle de acesso ineficaz Não verificação de acessos revogados
(colaborador desligado, afastado,
realocação)
Acesso indevido a
informações classificadas
Roubo de informações
confidenciais
Ausência de registro de uso de privilégios
especiais
Controle de acesso ineficaz
Inexistência de monitoramento de
comunicação para verificar presença de
informação oculta
36
Ativos
Ameaças
Redes
Acesso indevido
Cópia de arquivos sigilosos
Contaminação com vírus
Vulnerabilidade
Controle de acesso ineficaz
Acesso remoto liberado
Portas abertas na rede
Controle de acesso ineficaz
Inexistência de filtro contra arquivos
maliciosos
Portas abertas na rede
Solução antivírus indisponível obsoleta
7.1.2 Questionário
A partir dos principais controles identificados na ISO 27002 e das ameaças
obtidas da análise de riscos efetuada, foi elaborado o seguinte questionário. Este
representa um roteiro para levantar se os controles identificados pela Análise de
Riscos são aplicados pelas empresas durante processos de terceirização. Este
roteiro será enviado para alguns profissionais com participação no processo de
terceirização de TI, para que estes opinem sobre a utilidade do roteiro produzido na
avaliação de controles de segurança.
1.
A empresa a ser contratada possui uma política de segurança da informação?
(alternativa)

Sim

Não
2.
Quais recursos de processamento da informação que uma parte externa
estará autorizada a acessar? (múltipla escolha)







Computadores
Banco de dados
Software
Senhas
Informações
Rede
Outro:
3. Quais dos controles a seguir são aplicados aos computadores e softwares?
(múltipla escolha)


Antivírus atualizado
Controle de acesso por senha individual
37

Bloqueio após tempo de inatividade

Bloqueio de armazenamento externo (cd, disquete, pen drive)

Utilização de softwares legais

Controle de atualização de software

Backup de arquivos

Versionamento de arquivos (documentos ou fontes no caso de
desenvolvimento de sistemas)

Outro:
4. Quais dos controles a seguir são aplicados aos bancos de dados? (múltipla
escolha)





Identificação individual protegida por senha
Acesso restrito às bases pertinentes à atuação dos terceiros
Controle de backup
Controle de permissões do usuário (inserção, alteração, remoção e consulta)
Outro:
5. Quais dos controles a seguir são aplicados à(s) rede(s)? (múltipla escolha)





Proteção contra software maliciosos
Controle de portas liberadas (firewall)
Controle de acesso remoto
Controle de compartilhamento de arquivos
Outro:
6. Quais as práticas aplicadas nas senhas de acesso? (múltipla escolha)




Requisição de alteração periódica
Exigência de senhas seguras (letras maiúsculas/minúsculas e números)
Não existe controle de senhas
Outro:
7. Qual o valor e a sensibilidade da informação envolvida, e sua criticidade para as
operações do negócio? (alternativa)



Alto
Médio
Baixo
8. O fornecedor conta com controles e dispositivos condizentes com a sua
organização em relação a armazenamento, processamento, comunicação,
compartilhamento e repasse de informações? (alternativa)


Sim
Não
9. As partes externas tem acesso físico à empresa? Como é feito o controle?
(alternativa)
38

Acesso físico não é permitido

Crachá de identificação com validade de 30 dias

Crachá de identificação sem prazo de validade

Não existe controle

Outro
10. Quais das seguintes políticas são adotadas por parte do fornecedor ?
(alternativa)





Treinamentos e atualizações técnicas dos colaboradores
Palestras de conscientização quanto a Segurança da Informação
Plano de retenção de talentos
Vínculo empregatício de acordo com a lei CLT
Outro
11. Existem controles para monitoramento crítico dos níveis de desempenho de
serviços e verificar aderência aos acordos? (alternativa)


Sim
Não
12. Existe um termo de confidencialidade entre as partes envolvidas? (alternativa)


Sim
Não
13. Existe um controle que proíbe todo o acesso que não seja explicitamente
autorizado? (alternativa)


Sim
Não
14. Os termos e controles de segurança acordados estão explícitos em contrato
firmado por ambas as partes? O não cumprimento destes acordos prevê multa ou
rompimento? (alternativa)

Os termos e controles acordados não estão presentes em contrato

Os termos e controles acordados estão presentes em contrato, mas não há
cláusulas para multa ou rompimento caso as mesmas não sejam cumpridas

Os termos e controles acordados estão presentes em contrato, e multas ou
rompimento podem ocorrer caso as mesmas não sejam cumpridas

Outro
15. Existe um plano de contingência e/ou renegociação dos acordos se os requisitos
de segurança da informação mudarem? (alternativa)


Sim
Não
39
7.1.3
Avaliação do Questionário
O questionário elaborado a partir dos controles da ISO 27002 e da análise de
riscos foi enviado para alguns profissionais com participação no processo de
terceirização de TI, para que estes opinem sobre a pertinência e importância do
roteiro produzido na avaliação de controles de segurança de fornecedores. Para
conhecer a opinião destes profissionais, foi adicionada uma sessão de avaliação do
roteiro no questionário:
Nome:
Empresa:
Porte da empresa (alternativa)

Pequena

Média

Grande
Qual serviço está sendo ou será terceirizado? (múltipla escolha)

Suporte técnico

Desenvolvimento de sistemas

Infraestrutura

Outro:
Como você considera as questões acima em relação ao momento de seleção de um
fornecedor de TI? (alternativa)
1
2
3
Desnecessárias
4
5
Muito Importantes
A sua empresa utiliza algum roteiro de avaliação de riscos de TI no momento de
seleção do fornecedor? (alternativa)
1
2
Nunca
3
4
5
Sempre
A não conformidade com os requisitos de segurança da informação é um fator
eliminatório no processo de seleção de fornecedores? (alternativa)
1.
2.
Sim
Não
40
Existe algum outro controle que você ou sua organização consideram importantes
para selecionar um fornecedor de TI? (dissertativa)
___________________________________________________________________
___________________________________________________________________
41
8
RESULTADOS DA PESQUISA
A pesquisa foi submetida a alguns profissionais que participam do processo
de terceirização de TI em suas organizações. A partir da análise das respostas dos
entrevistados, os envolvidos no processo de terceirização entendem alguns dos
riscos existentes, porém concordam que os controles aplicados poderiam ser mais
eficazes. A tabela 9 demonstra algumas informações das empresas entrevistadas.
Tabela 9: Principais destaques dos entrevistados
Pontos positivos
 Pertinência do roteiro em relação
aos riscos de terceirização;
 Importância de analisar os
Pontos Negativos
 Dificuldade de obter informações
detalhadas no momento de
seleção;
fornecedores;
Recebemos também algumas sugestões para o roteiro de avaliação de
fornecedores de TI:
 Mecanismo para cálculo de nota de segurança do fornecedor com base
nas respostas do questionário;
 Ampliar abrangência para a segurança do negócio como um todo.
Aqueles que colaboraram com a pesquisa apontaram o questionário como
muito pertinente ao momento de seleção de fornecedor de serviços de TI, embora
em nenhum dos casos analisados o entrevistado afirmasse que suas empresas
praticam todos os controles mencionados. Outro fato interessante é que em nenhum
dos casos, o nível de segurança é um fator eliminatório no momento de seleção de
fornecedores.
A importância de utilizar algum mecanismo de avaliação do nível de
segurança foi ratificada pelos participantes. Houve um comentário referente à
dificuldade de saber em detalhes a conduta prática do fornecedor quanto à
segurança, uma vez que estes estão oferecendo um serviço, logo enfatizam suas
qualidades.
Uma sugestão bastante interessante foi a inclusão de um índice que, de
acordo com as respostas do questionário, calculasse a nota de segurança do
fornecedor em análise. Esta avaliação seria como o caminho inverso do realizado na
42
análise de riscos, atribuindo um peso maior para as vulnerabilidades com maior
impacto e probabilidade.
Na tabela 10 são descritas as respostas dos entrevistados em relação ao
questionário de avaliação de riscos.
Desnecessárias 5 = muito importante
Legenda questao 6: 1 = nunca 5=
sempre
Legenda questao 3: 1=
seleção do fornecedor de TI?
checklist semelhante no momento de
terceirizado?
6. A sua empresa utiliza algum
seleção de um fornecedor de TI
4. A não conformidade com os
requisitos de segurança da
informação é um fator eliminatório
no processo de seleção de
fornecedores?
5. Qual serviço está sendo ou será
acima em relação ao momento de
2. Porte da empresa
3. Como você considera as questões
1. Empresa
3
Infra-estrutura
4
estrutura
3
Não
Suporte técnico,
Não
Suporte técnico,
5
2
Infraestrutura
4
Infraestrutura
sistemas,
1
Infraestrutura
sistemas,
sistemas,
Não
Suporte técnico,
5
sistemas, Infra-
Sim
Suporte técnico
5
Telecomunicações
Pequena
Santel
Desenvolvimento de Desenvolvimento de Desenvolvimento de
Sim
Suporte técnico,
Não
Suporte técnico,
4
IPEP - Instituto
ITAD Inst. Teologico BNP Paribas
Paulista de Ensino e
Pesquisa
Pequena
Pequena
Grande
Desenvolvimento de
5
5
Makarara - Com. E Itau Unibanco S.A.
Tecnologia em
Segurança Eletronica
Média
Grande
43
Tabela 10: Respostas dos entrevistados
44
9
CONCLUSÃO
Este trabalho buscou contemplar itens importantes no processo de
terceirização de serviços de TI. Foram abordados conceitos como terceirização de
TI, riscos, segurança da informação, técnicas de análise de risco, normas de
mercado que mencionam práticas de segurança de TI e níveis de maturidade.
Através de análise de risco utilizando a metodologia descrita anteriormente,
foram
identificados
ativos
genéricos
presentes
nas
organizações,
como
computadores, rede, senhas, software e informação. Para estes ativos foram
identificadas ameaças e vulnerabilidades, a probabilidade destas ameaças se
concretizarem e os respectivos impactos. Esta análise genérica possibilita a
aplicação do questionário em qualquer setor de TI, independente da organização.
Questões mais específicas de cada organização podem e devem ser adicionadas a
fim de contemplar todo o cenário de terceirização de serviços de TI, possibilitando
um maior controle da conformidade do fornecedor para com os requisitos de
segurança da organização contratante.
A partir da pesquisa efetuada com alguns profissionais relacionados com o
processo de terceirização de TI em suas empresas, foram obtidas respostas de
concordância quanto à pertinência ao momento de seleção de fornecedores, sendo
este tipo de controle crítico na manutenção de um ambiente de tecnologia mais
seguro, o que ajuda TI a agregar mais valor e ser um diferencial competitivo nas
organizações.
9.1 Trabalhos Futuros
Deixamos como sugestões a trabalhos futuros a implementação de um
sistema de avaliação de fornecedores que calcule uma nota de segurança a partir
das respostas, sendo necessário que a empresa contratante atribua as
probabilidades de ocorrerem incidentes nas vulnerabilidades identificadas a partir de
seus controles já existentes, bem como atribuírem o nível de impacto a partir da
criticidade dos ativos envolvidos para a organização.
A partir dos dados informados, o sistema calcularia o peso de cada item
respondido e atribuiria uma nota, onde quanto maior a pontuação, mais aderente o
fornecedor estaria às recomendações de segurança de TI.
45
10 REFERÊNCIAS BIBLIOGRÁFICAS
AAEN, I; BØTTCHER, P. & MATHIASSEN, L. The Software Factories: contributions
and Illusions. In: Proceedings of the Twentieth Information Systems Research
Seminar in Scandinavia, Oslo, 1997.
ABNT, NBR ISO/IEC 17799:2005.
ABNT, NBR ISO/IEC 27001:2006.
ARAÚJO, L. C. G. de. Tecnologias de gestão organizacional. São Paulo: Atlas, 2001.
CUSUMANO, Michael A. Japan's Software Factories: A Challenge to U.S.
Management. Oxford University Press. 1991.
CROSBY, P. B. Qualidade é Investimento. Rio de Janeiro: José Olympio,
1999.
FERNANDES, AGUINALDO A; TEIXEIRA, DESCARTES S;Fábrica de Software –
Implantação e gestão de operações. São Paulo, Atlas, 2004.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro:
Ciência Moderna, 2003.
GIOSA, Livio Antonio, Terceirização: Uma abordagem estratégica. São Paulo.
Editora Pioneira Thomson Learning, 2003.
ISACA, Governance of Outsourcing, 2005. Acesso em 05/2011. Disponível em
http://www.isaca.org/Knowledge-Center/Research/Documents/Outsourcing.pdf
ISACA,
ITGI.
Cobit
4.1,
2007.
Acesso
em
12/04/2011.
Disponível
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf
em
46
ISO.
About
ISO.
Acesso
em
25/05/2011.
Disponível
em
http://www.iso.org/iso/about.htm
ISO/IEC 13335-1:2004.
ISO/IEC Guide 73:2002.
ISO/IEC TR 18044:2004.
JANSSEN, Luis Antonio. Instrumento de avaliação de maturidade em processos de
segurança da informação: estudo de caso em instituições hospitalares . Porto
Alegre, 2008.
LEITE, Jaci C. Terceirização em informática no Brasil: Investigação sobre a situação
da Terceirização em Informática no contexto brasileiro. Núcleo de Pesquisa e
Publicações e Relatórios de Pesquisa. Relatório n 13/1995, 1995.
LEITE, Jaci C. Terceirização em Informática. São Paulo: Makron Books, 1994.
MARCH, James G. & Shapira, Zur Managerial Perspectives on Risk and risk Taking,
Management Science, 1987.
MARQUES, H. M. et al. (2003). Fábricas de Software e o Processo de
Desenvolvimento Segundo a Experiência da Fábrica Um. Universidade Federal de
Pernambuco. Disponível em:
<http://in953.kelon.org/archives/in953/papers/fabrica1.pdf>. Acesso em: abril-2011.
Miller HG., Murphy RH. SEcure cyberspace: answering the call for intelligent action.
IT Professional, 2009
O’BRIEN, J. A; Sistemas de Informação e as decisões gerenciais na era da internet.
Editora Saraiva, 2001.
PORTER, M. E; MILLAR V.E. How information gives you competitive advantage.
Harvard Business Review, 1985.
47
PRADO, E. P. V; Terceirização da Tecnologia da Informação: Uma avaliação dos
fatores que motiva sua adoção em empresas do setor industrial de São Paulo.
Dissertação de Mestrado, 2000.
RAMOS, Anderson. Security Officer: guia oficial para formação de gestores em
segurança da informação. Porto Alegre, Zouk, 2008.
ROHN, E. Cost-Justification of Usability Engineering : A Vendor’s Perspective.
Boston: Academic Press, 1994SEBRAE/SC, Agencia Estado. Artigos para MPE’S,
24/04/2011. Acesso em 08/09/2011. Disponível em
http://www.sebrae-sc.com.br/newart/default.asp?materia=19945
SIQUEIRA, J. Nucleando Qualidade. Instituto Brasileiro da Qualidade Nuclear. Rio
de Janeiro, n. 45, p. 4, ano XI, 2005.
STRINGACI, Nilton Moreira. Segurança Mínima. Rio de Janeiro, Axcel Books, 2001.