Os anéis da insegurança informática

Segurança informática em auditoria

2. Os anéis da insegurança informática

Naturalmente que ao falar de informática estamos a referir-nos a informação automática que flúi através de uma sucessão de camadas ou anéis que começam quando alguém entra em contacto com uma dada empresa ou organização e acabam nos dados relativos a todos os factos relevantes que ocorrem. Incluímos neste conceito todos os circuitos de informação bem como a infraestrutura que os suporta.

Para ilustrar esta ideia de forma clara, apresentamos o seguinte esquema onde o negócio aparece sustentado por anéis sucessivos que condicionam a segurança e fiabilidade dos dados e podem afectar seriamente a continuidade do negócio ou mesmo a sobrevivência da empresa quando o recurso às TIC é generalizado.

Fig. 1
Os Anéis da Segurança Informática

Cada um destes anéis coloca problemas particulares que importa analisar para compreender até que ponto a auditoria deve ir. Por sua vez, todo este conjunto de anéis é condicionado pelas políticas e princípios de segurança adoptados na organização em causa e pelos graus de conformidade com os standards, com a legalidade e com princípios de gestão de risco usados como referencial.

Para entender a ideia de sustentação do negócio pelos anéis é preciso raciocinar com base em organizações onde a actividade operacional não pode funcionar sem as TIC. Lembre-se do sector financeiro (bancos e seguros) onde é praticamente impossível o funcionamento quando as TIC falham. Um banco pode ir à falência se a confiança nos seus sistemas for abalada de forma sistemática.

De acordo com Ernst Jan Oud [2] podemos organizar os standards de TIC mais conhecidos em nove títulos principais:

Gestão de TI (COBIT [3], BS15000, Microsoft Operations Framework e ITIL);

Gestão de Projectos (PRINCE2 e PMBOK);

Gestão de Segurança (ISO13335, ISO13569 para os serviços financeiros, ISO17799/BS7799-2 muito traduzidos e adaptados por esse mundo fora, ITBaseline Protection Manual alemão, ACSI-33 [4] australiano, numerosos da NIST [5] americana, COBIT Security Baseline, ENV12924 para SI médicos, Information Security Fórum Standard of Good Pratice [6]);

Gestão da Qualidade (ISO9001, EFQM e Baldrige National Quality Plan);

Desenvolvimento de Software (TickIT, Capability Maturity Model Integration – Software Engineering Institute);

Governo de TI (COBIT, IT Governance Implementing Guide, COSO Internal Control – Integrated Framework, e AS8015-2005 australiano);

Gestão de Risco (AS/NZS4360 australiano [7]);
Planos de Continuidade de Negócio (PAS-56 da British Standards Institution e HB221-2004 Australiano).

Nem todos são utilizados da mesma forma e com a mesma frequência, alguns têm maior divulgação.

A gestão da segurança está intimamente ligada à gestão do risco empresarial e não é possível abordar o tema sem uma visão universal do que existe actualmente sobre a matéria. As propostas mais defendidas actualmente pelos profissionais de TIC baseiam-se em diversos modelos aceites internacionalmente. A teoria dos anéis que apresentamos anteriormente é uma síntese simplificadora da enorme variedade de fontes que existem. A tabela abaixo apresenta uma lista dos referenciais internacionais mais conhecidos e mais utilizados.

Alguns referenciais internacionais usados em segurança informática [8]

Referência	Objectivo	Audiência Alvo	Entidade Emitente
CobiT	Objectivos de Controlo de Governação de TIC (uso diário)	Gestores de Topo, Gestores de TIC, Utilizadores e Auditores	IT Governance Institute [9]
COSO	Gestão e Controlo do Risco das Organizações	CIO, CEO, CFO, CxOs, Utilizadores e Auditores Internos	Committee of Sponsoring Organizations of the Tradeway Comission (COSO), USA
ITIL	Abordagem para Fornecedores de Serviços de Gestão de TIC	Pessoas Responsáveis por Serviços de Gestão de TIC	British Office of Government Commerce (OCG) UK.
ISO/IEC 17799:2000	Orientações para Implementação da Segurança da Informação	Pessoas Responsáveis pela Segurança da Informação	International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
ISO/IEC TR 13335	Orientações sobre aspectos da Gestão da Segurança de TIC	Gestores Seniores e Pessoas Responsáveis pela Medição da Segurança de TIC	International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
ISO/IEC 15408	Definição de Critérios para Avaliação da Segurança da Informação	Consumidores, Programadores e Avaliadores	International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
NIST 800-14	"Baseline" para o Estabelecimento e Revisão de Planos de Segurança de TIC	Terceiras Partes Responsáveis pela Segurança de TIC para Organizações Governamentais	Computer Security Resource Centre (CSRC), National Institute of Standards and Technology (NIST), US Department of Commerce, USA
OCDE	Orientações para a Segurança dos Sistemas de Informação	Gestores, CIO, CEO, CFO, utilizadores	OCDE
TickIT	Sistemas de Gestão da Qualidade para Desenvolvimento de Software e Critérios de Certificação	Clientes, Fornecedores e Auditores	TickIT Office, British Standards Institute (BSI), UK

Os profissionais de auditoria informática, na prática escolhem um destes standards ou uma parte deles em função das necessidades de cada missão. O ISO/IEC 17799 [10] e o COBIT são talvez os mais utilizados actualmente.

A Comissão Europeia está a proceder à alteração do Reg EC nº 1663/95 com regras detalhadas relativas aos procedimentos de aprovação das contas do FEOGA Garantia e Orientação, exigindo uma certificação de segurança dos sistemas de informação além da tradicional certificação de contas anual. Esta certificação de segurança dos sistemas de informação não se dirige exclusivamente à tecnologia e deverá ser efectuada com base num dos referenciais internacionais de segurança informática combinado com uma escala de níveis feita com o CMM (Capability Maturity Model).

As normas referenciais sugeridas foram o ISO/IEC17799, o BSI (norma alemã do tipo do ISO/IEC 17799, mas mais pormenorizada) e o COBIT. Até ao momento o ISO/IEC17799 foi preferido pela maioria das autoridades de pagamento dos estados europeus para efectuar esta certificação de segurança dos sistemas de informação. A adopção deste standard pelos estados europeus dar-lhe-á maior divulgação e projecção internacional. Por outro lado, os estados poderão vir a adoptar a mesma exigência para acompanhar a certificação das contas públicas.

Trata-se de uma exigência forte em termos de sistemas de informação, o standard ISO17799 é bastante exigente e se for combinado com os níveis de maturidade do CMM, dá chumbo certo a qualquer sistema de informação de perfil mediano nas empresas portuguesas. Provavelmente, tendo em conta a tendência dos portugueses para a intuição e aversão a sistemas rígidos, só o sector financeiro estará em condições de situar os seus processos de TIC acima do nível 2 do CMM.

Mostramos em anexo uma síntese de cada um destes standards, embora sem grande profundidade, para fornecer uma ideia objectiva do seu conteúdo a usar na opção por cada um deles durante o processo de auditoria.