COMPLIANCE M贸dulo 2 Dilma Resende 02/01/2012
EADCONTEUDO
MÓDULO 02 COMPLIANCE E GESTÃO DE RISCOS – PARTE 02 Observação interessante: As atividades de Compliance, para terem credibilidade, não devem ter em seus quadros jovens recém - contratados, recém-formados ou estagiários. Só devem ocupar cargos de Compliance pessoas com larga e comprovada experiência não apenas no negócio em si, mas também com forte experiência em cargos de liderança em empresas de médio ou grande porte. Compliance (Conformidade) e gestão de risco são complemento um do outro, e só alcançam seu resultado completo quando integrados. Como saber qual o nível de risco se eu não souber quais são os controles que já tenho implementado em meu ambiente? Como justificar a implementação deste ou daquele controle senão através de riscos? Para quem não precisa atender a leis ou regulamentações específicas, tire o “compliance” de sua frente. Foque na gestão de risco. Porque querer saber se a organização atende aos controles da SoX se não é necessário atender a SoX? É questão de análise e bom senso.
2
EADCONTEUDO Conceitos de Gestão de Segurança em Tecnologia da Informação, como subsídio para o Compliance A Gestão de riscos Um dos pontos básicos da segurança é o fato de que não existe segurança total ou completa. O que torna um projeto seguro está mais ligado à gerência de vários fatores do que à implementação de uma solução definitiva. Gestão de Risco é um dos componentes mais importantes da Gestão de Segurança da Informação. Analisemos alguns termos usualmente aplicados no dia a dia e muito importantes no tema que abordamos: “Compliance e gestão de riscos”. Gestão de Risco: é o conjunto de atividades usadas pela determinar como lidar com o risco.
organização para
Ativo: é tudo que possui valor e necessita de algum tipo de proteção. Escopo: é conjunto de ativos, ameaças e vulnerabilidades que o Sistema de Gestão de Risco deverá “cobrir”. O ideal é um escopo realista, pois se for muito pequeno não cobre tudo e se for enorme gera projetos intermináveis, prejudicando todo o processo. Ameaça: é o que pode causar algum tipo de dano aos ativos e obviamente à empresa. Quando a ameaça se concretiza é chamada de incidente. Vulnerabilidade: as vulnerabilidades proporcionam situações que abrem brechas para uma ameaça. A presença de uma vulnerabilidade não causa prejuízos, e sim uma ameaça concretizada. Proteção: são procedimentos que podem proteger os ativos contra ameaças, ou eliminar vulnerabilidades e conseqüentemente minimizar um incidente. Risco: não há como eliminar os riscos permanentemente. Existe o chamado RISCO RESIDUAL, que é tão somente o que sobra após todas as medidas tomadas. É o risco que a organização definiu como sendo tolerável. Todos devem trabalhar para chegar nesse patamar.
3
EADCONTEUDO
Como encarar a gestão de riscos: A primeira fase é a análise do problema. Em seguida é feita a avaliação, que é o processo de comparar os riscos que foram anteriormente identificados com os critérios de risco definidos pela organização. A partir disso, é decidido se trata ou aceita o risco em questão. Posteriormente são implementadas medidas para reduzir os riscos que foram previamente identificados, e que viabilizem colocar estes riscos em níveis aceitáveis. Interessante verificar que pode ocorrer do custo de proteção ser maior que o ativo protegido, e assim não vale a pena. Comunicação é o último componente da G.R (Gestão de Riscos). É quando se compartilha informações e conseqüente a responsabilidade sobre o risco com todos os envolvidos. A GR é um processo muito complexo e a primeira vista nem sempre é tudo tão claro. Importante otimizar o tempo de diagnóstico com a implementação de medidas a fim de maximizar os resultados. Até porque, na área tecnológica, sabemos que tudo é extremamente dinâmico. 4
EADCONTEUDO As tarefas do projeto: Primeiro passo: ter em mente que o tamanho do escopo será definido pela quantidade de ativos analisados. Os ativos devem ser agrupados por categorias, por processo de negocio, por localidade física e por tipo de ativo. Uma vez fechado o escopo, é chegado o momento de identificar as ameaças (do modo mais genérico possível). Mesmo sendo erro de usuário, falha de sistema, vírus etc, trabalhe apenas com “sistema indisponível”. Foque nas ameaças que são mais comuns, senão tenderá a ter uma lista gigante. Nunca é possível cobrir todas as situações, assim priorize. Para chegar até as ameaças, é necessário analisar dois fatores: a freqüência (o número estimado de vezes que a ameaça tentará causar prejuízo a um ativo) e a vulnerabilidade (ausência ou falha na proteção). Feito isso, é necessário identificar os ativos de maior riscos, pois serão esses deverão ser priorizados na hora da proteção. Segundo o analista de gestão de riscos e compliance, Sergio Neruda Reis: “ Entre comprar um sistema de redundância para servidores e desenvolver uma norma de acesso físico a um datacenter, muitas organizações tenderão a priorizar a segunda opção, não por causa do risco e sim por causa do custo.”
A próxima etapa é o Tratamento de Risco. Implementar as proteções escolhidas pode durar vários meses. Algumas delas envolverão várias atividades, tornando necessário projetos separados. Algumas vezes a organização terá ciência do risco, mas decidirá suportá-lo em função de vários fatores. Um dos fatores mais preponderantes é o custo da proteção, ou até mesmo por no ser possível encontrar formas de proteção adequada. Ainda assim, é necessário monitorar os riscos. A última etapa da Gestão de Risco envolve a sua comunicação. É de suma importância que a organização conheça todos os riscos além de ter uma idéia de quais riscos foram ou serão tratados. Também é necessário conscientizar os usuários das ferramentas sobre os riscos envolvidos em relação ao seu uso, onde o monitoramento é imprescindível.
5