Olá pessoal,

Continuando nossa trilogia …

Falando ainda um pouco da fase do Ódio pelo @$#$¨&*% SGSI (isso logo logo vai mudar para o Adorável SGSI, acredite!), algo que certamente alimenta essa fase da “raiva” é a falta de algo concreto para usar como trilho e isso você já deve ter percebido que não é objetivo das normas, ou seja, você tem trilhas e não trilhos, estando aí o principal desafio do profissional de segurança: “construir o trilho”, ou melhor, transformar a avaliação de segurança da informação em processo repetitível e abrangente de forma a fornecer aos gestores uma visão do nível de proteção dos seus ativos críticos, auxiliando-os na tomada de decisão sobre investimentos em segurança dentro da corporação.

Lembre-se: tenha sempre em mente que a linguagem dos gestores é feita de números, trabalhe com métricas !!

O início da transformação:

Confesso que a ISO 27005, agora já publicada oficialmente, foi onde obtive o primeiro “plim” de como começar a construir o “trilho”. Não sei se por ter sido a última a ser lida e com o acúmulo de informações das leituras prévias tudo se encaixou ou se realmente foi por conta da visão mais prática que ela traz, inclusive com muitos exemplos em seus anexos. Sem mais delongas, a partir daqui eu começo a falar de um exemplo de construção de um SGSI, apenas reforçando a informação de que não há trilho, há trilha para se contruir o trilho, devendo-se respeitar todas as variáveis existentes num ambiente corporativo. Lá vamos nós:

1 - Obtenha da organização os limites em que sua avaliação (escopo) será aplicada. Por exemplo, que área de negócio será avaliada?

2 - Levante o ativo principal (iso27005) da área avaliada. Digamos que pensando em processos de negócio, você teria o objetivo de catalogar todos os processos e realizar uma classificação sob o ponto de vista de perda financeira. E as perdas com problemas de imagem etc? Concordo, porém, guarde isso em seu “a fazer”. Comece com o que é tangível, depois parta para o intangível. Afinal de contas, temos que começar de algum ponto. Então, procure obter do processo de negócio informações sobre tempo de parada do processo no último ano ou período maior (calcule por exemplo: total de usuarios x valor da hora trabalho de cada um x total de horas paradas), multas decorrentes, média de vendas ou operações não realizadas etc. Em resumo, estabeleça uma régua de classificação dos processos de negócio baseada em valor de perda financeira. Uma vez feito isso, parabéns, você acaba de obter a classificação do IMPACTO daquele processo de negócio.

Obs: É importante lembrar que: se já existir qualquer forma de avaliação de impacto na empresa, por exemplo, um BIA (Business Impact Analysis) você deverá integrar à sua metodologia. Verifique apenas se foram consideradas as perdas sob o aspecto da confidencialidade, integridade e disponibilidade.

3 - O próximo passo é estabelecer a avaliação sob o ponto de vista da EXPOSIÇÃO, pois, o cálculo do RISCO é uma relação direta entre IMPACTO x EXPOSIÇÃO. Você encontrará muita literatura falando que a exposição é calculada a partir da relação entre vulnerabilidade x ameaça e não há nada incorreto sobre isso, porém, a parcela de subjetivismo existente para se estipular um nível de vulnerabilidade e de ameaça a um ativo é muito grande. Esse subjetivismo é uma grande barreira, principalmente, em organizações com baixo nível de cultura de segurança - o que em minha opinião é a realidade de 90% ou mais aqui no Brasil (não sei como está isso em outros países) - onde um gestor de processo crítico é capaz de responder a um questionário de risco buscando a meta de ter menos trabalho a fazer, menos controles a implementar etc. Então, qual seria uma boa estratégia ? Pode haver várias, eis aqui uma que costumo seguir: Impacto - o gestor é a pessoa mais capacitada quando se fala de valores financeiros envolvidos no processo. Apenas conduza/oriente-o dentro de uma régua de avaliação. Exposição - você, profissional da área de segurança, é o mais capacitado a avaliar controles de segurança que possuem relação inversa com a Exposição, ou seja, se você está começando do “zero” um trabalho de montar um SGSI, permita-se considerar para o processo de negócio avaliado, toda a lista de ameaças comuns (iso27005) como ponto de partida. Tendo isso como base, derivamos na visão de que, no mínimo, todos os controles de segurança da iso27001 deverão ser avaliados.

Percebeu que as “coisas” estão ficando mais claras? Bom, espero que sim !!! Agora é saber como avaliar os 133 controles da ISO e como arrumar todo o resultado obtido em forma de gráficos etc. Veremos isso no próximo post, onde, acreditem, o milagre da comunicação entre Técnicos e Gestores irá ocorrer !!!

Até lá …

Trilogia da Família ISO 27000: SGSI chegando … by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Sua resposta: