GESTÃO DA SEGURANÇA GESTÃO DA SEGURANÇA DA INFORMAÇÃO:DA INFORMAÇÃO:fatores que influenciam fatores que influenciam sua adoção em PMEssua adoção em PMEs

Universidade Municipal de São Caetano do SulPrograma de Mestrado em Administração

Mestrando: Abner NettoOrientador: Prof. Dr. Marco Pinheiro

ORIGEM DO ESTUDOORIGEM DO ESTUDO

• Expansão da microinformática

• Alto valor da informação armazenada

• Concentração das informações

• Dependência de TI

• Internet de uso público

• Garantia de continuidade do negócio

PROBLEMATIZAÇÃOPROBLEMATIZAÇÃO

Que fatores são capazes de influenciar a adoção da Gestão da Segurança da Informação por pequenas e médias empresas?

OBJETIVOOBJETIVO

Verificar em que medida as pequenas e médias empresas realizam gestão da segurança da informação;

Identificar fatores que influenciam pequenas e médias empresas a adotarem medidas de gestão da segurança da informação.

JUSTIFICATIVAJUSTIFICATIVA

• Pouca literatura encontrada referente a adoção da gestão da segurança da informação

• Fornecer resultados que ajudem a melhor compreender:• o valor das informações empresariais• os riscos e ameaças• o impacto nos negócios• os fatores motivadores ou inibidores relacionados

a sua adoção.• Crescimento do número de incidentes

DELIMITAÇÃO DO ESTUDODELIMITAÇÃO DO ESTUDO

Pequenas e Médias Empresas (PMEs) industriais presentes na região do Grande ABC

Definição usada para PMEs:Pequena – 10 a 99 empregados

Média – 100 a 499 empregados

REFERENCIAL TÉORICOREFERENCIAL TÉORICO

Segurança da informação é o processo de proteção da informação das ameaças a sua (Sêmola, 2003; Beal, 2005):

IntegridadeDisponibilidadeConfidencialidade

O bem mais valioso de uma empresa são as informações relacionadas com os bens de consumo ou serviços prestados pela mesma. (Caruso e Steffen, 1999; Fontes, 2006).

GERENCIAMENTO DO RISCOGERENCIAMENTO DO RISCO

RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOSMEDIDAS DE SEGURANÇA

Sêmola (2003)

MÉTODOS DETECTIVOS

MEDIDAS REATIVAS

EXPÕEM

DESENCADEIAM

REDUZEM

AMEAÇA + VULNERABILIDADE ATAQUE INCIDENTE IMPACTO

Erro humano Desastres naturais Fraude Invasão, espionagem etc.

Pessoal mal treinado Instalações desprotegidas Controles inadequados etc.

Invasão Acesso indevido Inserção incorreta de dados etc.

Destruição de dados Perda de integridade Divulgação indevida Quebra de equipamentos etc.

Prejuízo financeiro Prejuízo para a imagem Perda de eficiência etc.

MEDIDAS PREVENTIVAS

REDUZEM

Beal (2005)

CAMADAS DE SEGURANÇACAMADAS DE SEGURANÇA

FÍSICA

LÓGICA

HUMANA

Adachi (2004)

NORMAS DE SEGURANÇANORMAS DE SEGURANÇA

COBIT

NBR ISO/IEC 17799:2005Define 127 controles que compõem o escopo do SGSI em suas 11 seções:

Política de Segurança, Organização da Segurança, Gestão de Ativos, Segurança em RH, etc.

NBR ISO/IEC 27001:2006

TI EM PEQUENAS E MÉDIAS TI EM PEQUENAS E MÉDIAS EMPRESASEMPRESAS

PMEs possuem menores recursos financeiros e humanos

Foco atual de fornecedores de TI

Responsável pelo sucesso das organizações

“Mal necessário” (Leite apud Lunardi e Dolci)

Velocidade das operações e redução do custo (Prates e Ospina)

FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE TIPARA ADOÇÃO DE TI

Motivadores:Alta participação de especialista externo (Cragg e King, Thong apud Prates e Ospina)Características do proprietário (Palvia e Palvia)Melhoria do controles organizacionais (Prates e Ospina)Redução de custos (Prates e Ospina)Economia de tempo e esforço (Cragg e King)Pressões externas (Lunardi e Dolci)Ambiente organizacional favorável

FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE TIPARA ADOÇÃO DE TI

Inibidores:Resistência dos funcionários (Prates e Ospina)Falta de conhecimento de S.I. (Cragg e King)Tempo dos gerentes na implantaçãoAnálise informal de custo/benefícioRestrição quanto ao aconselhamento técnico

FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE GSIPARA ADOÇÃO DE GSI

Incidentes de segurança anteriores (Gupta e Hammond, 2004)

Tamanho do parque de informática (Gabbay, 2003)

Frequência dos ataques sofridos (Gabbay, 2003)

METODOLOGIAMETODOLOGIATipo de pesquisa: exploratória-descritiva

Procedimento técnico: levantamento

População: 1348 indústrias, sendo selecionadas 256 indústrias de fabricação de produtos de metal, exclusive máquinas e equipamentos

Amostra: 43 indústrias

Sujeitos: gestores responsáveis por aprovar investimentos em gestão da segurança da informação ou em TI

Instrumentos: entrevistas, questionário

Coleta de dados: telefonema, e-mail

Análise dos resultados: estatística descritiva

ENTREVISTASENTREVISTAS• Perfil do Gestor

• Não se mantêm informados sobre a área• Perfil da Empresa

• Enfrentaram incidentes de segurança: vírus, parada rede/servidor, furto de informações

• Valor da Informação e Análise de Risco• A maioria dos gestores alegaram preocupação com as

informações armazenadas em TI• Alguns gestores alegaram que o principal risco são os

funcionários• Ferramentas e Técnicas de Defesas

• Antivirus, Backup, Firewall• Fatores

• Orientação de um especialista externo• Importância da relação custo/benefício do investimento• Incidentes anteriores

QUESTIONÁRIOQUESTIONÁRIO

Grupo deVariáveis

O que se pretende investigar Qtde Questões

Exemplos deQuestões

Perfil do Gestor

Identificação do responsável pelos investimentos em TI / GSI

4 e-mail, cargo, departamento, decisão de compra

Identificação da Empresa

Identificação da empresa e do parque de informática, nível de utilização dos recursos de TI

4 número de funcionários, qtde de computadores, responsabilidade pela área de TI

Ferramentas e Técnicas

Importância das ferramentas e técnicas de gestão da Segurança da Informação

20 na sua empresa qual o grau de importância do uso do firewall, antivirus etc.

Fatores Questiona sobre os fatores motivadores ou inibidores para adoção da gestão da Segurança da Informação

8 recomendação de um especialista externo ou fornecedor da área

TOTAL DE QUESTÕES 36

ANÁLISE E DISCUSSÃO ANÁLISE E DISCUSSÃO DOS RESULTADOSDOS RESULTADOS

pesquisa realizada entre os meses de fevereiro em março de 2007

165 empresas aceitaram participar, porém somente 43 responderam ao questionário

Decisão de Compra

a decisão é minha47%

não participa2%

participa do processo

51%

AMOSTRAAMOSTRA

Departamento

finanças9%

tecnologia da informação21%

engenharia5% recursos humanos

7%

qualidade5%

suprimentos5%

comercial (vendas)7%

presidência/gerência geral41%

Cargo

sócio-proprietário42%

diretor16%

gerente14%

supervisor12%

analista16%

AMOSTRAAMOSTRANúmero de Empregados

1 a 95%

10 a 4948%

50 a 9933%

100 a 49914%

acima de 5000%

Qtde de Computadores

menos de 521% 5 a 10

21%

de 10 a 2028%

de 201 a 5002%

de 21 a 10023%

de 101 a 2005%

acima de 5000%

Responsabilidade da Área de TI

departamento interno

56%

terceiro com contrato

23%

terceiro com chamados eventuais

21%

AMOSTRAAMOSTRA

Nível de Informatização

nível baixo7%

nível médio65%

nível alto28%

Ferramentas e Técnicas - Camada Física

0

5

10

15

20

25

30

35

40

Antiv

írus

Sist

ema

de b

acku

p

Equi

pam

ento

par

apr

oteç

ão d

e fa

lhas

na

ener

gia

elét

rica Fi

rewa

ll

Nom

e de

usu

ário

,se

nha

indi

vidua

l ese

cret

a pa

ra a

cess

o a

rede

Sala

de

serv

idor

espr

oteg

ida

e em

loca

lre

strit

o

Cana

is de

com

unica

ção

para

regi

stro

de

even

tos

de s

egur

ança

Desc

arte

seg

uro

dam

ídia

rem

ovív

el

Mon

itora

men

to e

anál

ise c

rítica

dos

regi

stro

s (lo

gs)

Possui Não possui

Ferramentas e Técnicas - Camada Lógica

0

5

10

15

20

25

30

35

40

Atua

lizaç

ão d

eso

ftwar

e pa

raco

rreçã

o de

falh

asde

seg

uran

ça

Crip

togr

afia

em

banc

o de

dad

ose/

ou p

ara

troca

de

info

rmaç

ões

Supe

rvis

ão d

ode

senv

olvi

men

tote

rcei

rizad

o de

softw

are

com

requ

isito

s pa

raco

ntro

les

dese

gura

nça

dain

form

ação

Possui Não Possui

Ferramentas e Técnicas - Camada Humana

0

5

10

15

20

25

30

35

40

Reg

ras

para

uso

da

info

rmaç

ão e

dos

recu

rsos

de

TI

Con

trole

dos

dire

itos

depr

oprie

dade

inte

lect

ual

Avis

o ao

s us

uário

sso

bre

om

onito

ram

ento

dos

recu

rsos

de

TI

Polít

ica

dese

gura

nça

dain

form

ação

Cla

ssifi

caçã

o da

info

rmaç

ão

Con

trato

s co

mte

rcei

ros

com

term

os c

laro

sre

lativ

os a

segu

ranç

a

Plan

o de

recu

pera

ção

dede

sast

res

eco

ntin

gênc

ia

Con

scie

ntiz

ação

,ed

ucaç

ão e

trein

amen

to e

mse

gura

nça

Possui Não Possui

Grau de Importância dasFerramentas e Técnicas para Gestão da Segurança

2,4 2,6 2,8 3,0 3,2 3,4 3,6 3,8 4,0 4,2 4,4 4,6 4,8 5,0

Antivírus

Sistema de backup

Firewall

Equipamento para proteção de falhas na energia elétrica

Regras para uso da informação e dos recursos de TI

Nome de usuário, senha individual e secreta para acesso a rede

Atualização de software para correção de falhas de segurança

Controle dos direitos de propriedade intelectual

Aviso aos usuários sobre o monitoramento dos recursos de TI

Contratos com terceiros com termos claros relativos a segurança

Política de segurança da informação

Classificação da informação

Sala de servidores protegida e em local restrito

Criptografia em banco de dados e/ou para troca de informações

Monitoramento e análise crítica dos registros (logs)

Descarte seguro da mídia removível

Conscientização, educação e treinamento em segurança

Plano de recuperação de desastres e contingência

Canais de comunicação para registro de eventos de segurança

Supervisão do desenvolvimento terceirizado de software comrequisitos para controles de segurança da informação

SEGURANÇA 3 CAMADASSEGURANÇA 3 CAMADAS

Avaliação de Segurança nas Três Camadas

satisfatório59%

insatisfatório41%

Ferramentas/Técnicas Instaladas

0%

20%

40%

60%

80%

100%

Po

rcen

tag

em

médias empresas pequenas empresas

SEGURANÇA 3 CAMADASSEGURANÇA 3 CAMADAS

19

516

1

pequena média

insatisfatório

satisfatório

Avaliação de Segurança nas Três Camadas por Porte

ADERÊNCIA ISO 17799ADERÊNCIA ISO 17799Seção da Norma Ferramenta ou Técnica Pesquisada Média Porcentagem

Política de Segurança da Informação Política de segurança da informação 3,24 46%

Organizando a Segurança da Informação

Contratos com terceiros com termos claros relativos à segurança

3,32 44%

Regras para uso da informação e dos recursos de TI

3,68 Gestão de Ativos

Classificação da informação 3,17 55%

Segurança em Recursos Humanos

Conscientização, educação e treinamento em segurança

2,95 37%

Equipamento para proteção de falhas na energia elétrica

3,73 Segurança Física e do Ambiente Sala de servidores protegida e em local

restrito 3,15

63%

Antivírus 4,56

Sistema de backup 4,46

Firewall 4,29

Descarte seguro da mídia removível 3,07

Gestão das Operações e Comunicações

Monitoramento e análise crítica dos registros (logs)

3,07

68%

Controle de Acesso Nome de usuário, senha individual e secreta para acesso à rede

3,68 80%

Atualização de software para correção de falhas de segurança

3,56

Criptografia em banco de dados e/ou para troca de informações

3,10 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Supervisão do desenvolvimento

terceirizado de software com requisitos para controles de segurança da informação

2,80

47%

FATORESFATORES

Amostra Fatores

média erro amostral

limite superior

limite inferior

especialista externo 3,51 1,12 0,35 3,87 3,16

incidente anterior 3,34 1,24 0,39 3,73 2,95

consciência do gestor 3,63 1,13 0,36 3,99 3,28

mo

tiv

ad

ore

s

evitar perdas financeiras

4,37 0,83 0,26 4,63 4,10

valor do investimento 3,66 1,13 0,36 4,02 3,30

relação custo/ benefício 3,37 1,13 0,36 3,72 3,01

falta de conhecimento 3,71 1,15 0,36 4,07 3,35

inib

ido

res

cultura organizacional 3,66 1,02 0,32 3,98 3,34

FATORESFATORES

Fatores Motivadores

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

recomendação especialistaexterno

incidente anterior consciência do gestor evitar perdas financeiras

Fatores Inibidores

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

valor do investimento dificuldades em mensurarcusto/benefício

falta de conhecimento cultura organizacional

ÁREA DE TI INTERNAÁREA DE TI INTERNA

Fatores Motivadores - Área de TI Interna

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

recomendaçãoespecialista externo

incidente anterior consciência do gestor evitar perdas financeiras

amostra total

TI interna

Fatores Inibidores - Área de TI Interna

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

valor do investimento dificuldades emmensurar o

custo/benefício

falta de conhecimento cultura organizacional

amostra total

TI interna

TAMANHO DA EMPRESATAMANHO DA EMPRESA

Fatores Motivadores - Tamanho da Empresa

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

recomendaçãoespecialista externo

incidente anterior consciência do gestor evitar perdas financeiras

amostra total

pequena empresa

média empresa

Fatores Inibidores - Tamanho da Empresa

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

valor do investimento dificuldades emmensurar o

custo/benefício

falta de conhecimento cultura organizacional

amostra total

pequena empresa

média empresa

QTDE COMPUTADORESQTDE COMPUTADORES

Fatores Motivadores - Quantidade de Computadores

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

recomendaçãoespecialista externo

incidente anterior consciência do gestor evitar perdas financeiras

amostra total

até 10 micros

de 11 a 20 micros

acima de 20 micros

Fatores Inibidores - Quantidade de Computadores

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

valor do investimento dificuldades emmensurar o

custo/benefício

falta de conhecimento cultura organizacional

amostra total

até 10 micros

de 11 a 20 micros

acima de 20 micros

NÍVEL DE INFORMATIZAÇÃONÍVEL DE INFORMATIZAÇÃO

Fatores Motivadores - Nível de Informatização

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

recomendaçãoespecialista externo

incidente anterior consciência do gestor evitar perdas financeiras

amostra total

baixo

médio

alto

Fatores Inibidores - - Nível de Informatização

1,0

1,5

2,0

2,5

3,0

3,5

4,0

4,5

5,0

valor do investimento dificuldades emmensurar o

custo/benefício

falta de conhecimento cultura organizacional

amostra total

baixo

médio

alto

CONCLUSÃO - MOTIVADORESCONCLUSÃO - MOTIVADORES

• Evitar perdas financeiras foi o fator motivador para adoção de gestão da segurança da informação apontado em todas as análises, porém se mostrou como uma escolha óbvia.

• Outros dois fatores merecem atenção, em ordem:• Consciência do próprio gestor, pois mostrou-se

importante nas análises:• área de TI interna• tamanho da empresa• quantidade de computadores (de 11 a 20 e acima de 20)• análise nível de informatização dos negócios (nível

médio e alto);• Recomendação de um especialista externo mostrou-se

importante quando analisadas as empresas com:• até 10 micros• nível de informatização dos negócios baixo.

CONCLUSÃO - INIBIDORESCONCLUSÃO - INIBIDORES

• Falta de conhecimento do gestor foi o principal fator inibidor da adoção de gestão da segurança da informação na análise da amostra geral e na análise por quantidade de computadores;

• Outros dois fatores merecem atenção, em ordem:• O fator valor do investimento teve a maior média quando

analisado por:• existência de uma área de TI interna;• tamanho da empresa (média);• nível de informatização dos negócios (alto).

• O fator cultura organizacional teve a maior média e menor desvio padrão quando analisado:

• o tamanho da empresa (pequena);• o nível de informatização dos negócios (médio).

CONCLUSÃO – ISO 17799CONCLUSÃO – ISO 17799

• Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma das camadas de segurança: física, lógica e humana.

• Essa porcentagem diminui para 59% quando avaliado se possuem pelo menos metade dos controles pesquisados implantados.

• A camada humana foi a que apresentou o menor índice de ferramentas/técnicas implantadas pelas empresas pelo número de controles pesquisados nesta camada.

• Independente da camada, 21 empresas possuem menos ou 60% dos controles pesquisados presentes na ISO/IEC 17799:2005.

• Existe uma baixa adequação das pequenas e médias empresas em relação às seções da norma ISO/IEC 17799:2005, o que pode demonstrar que a norma requer muitos controles que a maioria não está preocupada em implantar ou não possuem tempo ou dinheiro para isso.

ESTUDOS FUTUROSESTUDOS FUTUROS

• Recomenda-se:• aplicar a pesquisa em outros setores da economia

como empresas de: serviços ou comércio, a fim de verificar a amplitude das análises;

• uma amostra maior de empresas também poderia relevar maiores informações e possibilitar análises estatísticas mais profundas;

• verificar a causa da falta de conhecimento dos gestores em gestão da segurança da informação e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?