Indisponibilidade de sistema pode causar prejuízo de R$ 1 bilhão
O Jornal a Folha de São Paulo informou neste domingo que Caixa Econômica Federal pode gerar para os cofres públicos uma perda de R$ 1 bilhão. Durante o período de setembro de 2008 a agosto de 2009 o sistema de informática responsável pelas informações relativas a determinados papéis da dívida pública brasileira, ficou fora do ar. Este fato impediu uma conferência correta dos valores desses papéis e os mesmos foram negociados com prejuízo para o governo brasileiro. A saída do sistema foi atribuída a um erro da empresa de informática terceirizada.
É uma situação que tem tudo para ser esclarecido: gestão de incidentes, acordos de nível de serviço, participação dos gestores da informação nas definições de tempo máximo de indisponibilidade de sistemas e serviços, políticas de segurança, planos de continuidade de negócio e formalização de todos estes (e demais) controles definidos pela norma brasileira, baseada na norma internacional, NBR ISO/IEC 27002:2005, poderão ser identificados. Baseado nestes controles e suas evidências poderá se avaliar o porque do erro e as devidas providências poderão e deverão ser tomadas.
Todas as organizações podem aprimorar seus controles em segurança da informação analisando sempre os incidentes que acontecem consigo e com as outras organizações.
Pensando em segurança da informação, sua organização precisa:
a) Ter uma política de segurança da informação
Onde serão definidas as responsabilidades das pessoas relacionadas à informação.
b) Implantação do conceito de Gestor da Informação
Toda a informação da empresa precisa ter um responsável por definir critérios de disponibilidade, integridade e sigilo da informação.
c) Tempo de indisponibilidade de sistemas
O gestor da informação deve definir qual o tempo máximo que um sistema ou serviço poderá ficar indisponível. Também definirá o que deve ser feito durante este período de indisponibilidade (Controles manuais? E se esta parte do negócio da organização fica sem funcionar?), e de integridade: se procedimentos forem realizados fora do sistema, como se garantirá a confiabilidade destas informações?
d) Registros para auditoria
Todas as ações feitas nos sistemas de informática ou as ações realizadas de maneira convencional (no papel) devem ser obrigatoriamente registradas para permitir que auditorias e investigações identifiquem o que foi feito, e se foi erro, porque os controles existentes não foram suficientes para impedir este erro.
e) Proteção da informação é da organização
A Área de Segurança da Informação tem a responsabilidade de garantir a existência do processo de proteção da informação, no ambiente computacional e no ambiente convencional. Esta área deve garantir que as responsabilidades estão definidas e os controles existem. Porém, a definição de quão rígidos serão estes controles, deverão ser definidos pelos gestores da informação, que devem considerar o risco para a organização e a conformidade com a legislação que a organização está submetida.
A notícia deste fato apareceu nos jornais pelos valores envolvidos e por se tratar de possível prejuízo para o dinheiro público. Mas, quantas organizações podem estar sofrendo prejuízos por não terem implantado adequadamente os controles de segurança. São 133 controles definidos pela Norma NBR ISO/IEC 27002:2005. Existem outras normas da família 27000 (todas dedicada à segurança da informação), mas estes controles são básicos e estruturais.
E a sua organização, como está?
Edison Fontes, CISM, CISA, CRISC, MSc
Núcleo Consultoria em Segurança
