Edificando o Controle
A Construção do escritório da Segurança da Informação na unidade brasileira da Xerox fortaleceu a importância de seguir regras e práticas adequadas
Impulsionada pelo cenário de atentados terroristas nos Estados Unidos, nos anos de 2001 e 2002, que instaurou o medo em todo o mundo, a Xerox tomou a decisão mundial de aprimorar medidas e políticas de segurança em suas filiais. Nesse plano, também estava incluído o BCP (Business Continuity Plan – Plano de Continuidade de Negócios).
Aqui no Brasil, a implementação do novo modelo foi facilitada pela insegurança que havia tomado conta das empresas espectadoras da desventura de algumas companhias. Estas que simplesmente desapareceram por terem negligenciado a adoção de planos de contingência e de continuidade de negócios e variados procedimentos de segurança.
Arnaldo Cadena, gerente de TI, Segurança da Informação e Arquitetura da Xerox do Brasil, designado para pôr em prática o novo escritório, lembra que na época, em meados de 2003, abraçou a causa de expurgar o medo e traçou duas diretrizes iniciais: valorizar a informação junto aos funcionários e implementar uma campanha de conscientização da necessidade de Segurança da Informação junto a usuários e parceiros. “Não adotamos a política da obrigatoriedade e sim da sensibilização”, completa.
Para a criação do escritório foi sugerido um modelo terceirizado, do qual faziam parte uma estrutura interna com funcionários treinados e a seleção de parceiro com padrão internacional que preenchesse os seguintes requisitos: uso de moderna metodologia, certificações comprovadas, alto conhecimento em tecnologia e soluções, disponibilidade de ferramentas para análise e gestão de riscos, compromisso de assumir riscos perante resultados apresentados e oferecimento de custo variável. Entre os seis concorrentes, a escolha recaiu sobre a Módulo.
A segunda etapa foi a definição do framework da gestão de riscos, com Sarbanes-Oxley, Segurança da Informação e métricas de controles internos. “Tínhamos a missão de apoiar as áreas de controles internos, pois não possuem conhecimento técnico sobre normas e políticas de segurança. Fornecemos todo o suporte de informações”, ressalta Cadena, acrescentando a importância do escritório na revisão, correção e documentação de processos e na implementação de controles em pontos críticos.
No Plano Diretor de Segurança da Informação da Xerox Brasil constavam atendimento às políticas de segurança, maturidade, desenvolvimento de sistemas e implementação de projetos, adequação à Lei Sarbanes-Oxley e balance score cards. Além de endomarketing sobre Segurança da Informação, plano de continuidade de negócios, análise de riscos e teste de invasão e controle de acesso centralizado.
Nesse pacote, o objetivo central era reduzir ao máximo o nível geral de riscos. Para tanto, foram criados backup de servidores, de links, entre inúmeros outros, dentro de um conjunto de padrões determinados. E ainda o uso da ferramenta Módulo Risk Manager, desenvolvida pela Módulo. “Assim, garantimos as devidas condições para recuperação do negócio, no caso de necessidade”, diz.
A sensibilização dos funcionários para o respeito às regras e políticas de segurança aconteceu com o apoio do endomarketing, por meio da divulgação da carta do presidente a todos os funcionários, divulgação de peças de comunicação por e-mail e jornal mural, além da realização de uma peça teatral sobre o tema. O controle de acesso foi assimilado e teve como diretrizes: processo centralizado para análise de uso de funções, fluxo de aprovação, matriz de responsabilidade para acesso à informação, entre outras.
Depois de todo o esforço para implementação do escritório, sua atuação e resultados, de acordo com Cadena, a Xerox Corporation reconhece a unidade brasileira como modelo de Segurança da Informação, diante de todas as subsidiárias espalhadas pelo mundo. E as conquistas não param por aí. No ano passado, a auditoria de SOX foi concluída com sucesso e o DRP (Disaster Recovery Plan) implementado e testado também com sucesso.
Imperativos do novo modelo
- Desenvolvimento de um Plano Diretor de Segurança da Informação
- Alinhamento às agências reguladoras, normas e leis nacionais e internacionais, como Sarbanes-Oxley, ISO 17799, Cobit etc.
- Implementação do BCP (Business Continuity Plan)
- Alinhamento com as diretrizes corporativas
- Alinhamento com as auditorias internas e externas
- Criação do Escritório de Segurança da Informação
- Escolha de um parceiro de padrão internacional, com metodologia e certificados, além de experiência e conhecimento comprovados
- Alinhamento com as políticas corporativas de segurança da informação
- Aplicação de endomarketing sobre segurança da informação
- Controle de acesso centralizado
- Uso de análise de riscos