O TOGAF e a Segurança da Informação

 

Em meu trabalho de conclusão de curso na FIA estudei sobre Davenport e a reengenharia de processos. Esta é uma das minhas áreas preferidas de estudo e que está presente no meu dia-à-dia de forma empírica e também de forma epistêmica. Ganhei um livro do meu tio João (engenheiro de produção) em meu aniversário de 14 anos, “A Meta” do Eliyahu Goldratt, devorei o livro e até hoje trago na minha bagagem o conhecimento sobre a teoria das restrições, mas deixando a ToC (theory of constraints) para um outro post, desejo falar sobre o Davenport, ele sugere em sua obra que a reengenharia de processos é um instrumento vital na implementação de estratégias de redução de custos e boa parte destas ações de melhoria de processos e redução de custos operacionais envolvem a adoção estratégica de recursos de TI.

Isso nos leva a realidade que – atualmente a TI está em todas as áreas da empresa, pois todas as empresas estão buscando ser mais produtivas e reduzir custos operacionais. Com a necessidade de informatizar processos, é mandatório avaliar os aspectos de segurança da informação em todas as interações onde a TI é necessária.

A Arquitetura de TI faz parte desta análise e das discussões e decisões estratégicas e participa efetivamente em quase todas as implantações dos projetos. Segundo o TOGAF a missão da área de Arquitetura vai além da implantação de um sistema e do cuidado do ambiente produtivo, ela tem coparticipação no tratamento dos aspectos de segurança dos ambientes, por isso, ainda que seja uma área de Arquitetura, ela também tem como missão a “segurança das informações”. Garantir que os sistemas de informação sejam executados com desempenho e segurança é vital para o funcionamento e perenidade do negócio. A disponibilidade precisa ser minuciosamente planejada e instalada para não impactar negativamente.

É impossível conceber uma área de TI nos dias atuais que não considere os aspectos de segurança da informação. Nas grandes empresas, os times de segurança da informação trabalham lado a lado com as demais áreas para garantir a disponibilidade e proteção dos ativos computacionais e das informações consideradas como ativos importantes.

Mesmo que você tenha uma visão negativa sobre segurança da informação eu lhe aconselho a ler este post com calma e liberdade de espírito, pois ignorar os riscos derivados da informatização dos processos e serviços na minha visão é a pior escolha. O meu objetivo neste Post é falar um pouco sobre o ponto de intersecção entre o TOGAF e as atividades atribuídas a área de segurança da informação.

Segundo o TOGAF, as informações devem ser protegidas com base na integridade, disponibilidade, confidencialidade, incontestabilidade e autenticidade. Cada informação deve ser submetida a uma avaliação de segurança com base nesses cinco fatores. Veja que a tríade (disponibilidade, confidencialidade e integridade) clássica dos frameworks de segurança foi ampliada e considerando outros fatores.

Além disso, o TOGAF também recomenda que o compartilhamento e a divulgação das informações sejam abertos e balanceados acompanhado da necessidade de restringir a disponibilidade de informações confidenciais, proprietárias e sensíveis. Segundo o Open Security Architecture Group a arquitetura de segurança pode ser definida como:

  • O desenho dos artefatos que descrevem os controles de segurança estão posicionados e como eles se relacionam com a arquitetura de soluções como um todo;
  • Os controles têm por objetivo manter a qualidade do ambiente e os 5 itens da segurança da informação considerados no TOGAF (integridade, disponibilidade, confidencialidade, incontestabilidade e autenticidade).

Fonte de pesquisa: http://www.opensecurityarchitecture.org/cms/definitions/it-security-architecture

Arquitetos devem estar cientes e endereçar os aspectos referente as leis e regulamentos atuais, pois estes exigem privacidade de dados, além disso, as soluções devem permitir acesso livre e sem restrição, o que o Open Group descreve como Enabling Boundaryless Information Flow. http://www.opengroup.org/aboutus/vision/bif

A adição de dados confidenciais e não confidenciais requer análises e procedimentos de classificação da informação para manter o controle apropriado e desta forma controlar o TCO sem desperdiçar recursos avançados de guarda com informações de baixo valor para o negócio. Esta deve ser uma atividade realizada junto com os donos da informação que muitas vezes são confundidos com a TI que na verdade não é dona da informação, ela é apenas quem mantém a custódia das informações.

Para endereçar os aspectos de integridade, confidencialidade, incontestabilidade e autenticidade, a sugestão é considerar o uso de um framework centralizado para diferentes sistemas e sua integração mandatória com algum recurso corporativo de IDM (Identity Management). Para oferecer acesso apropriado a informações e manter a segurança, as restrições devem ser autorizadas e autenticadas de forma centralizada, com fluxos de aprovação por alçada e com rastreabilidade.

Segundo a recomendação do TOGAF a segurança deve ser planejada nos elementos de dados desde o começo e não incluída posteriormente, daí a importância do Arquiteto de TI já delimitar o escopo necessário nas fases iniciais do ciclo do ADM. Sistemas, dados e tecnologias devem ser protegidos contra o acesso e manuseio não autorizados. A fonte de informações deve ser protegida contra modificações não autorizadas ou acidentais, fraude, catástrofe ou divulgação.

Além dos direcionadores encontrados no TOGAF é mandatório que a área de Arquitetura conheça e obedeça a política de segurança da informação, pois uma não substitui a outra. As duas áreas de conhecimento podem e devem ter um desempenho melhor, conspirando para a maximização do Capital (Das Kapital) que é o objetivo final de todas as empresas com fins lucrativos.

“Sem compreendermos o capitalismo não podemos compreender a sociedade humana da maneira que ela atualmente existe.”

Bernard Shaw

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Você pode gostar...