terça-feira, 26 de maio de 2009

METODOLOGIA OCTAVE E SUA APLICAÇÃO NA APF

OCTAVE - Operationally Critical Threat, Asset, and Vulnerability Evaluation
No prefácio do livro "Managing information security risks", de Christopher J. Alberts, Audrey J. Dorofee, os autores assim se expressam: Muitas pessoas parecem estar à procura de uma "bala de prata" quando se trata de segurança da informação. Elas muitas vezes esperam que a mais recente ferramenta tecnológica resolva seus problemas. Poucas organizações param para avaliar o que elas estão realmente tentando proteger (e por que) a partir de uma perspectiva
organizacional antes de selecionar alternativas de solução.
Metodologia
Essa introdução já nos mostra como será tratado o risco e como será feita a análise de riscos, ameaças e vulnerabilidades, pelos autores do método OCTAVE. A primeira coisa que será feita no caso da abordagem OCTAVE é a contextualização e identificação dos riscos. No entanto, não é mérito apenas da metodologia OCTAVE essa visão de contextualização dos riscos, a mesma abordagem encontramos na metodologia NIST. Ademais, existe atualmente uma série de métodos de avaliação de segurança o que leva o tomador de decisão a confundir-se ao tentar selecionar um método adequado para avaliar os riscos de segurança da informação da sua organização. Ainda conforme os autores do método OCTAVE, a maioria dos atuais métodos são "bottom-up": começam com a infra-estrutura computacional e centram-se nas vulnerabilidades tecnológicas, sem considerar os riscos que afetam a missão da organização e objetivos empresariais, sendo que a melhor alternativa é olhar para a própria organização e identificar o que precisa ser protegido, e desenvolver soluções baseadas tanto na tecnologia como nas práticas. A metodologia OCTAVE de avaliação dos riscos de segurança da informação:
· Abrange ativos, ameaças e vulnerabilidades;
· Permite que os tomadores de decisão desenvolvam prioridades baseadas no que é importante para a organização;
· Abrange questões organizacionais relacionadas com o modo como os recursos computacionais são utilizados para
· atingir os objetivos de da organização;
· Abrange questões tecnológicas relativas à configuração dos recursos computacionais;
· Deve ser um método flexível, podendo ser adaptado a cada organização.

Formas de prevenção e eficácia
Uma abordagem baseada no risco poderia ajudar as pessoas a compreender como as informações de segurança da organização afetam a missão e objetivos empresariais, estabelecendo quais ativos são importantes para a organização e como eles estão em risco. Desta forma, o órgão pode atuar de forma mais eficaz, criando as melhores condições para que a missão seja cumprida, com diminuição da probabilidade de impactos sociais, políticos ou econômicos.

Conclusões
Levando-se em consideração o que acima foi descrito podemos entender que a metodologia OCTAVE poderia ser bem aplicada na Administração Pública. Não podemos descuidar, porém da sua forma de aplicação, ou seja, aquelas pessoas que irão aplicar a metodologia devem estar imbuídas desses mesmos princípios e zelar para que eles sejam atendidos.

Ana Rosa Carvalho de Abreu

Nenhum comentário: