Josivan de Oliveira Ferreira
Victor Luis Campos da Costa
1 Introdução
Existem inúmeros argumentos que consolidam a importância das informações para o setor empresarial. No entanto, não basta apenas estar ciente deste valor e utilizar a informação como ferramenta para atingir os objetivos empresariais, é necessário criar mecanismos que façam garantir o fluxo ininterrupto dela. Portanto, com base na necessidade de manter o poder através de uma informação íntegra, constante e particular, surge no cotidiano das organizações a questão da segurança informacional.
Podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, p.43). De acordo com Araújo (2009, p. 41) ela é obtida “a partir da implementação de uma série de controles, que podem ser políticas, procedimentos, estruturas organizacionais e funções de software.”
A segurança é uma área da gestão da informação que diz respeito a todas as etapas do fluxo informacional cujo objetivo é garantir a proteção da informação de acordo com os requisitos de sigilo, integridade, autenticidade, disponibilidade e irretratabilidade da comunicação (BEAL, 2011). O requisito referente ao sigilo procura proteger a informação contra a divulgação indevida que acrescentado com o da integridade, evita a modificação não autorizada. Já com respeito ao requisito da autenticidade, a informação tem garantia de ser proveniente de uma fonte verdadeira, ficando disponível aos usuários com a garantia do requisito da disponibilidade. Por fim, de acordo com Beal (2011), o requisito da irretratabilidade protege contra a alegação, por um dos integrantes da comunicação, de que a mesma não aconteceu.
2 Classificação da informação quanto ao sigilo
Informação é um conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais, isto é, operações que envolvam, por exemplo, a transferência de valores monetários (SÊMOLA, 2003). Algumas informações, por sua natureza, devem ter seu sigilo preservado. Além das razões de interesse estratégico, a informação pode exigir tratamento confidencial por outros motivos, entre os quais se destaca a necessidade de preservação da privacidade dos dados pessoais coletados. Um exemplo de esquema de classificação para as informações de acordo com seus requisitos de sigilo é apresentado na tabela:
| TIPO | CARACTERISTICAS |
| Sigilosa | A informação divulgada para pessoas não autorizadas trará grandes prejuízos à empresa. |
| Reservada | São Informações consideradas restritas de cuja divulgação não autorizada, frustrará a obtenção dos objetivos. |
| Pública | Estas informações são de livre acesso. |
Quadro 1 – Classificação da informação quanto ao sigilo
Fonte: Beal (2011, p. 60) adaptado pelo autor.
3 Política de Segurança da Informação
As políticas de segurança da informação são diretrizes, regras e princípios corporativos que com relação aos fluxos informacionais, determinam a proteção dos ativos e orientam a análise de risco. Essas políticas são de extrema importância a fim de haver uma boa comunicação entre integrantes da organização com respeito às responsabilidades atribuídas e ao comportamento esperado em relação à informação. Um exemplo de princípio informacional que pode constar da política de informação corporativa, adaptada de Davenport (2001), é:
"Os dados pertencem à empresa, não a um indivíduo ou a um departamento, e terão suas definições-padrão desenvolvidas pela unidade responsável pela manutenção da arquitetura informacional da organização. Os proprietários dos processos de negócio que criam ou atualizam os dados são responsáveis por implementar e seguir os padrões existentes."
Os elementos normalmente encontrados em uma política de segurança de informação incluem:
· Identificar, em todos os níveis da organização, quem é o responsável e presta contas pela informação;
· Determinar uma política de classificação da informação, proteção, uso e descarte de informações críticas ou sigilosas;
· Estabelecer o padrão mínimo de segurança para aplicação em todos dos sistemas corporativos e orientar a encontrar, mediante análise de risco, os pontos que merecem medição extra de proteção;
· Reconhecer que a proteção efetiva deverá estar sempre presente em todo o desenvolvimento do sistema ao invés de ser adicionada num momento posterior;
· Implementar a segurança da informação nos procedimentos operacionais, estabelecendo controles de acesso e auditoria interna;
· Determinar a política de segurança de pessoal e treinamento;
· Atentar para os procedimentos de controle de material proprietário e de licenças de uso de software e fazer as adaptações necessárias para garantir adequação à legislação aplicável;
· Criar uma política quanto ao relatório e investigação de incidentes de segurança, bem como requisitos de planejamento para continuidade do serviço;
· Estabelecer uma política de segurança da informação que responda as mudanças da organização de acordo com as suas necessidades, pois desse modo, ela não ficará estática. (BEAL, 2011, p. 55)
4 Gestão de Riscos
Os riscos sempre farão parte do sistema de informação empresarial, no entanto, o sucesso desta gestão depende da capacidade em quantificar estes riscos e de decidir quais deles estão dispostos a ocorrer, ou seja, Gestão de riscos é tomar decisões ou mapear os riscos de forma a contribuir para que as decisões corretas sejam tomadas.
Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
O inicio de todo processo começa com uma análise de riscos e vulnerabilidades, com baixo custo, na caminhada em busca da implantação de controles específicos. Esta análise de riscos e vulnerabilidades deve atingir a organização como um todo, além de ser uma etapa fundamental para certificação da ISO 27001.
Não podemos deixar de considerar na análise de riscos três aspectos que devem fazer parte de qualquer projeto de segurança: Pessoas (cultura, capacitação e conscientização), Processos (metodologias, normas e procedimentos) e Tecnologia (ferramentas que comportam os recursos físicos e lógicos). Para Sêmola (2003), a gestão da segurança da informação pode ser classificada em três aspectos: tecnológicos, físicos e humanos. As organizações preocupam-se principalmente com os aspectos tecnológicos (redes, computadores, vírus, hackers, Internet) e se esquecem dos outros – físicos e humanos – tão importantes e relevantes para a segurança do negócio quanto os aspectos tecnológicos.
Para Adachi (2004) que estudou a gestão da segurança em Internet Banking , dividiu estes aspectos em três camadas: física, lógica e humana. A camada física representa o ambiente onde está instalado fisicamente o hardware – computadores, servidores, meio de comunicação – podendo estar na empresa ou até mesmo na residência do usuário. Com relação à camada lógica, ela é caracterizada pelo uso de softwares e pela realização de transações em base de dados organizacionais, criptografia de senhas, ou seja, “regras, normas, protocolo de comunicação e onde, efetivamente, ocorrem as transações e consultas”. A terceira camada chamada de humana é a mais difícil quanto à avaliação dos riscos e o gerenciamento da segurança, pois envolve o fator humano, e nesse caso, é necessário avaliar a percepção do risco pelas pessoas, como elas lidam com os incidentes e se são instruídos ou ignorantes no uso da tecnologia da informação.
4.1 Identificação dos Riscos
Mas o que é risco? Para Fontes (2000) risco é a chance (probabilidade) de uma ameaça se transformar em realidade, causando problema à organização. Dawel (2005) determina que o risco seja apenas uma forma de representar a probabilidade de algo acontecer, ou melhor, trata-se de uma possibilidade. A gestão do risco inicia-se com a sua identificação, que é conseguida através do levantamento do contexto de risco em que a empresa existe e atua. Para contextualizar um cenário empresarial (SILVA et al., 2003) sugerem os seguintes modelos:
SWOT: (strengths, weaknesses, opportunitiesandthreats) definição da relação entre a Empresa e o ambiente através da identificação dos pontos fortes, fracos, oportunidades e ameaças à sua segurança.
Contexto: descrição da Empresa, das suas capacidades, metas, objetivos e estratégias implementadas para os alcançar.
Alvo: descrição das metas e objetivos, estratégias, âmbito e parâmetros da gestão do risco.
Bens: descrição dos bens da Empresa e das suas interdependências. Identificar os riscos importa em identificar as ameaças e as vulnerabilidades que podem ser aproveitadas por estas aos sistemas de informação envolvidos e o impacto que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
4.2 Ameaças
As ameaças representam os agentes ou condições que causam incidentes e comprometem as informações e seus ativos. Elas exploram as vulnerabilidades da empresa e provocam perdas de confidencialidade, integridade e disponibilidade. Para Sêmola (2003), quanto à intencionalidade, as ameaças podem ser divididas nos seguintes grupos:
Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia etc.
Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. (SÊMOLA, 2003, p. 47-48)
4.3 Vulnerabilidades
As vulnerabilidades são pontos em que o sistema é susceptível a ataques. Considerando também as fragilidades do sistema e erros que nele existam. Elas são elementos passivos e não provocam incidentes e nesse caso, precisam de um agente causador ou condição favorável.
São alguns exemplos de vulnerabilidades: salas de CPD mal planejadas, falha nos recursos tecnológicos, erros de instalação ou configuração, danificação de mídias, acessos não autorizados e não execução de rotinas de segurança. (SÊMOLA, 2003, p. 48)
4.4 Ativos
Representa em “qualquer coisa que tenha valor para a organização” (ABNT NBR ISSO/IEC 27001:2006). Todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.
5 Normatização
As normas são regras mínimas de segurança e qualidade para se produzir algo ou realizar determinado serviço. No caso da informação, a Associação Brasileira de Normas Técnicas (ABNT) junto com o comitê brasileiro de Computadores e Processamento de dados e pela Comissão de Estudo de Segurança Física em Instalações de Informática elaboraram a ABNT ISO/IEC 27000 e séries, de origem britânica e publicadas internacionalmente pela International Organization for Standartization (ISO). São elas:
· ISO/IEC 27001:2005 – publicada em 30/04/2006 tem como títulos Tecnologia da Informação, Técnica de Segurança e Sistemas de gestão de segurança da informação.
· ISO/IEC 27002:2005 – sua validade partiu de 30/09/2005 e tem como título diferenciado o Código de prática para a gestão de segurança da informação. Ela estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação. Os objetivos definidos nela provêm diretrizes gerais sobre as metas geralmente aceitas para SGSI.
· ISO/IEC 27003:2010 – sua validade será a partir de 04/11/2011 e tem os seguintes tópicos: Tecnologia da Informação, Técnicas de segurança e Diretrizes para implantação de um Sistema de Gestão de Segurança da Informação (SGSI)..
· ISO/IEC 27004:2009 – publicada em 01/04/2010 e acrescenta os títulos Gestão da segurança da informação e a Medição.
· ISO/IEC 27005:2008 – publicada em 07/07/2008 e válida um mês depois, acrescenta nos seus títulos a questão da Gestão de riscos de segurança da informação.
· ISO/IEC 27011:2008 – data de validação em 11/12/2009 e tem como objetivo fornecer diretrizes para a gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002.
Além das normas de origem internacional que garantem a certificação ISO para as empresas, temos outros dispositivos legais de caráter federal relacionados à segurança da informação. Alguns destes dispositivos podem ser demonstrados nos quadros abaixo:
1. CONSTITUIÇÃO FEDERAL
| DISPOSITIVO | FUNDAMENTO LEGAL | RELAÇÃO COM A SI |
| Art. 5º, inciso X | Direito a privacidade. | Sigilo das informações relacionadas à intimidade ou à vida privada de alguém. |
| Art. 23, incisos III e IV | Dever do Estado de proteger os documentos e obras. | Proteção da integridade, da autenticidade e da disponibilidade das informações pelo Estado. |
| Art. 216, $ 2º | Obrigação da Administração Pública de promover a gestão documental. | Proteção da integridade, da autenticidade, da disponibilidade e do sigilo das informações constantes nos órgãos e entidades integrantes da Administração Pública. |
| Art. 37, caput. | Vinculação da Administração Pública aos princípios da legalidade, impessoalidade, moralidade, publicidade e efieciência. | Quanto melhor a gestão das informações, mais eficiente será o órgão, portanto, surge a necessidade de uma política de Segurança da Informação. |
Quadro 2 – Alguns dispositivos da Constituição Federal sobre segurança da informação.
Fonte: Elaborado pelo autor.
2. LEI, DECRETO E INSTRUÇÃO NORMATIVA
| DISPOSITIVO | FUNDAMENTO LEGAL | RELAÇÃO COM A SI |
| Lei nº 10.683/03, art. 6º | Prevê competência do Gabinete de Segurança Institucional da Presidência da República (GSIPR) de coordenar a atividade de segurança da informação. | Todos os aspectos da segurança da informação.
|
| Decreto nº 4.553, de 27/12/02. | Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. | Todos os aspectos da segurança da informação.
|
| Decreto nº 5.772, de 08/05/06, art. 8º. | Institui a estrutura regimental do GSIPR o Departamento de Segurança da Informação e Comunicações com diversas atribuições na área de segurança da informação e comunicações. | Atribuições para área de segurança da informação e comunicações para o Departamento de Segurança Informação e Comunicações. |
| Instrução Normativa nº 1 do GSI, de 13/06/08. | Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. | Todos os aspectos da segurança da informação.
|
Quadro 3 – Lei, Decreto e Instrução Normativa relativo à segurança da informação.
Fonte: Elaborado pelo autor.
BIBLIOGRAFIA
ADACHI, Tomi. Gestão de Segurança em Internet Banking – São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas – Administração. Orientador: Eduardo Henrique Diniz.
BEAL, Adriana - Segurança da Informação: princípios e melhores práticas
para a proteção dos ativos de informação das organizações. -São Paulo:
Editora Atlas, 2005.
DAWEL, George - A Segurança da Informação nas Empresas – Rio de
Janeiro: Editora Ciência Moderna, 2005.
FONTES, Edison Luiz Gonçalves - Vivendo a segurança da informação:
orientações práticas para as organizações. -São Paulo: Editora
Sicurezza,2000.
FREITAS, Eduardo Antônio Mello. Gestão de riscos Aplicada a sistemas de informação:Segurança estratégica da informação – Brasília:Universidade Candido Mendes.71p.Mestrado.Orientador:Prof. Koffi DjimaAmouzou.
NETTO, Abner da Silva. SILVEIRA,Marco Antonio Pinheiro da, Revista de Gestão da Tecnologia e Sistemas de Informação JournalofInformation Systems and Technology Management Vol. 4, No. 3, 2007, p. 375-397
SÊMOLA, Marcos. Gestão de Segurança da Informação: visão executiva da segurança da informação: aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2003 – 12ª reimpressão.
Nenhum comentário:
Postar um comentário