Politica de Seguranca Da Informacao
description
Transcript of Politica de Seguranca Da Informacao
-
Politicas de Segurana da Informao
Rodrigo Pionti, Daniel Paulo Ferreira
Faculdade de Tecnologia de Ourinhos FATEC
INTRODUO
Com o avano da tecnologia de modo acelerado, o uso da internet tem
se tornado imprescindvel nas nossas atividades dirias, sendo esse um dos
recursos mais utilizados para troca de informaes tanto empresariais quanto
pessoais. Devido a essa exposio cresce tambm a preocupao com a
segurana da informao.
A poltica de segurana da informao nada mais que um conjunto de
praticas e controles adequados, formada por diretrizes, normas e
procedimentos, com objetivo de minimizar os riscos com perdas e violaes de
qualquer bem. Se aplicada de forma correta ajudam a proteger as informaes
que so consideradas como um ativo importante dentro da organizao.
INFORMAO
Informao um conjunto que dados que processados ganham
significado que tornam possvel sua compreenso e interpretao. As
informaes constituem um dos objetos de grande valor para as empresas.
A ISO/IEC 13335-1/2004 caracteriza como ativo qualquer coisa que
tenha valor para a organizao. considerado como ativo de informao todo
bem da empresa que se relaciona com informao e que tenha valor para a
organizao, pode ser um componente humano, tecnolgico, fsico ou lgico
que realize processos de negcio dentro da empresa.
Graduado em Anlise de Sistemas e Tecnologia da Informao com habilitao em Tecnlogo em Segurana da Informao. [email protected]
Professor da Faculdade de Tecnologia de Ourinhos (FATEC), Avenida Vitalina Marcusso,1400 Campus Universitrio CEP 19910-260 Ourinho/ SP . Tel/fax: (14) 3324-3986, E-mail : [email protected]
-
Atualmente a informao de valor altamente significativo e pode
representar grande poder para quem a possui, seja pessoa, seja a empresa. A
informao apresenta-se como recurso estratgico sob a tica da vantagem
competitiva. Possui valor, pois est presente em todas as atividades que
envolvem pessoas, processos, sistemas, recursos financeiros, tecnologias e
etc.
Classificao da informao
Cada informao tem um diferente grau de importncia, por esse motivo
necessrio classific-las. Essa classificao norteia-se mediante ao impacto
que causaria a sua perda, alterao ou uso sem permisso. Ferreira afirma
que quanto mais estratgica e decisiva para a manuteno ou sucesso da
organizao maior ser sua importncia. (FERREIRA, 2008, p. 78)
Classificaes excessivas podem causar confuses e dificultar o
processo, elas devem ser claras, de fcil entendimento e descritas para
diferenciao entre si. Normalmente trs nveis podem ser suficientes para uma
boa classificao. Entre os nveis mais utilizados na classificao de
informao esto: informao pblica, informao interna e informao
confidencial.
Informaes pblicas: so aquelas de menor importncia, no
necessitam de sigilo, por isso desnecessrio investimentos para torn-
las seguras. Exemplo: teste de sistema e servios, folders.
Informaes internas: so as que devem ser mantidas fora do alcance
de acesso externo, mas que, se for acessada de forma indevida no
causaro grande impacto. Exemplo: agenda telefnica.
Informaes confidenciais devem ser protegidas de acesso externo, pois
se utilizadas por pessoas no autorizadas podero levar a organizao a
ter prejuzos financeiros ou perda de competitividade. Exemplo: salrios,
dados de clientes, senhas.
Segurana da Informao
-
Devido importncia de cada informao devemos mant-las seguras,
porem muitas vezes sua importncia s percebida quando ela destruda,
perdida ou at roubada.
Os princpios da segurana da informao abrangem basicamente os
seguintes aspectos: confidencialidade, integridade e disponibilidade (CID), toda
ao que possa comprometer um desses princpios pode ser tratada como
atentado a sua segurana.
Confidencialidade: a garantia de que a informao acessvel somente por
pessoas autorizadas a terem acesso. Para PEIXOTO (2006, p.38) A
tramitao das informaes deve contar com a segurana de que eles
cheguem sem que se dissipem para outros meios ou lugares onde no
deveriam passar.
Integridade: a preservao da exatido da informao e dos mtodos de
processamento. Segundo Lyra (2008, p.3) A informao deve estar correta,
ser verdadeira e no estar corrompida.
Disponibilidade: a Garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
As informaes esto sujeitas a ameaas e riscos devido suas
vulnerabilidades.
Ameaa o que provoca um risco dano o u perca. A ABNT ISSO/IEC
27002,2005 define risco como combinao da probabilidade de um evento e de
suas consequncias.
Moreira (2001) aponta a vulnerabilidade como sendo o ponto onde
qualquer sistema suscetvel a um ataque, condio causada muitas vezes
pela ausncia ou ineficincia das medidas de proteo utilizadas de
salvaguardar os bens da empresa.
Portanto a funo bsica da segurana da informao minimizar os
riscos at que esses estejam em nveis aceitveis.
Adachi (2004) que estudou a gesto da segurana em Internet Banking
estudou os aspectos envolvidos na segurana da informao agrupando-os em
trs camadas: fsica, lgica e humana. Portanto torna-se essencial que haja
segurana em cada uma das trs camadas.
A segurana fsica tem como objetivo proteger equipamentos e
informaes contra usurios no autorizados, prevenindo o acesso a esses
-
recursos, pode ser abordada sob duas formas: Segurana de acesso - trata
das medidas de proteo contra o acesso fsico no autorizado; e Segurana
ambiental trata da preveno de danos por causas naturais.
A segurana lgica aplica-se em casos onde um usurio ou processo da
rede tenta obter acesso a um objeto que pode ser um arquivo ou outro recurso
de rede (estao de trabalho, impressora, etc.) sendo assim um conjunto de
medida e procedimentos, adotados com objetivo de proteger os dados,
programas e sistemas contra tentativas de acessos no autorizados, feitas por
usurios ou outros programas.
Todos colaboradores da empresa fazem parte do fator humano,
principalmente os que tm acesso direto aos recursos de T.I. trata-se do fator
mais difcil de se gerenciar e avaliar riscos. A dificuldade encontrada em
gerenciar o fator humano est relacionada s caractersticas individualizadas
de cada pessoa, pois cada uma delas lida de forma diferente com intrusos
maliciosos ou ingnuos, alguns so mais instrudos e outros no, e responde
diferentemente a engenharia social.
Ferreira afirma que:
A grande maioria dos incidentes tem a interveno humana, seja de forma acidental ou no. A segurana est relacionada a pessoas e processos antes da tecnologia. Consequentemente nada valero os milhes investidos em recursos de tecnologia da informao se o fator humano for deixado em segundo plano. Quanto mais bem preparados os funcionrios de uma organizao, mais segura ela ser.
(FERREIRA;FERNANDO,2008,p.121)
Polticas de Segurana da Informao
A poltica de segurana define normas, procedimentos, ferramentas e
responsabilidades s pessoas (usurios, administradores de redes e sistemas,
funcionrios, gerentes, etc.) que lidam com essa informao para garantir o
controle e a segurana da informao na empresa. formalmente o
documento que dita quais so as regras aplicadas dentro da empresa para uso
de recursos tecnolgicos e descarte de informaes.
-
A poltica de segurana define o que e o que no permitido em
termos de segurana durante a operao de qualquer sistema ou material que
contenha informaes empresariais, com base na aplicao de regras que
delimitam o acesso s informaes. Assim, a base da poltica de segurana a
definio do comportamento esperado das pessoas que interagem com um
sistema.
grosso modo pode-se afirmar que com a implantao de uma poltica
de segurana da informao a significativa a reduo da probabilidade de
ocorrncia de quebra da confidencialidade, da integridade e da disponibilidade
da informao, tal como a reduo de danos causados por eventuais
ocorrncias.
A politica, preferencialmente deve ser criada antes da ocorrncia de problemas com a segurana, ou depois, para evitar reincidncias. Ela uma ferramenta tanto para prevenir problemas legais como para documentar a aderncia ao
processo de controle de qualidade. (FERREIRA;FERNANDO, 2008, p.36)
As polticas de bem elaboradas, possuem certa semelhana entre si,
mesmo as mais rgidas ou mais brandas, isso porque todas exploram os
mesmos aspectos.
Caractersticas e Benefcios
Para seu efetivo funcionamento a politica ela deve ter certas
peculiaridades como: ser verdadeira, ser valida para todos, ser simples, contar
com o comprometimento dos gestores da empresa. De nada adiantaria
implantar uma politica que no fosse coerente com as aes executadas pela
empresa, pois isso impossibilitaria seu cumprimento.
Ferreira afirma que curto prazo pode-se notar a preveno de acessos
no autorizados, danos ou interferncias no andamento do negcio, alm de j
se conseguir maior segurana nos processos do negcio, em mdio prazo
surge a padronizao dos procedimentos, a adaptao j de forma segura de
novos processos e a qualificao e quantificao de respostas a incidentes; e a
-
longo prazo obtm-se o retorno do investimento, por meio da diminuio de
problemas relacionados a incidentes de segurana da informao, e a
empresa consegue firmar-se como uma empresa associada a segurana da
informao.
Consideraes Finais
Nem sempre se pode ter o controle sobre as ameaas que geralmente
origina-se de um agente externo, portanto essencial a diminuio das
vulnerabilidades existentes para que se diminua o risco.
Existem diversas medidas de segurana que podem ser adotadas pelas
empresas com o intuito de proteger suas informaes, por isso as politicas de
segurana da informao so to importantes, elas que nortearo os
colaboradores a como agir baseados nos procedimentos pr-estabelecidos na
politica.
Referncias
ADACHI, Tomi. Gesto de Segurana em Internet Banking - So Paulo: FGV, 2004. 121p. Mestrado. Fundao Getlio Vargas - Administrao. Orientador: Eduardo Henrique Diniz
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002. Tecnologia da informao - tcnicas de segurana - cdigo de pratica para gesto da informao. Rio de Janeiro, 2005. FERREIRA,F.N.F; ARAJO,M.T. Politicas de Segurana da Informao Guia prtico para elaborao e Implementao.2 ed. Rio de Janeiro: Cincia Moderna, 2008.
FONTES, E.L.G. Praticando a Segurana da Informao. Rio de Janeiro: Brasport, 2008. JNIOR, Byron L.M. e tal. Proteja o maior bem da sua empresa, a informao com: poltica de segurana da informao. disponvel em : . Acesso em 26 abr 2013
-
LYRA, Maurcio R. Segurana e Auditoria em Segurana da Informao.
Rio de Janeiro: Cincia Moderna,2008.
PEIXOTO, Mauro C.P. Engenharia Social e Segurana da Informao. Rio de Janeiro: Brasport, 2006.
PINHEIRO,J.M.S. Auditoria e anlise de segurana da informao: segurana fsica e lgica. Disponvel em http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_seguranca_aula_02.pdf> Acesso em 18 mar 2013.