Embed Size (px)
DESCRIPTION
Pre-print sobre a segurança da informação nas organizações, para a disciplina de Documentação Empresarial, da Faculdade de Comunicação e Biblioteconomia da UFG.
Citation preview
1
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA
INFORMAÇÃO NAS ORGANIZAÇÕES (Pre-print)
Carla Lopes Ferreira *
Resumo
Atualmente, em todas as áreas a informação virou objeto de grande valor e consumo. Esse
valor varia conforme a importância da informação e do uso que ela terá, mas é fato que hoje
em dia, há mercados que só se sustentam através do bom uso de determinadas informações,
fontes qualificadas, dependendo do que elas proporcionarão à empresa de retorno. Para que a
organização obtenha sucesso no gerenciamento de suas informações, na manutenção das
mesmas, faz-se necessário que elas sejam mantidas em local seguro, baseadas em padrões de
qualidade e políticas próprias, devem fazer parte dos princípios de integridade,
confidencialidade e disponibilidade. O objetivo deste artigo é demonstrar a importância do
uso e implantação de estratégias de Segurança da Informação numa organização, pensando
que isso possibilitará à mesma que se evite erros graves no futuro e que ameaças prejudiquem
a organização, por falta de uma Política de Segurança da Informação institucionalizada e
avaliada. Num primeiro momento será apresentado um histórico da Segurança da Informação,
para que se introduza à conceituação da mesma. Logo depois serão apresentados aspectos de
Política de Segurança, e exemplos de organizações que criaram e utilizam a sua própria, para
logo em seguida falar sobre as normas de Segurança da Informação.
Palavras-chave: Segurança da Informação. Políticas de Segurança. Sistemas de Segurança.
Informação.
*Graduanda do curso de Biblioteconomia da Faculdade de Comunicação e Biblioteconomia da Universidade
Federal de Goiás.
2
INTRODUÇÃO
A necessidade de implantação de serviços e medidas de segurança da informação vem
crescendo nos últimos anos e se torna cada vez mais comum discutir em qualquer ambiente
(social, profissional, organizacional, acadêmico), estratégias que previnam incidentes quanto à
perca de informação e do uso desta para saciar uma necessidade humana.
Especialmente nas organizações, a informação virou objeto de grande valor e consumo.
Esse valor varia conforme a importância da informação e do uso que ela terá, mas é fato que
hoje em dia, há mercados que só se sustentam através do bom uso de determinadas
informações, fontes qualificadas, dependendo do que elas proporcionarão à empresa de
retorno. Muitas vezes, o próprio negócio das empresas e principal alimento do mercado
competitivo são determinadas informações, o que torna necessário falar de tratamento,
armazenamento e processamento dessas informações.
Pensando no objetivo de se implantar estratégias de segurança da informação nas
organizações, o presente artigo traz o histórico, importantes conceitos, normalização, política
de segurança e exemplos da segurança de informação, afim de demonstrar a importância do
uso desse serviço nas organizações para prevenção de capital e futuros prejuízos por parte de
dano/perda nas informações valiosas de uma organização.
HISTÓRIA DA SEGURANÇA DA INFORMAÇÃO
Desde o início da vida humana, pode-se dizer que sempre houve a preocupação com as
informações e com o conhecimento que são passados por elas, sejam elas com os diversos
objetivos e contextos. Antes de Cristo, o homem utilizava técnicas para deixar registros nas
cavernas, logo depois foram se criando formas de escritas e representação das ideias para fins
diversos, mas principalmente com o objetivo de transportar uma informação e registrá-la
(escrita cuneiforme; hieróglifos egípcios, entre outros).
Em 1200 a.C. ocorre a Guerra de Tróia, na qual vários soldados estavam escondidos
dentro de um cavalo que fora presenteado aos troianos, sendo que eles não sabiam que seriam
atacados quando estivessem dormindo pelos gregos. Por volta de 490 a.C., conta-se que o
soldado ateniense Fidípides correu até Maratona, cidade localizada a 42 km de distância para
comunicar ao povo que o seu exército comandado por Milcíades havia derrotado as tropas
persas de Dario. Em 23 a.C. aproximadamente fora criado o Correio Romano, uma carruagem
3
para transportar informações. No ano 640 é destruída a Biblioteca de Alexandria, construída
por Ptolomeu Filadelfo no início do terceiro século a.C. para reunir os livros do mundo todo e
destruída mais de mil anos depois. Em 1455, Gutenberg cria a técnica de impressão,
utilizando a Bíblia para reprodução, e o seu principal objetivo era a impressão em massa, o
que modificaria a cultura para sempre. A partir disso, várias máquinas e técnicas foram
criadas com o objetivo de facilitar a comunicação entre os seres: calculadora mecânica de
Pascal em 1642; cilindro criptográfico usado na Guerra da secessão – EUA em 1863;
invenção do telefone em 1876; máquina de criptografia com teclado de Hebern – 1917;
ENIAC, primeiro computador criado pelo exército americano – 1946; IBM lança o
Mainframe S/390, primeiro computador multitarefa comercial; 1980 – começo da
popularização dos computadores pessoais; 1984 – Criada a ISSA – Information Systems
Security Association, primeira associação para profissionais de segurança de sistemas; 1986 -
Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador; 1995 –
urnas eletrônicas oferece liderança tecnológica na área ao Brasil; 1997 - Receita Federal
começa a receber declarações de Imposto de Renda pela Internet (em 97 foram recebidas
470.000 declarações pela web, como afirma SANTOS (2008)); 1999 - Vírus de macro
Melissa se propaga por e-mails causando prejuízos estimados em US$ 80 milhões (Ibidem);
ataques de vírus e crackers em sites importantes tem sido uma constante nos últimos tempos.
Através de órgãos e instituições publicas foram criadas normas específicas para a
padronização do sistema de informações em geral e juntamente com elas surgiram aplicações
de legislações que levam em consideração conceitos e modelos de segurança.
FUNDAMENTOS EM SEGURANÇA DA INFORMAÇÃO
Como afirma BARROS (2005), escândalos recentes provenientes de alterações de
informações das empresas forçaram a criação de leis e normas que trazem às empresas
motivações adicionais para o tratamento do problema de segurança dessas informações. Na
maioria das vezes em que ocorrem as perdas de informações ou dano das mesmas, as
empresas não possuem um departamento/área específica para lidar com a segurança das
informações e muitos menos um profissional para isso, por isso, muitas vezes sofrem enormes
prejuízos, o que demonstra a necessidade de estratégias de segurança da informação nas
organizações, assim como sistemas de informações que ofereçam esse tipo de segurança,
4
dependendo do tipo e objetivo da informação. Assim, este tópico objetiva demonstrar
princípios, conceitos, política de segurança da informação e normalização.
O que é Segurança da Informação?
A Segurança da Informação se constitui de medidas que controlam e tratam
informações, criam e sistematizam sistemas e políticas de segurança de informações,
tornando-as acessíveis às pessoas autorizadas, protegendo-as de ataques diversos,
espionagem, falhas, erros de armazenagem, entre outros.
Os sistemas informatizados possibilitam diversas utilidades, assim como a internet, as
redes sociais e o compartilhamento de arquivos de qualquer parte para qualquer lugar,
contudo, o amplo uso desses serviços no mundo, faz com que determinadas informações se
tornem vulneráveis e precisem de certa segurança para circular numa rede e estar disponível
para alguém.
Informações são ativos que, como qualquer outro ativo importante para os negócios,
possuem valor para uma organização e consequentemente precisam ser protegidos
adequadamente. A Segurança da Informação em qualquer organização possibilita que
informações valiosas sejam protegidas, evitando possíveis erros e prejuízos diversos, o que
causaria uma perda grande de capital da empresa, dependendo da informação. As informações
podem ser de diversos conteúdos e suportes: papel, audiovisual, áudio, vídeo, digitais, online,
oral etc.
A maioria das organizações não dispõe de um setor específico para segurança das
informações em sua estrutura, apesar de ser extremamente necessário, o que faz com que
ocorram erros e perdas, fazendo com que a empresa crie e sistematize esse tipo de serviço
depois que prejuízos já tenham acontecido.
Princípios da Segurança de Informação
O tratamento e a manutenção das informações devem ser minuciosos, pois a
implantação de um sistema de segurança da informação numa organização, ou mesmo a
criação e sistematização de um setor dentro da empresa que seja responsável por essa área
pode evitar que problemas ocorram, tais como: vulnerabilidade, ameaças, riscos de
5
perda/dano, interferência no mercado competitivo, vazamento de informação confidencial,
mal uso entre outros. Os elementos principais de uma informação segura são:
Confidencialidade: garantir que as informações sejam disponibilizadas para as
pessoas certas e autorizadas, e impedir que esse acesso chegue à outros;
Integridade: garantir que a informação não sofra alteração que danifique-a; sem
duplicação, inserção indevida, modificação, sem reordenação ou repetições.
Disponibilidade: garantir o acesso à informação adequada às pessoas
autorizadas, cuidando para que estejam disponíveis quando preciso, em qualquer
momento e lugar.
Requisitos de Segurança
A Norma ISO/IEC 17799 (2000) traz três requisitos de segurança, sendo eles:
1. É derivada da avaliação dos riscos contra a organização. Através da avaliação
de riscos as ameaças aos ativos são identificadas, a vulnerabilidade e a
probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.
2. Exigências legais, estatutárias, regulamentadoras e contratuais que uma
organização, seus parceiros comerciais, empreiteiros e fornecedores de serviços
precisam atender.
3. Conjunto específico de princípios, objetivos e requisitos para processamento de
informações que uma organização desenvolveu para dar suporte a suas operações.
Principais Ameaças
Há diversas ameaças suscetíveis quando uma organização não dispõe de um setor
específico para segurança da informação em sua estrutura e para sua sistematização e
execução ainda não possui suas próprias políticas e diretrizes de segurança. Destacam-se aqui,
algumas possíveis ameaças:
Naturais: incêndios, enchentes, blecautes;
Organizacionais: erros, fraudes, circulação/mudança constante de pessoas; falha
na estrutura, falta de pessoal qualificado para liderar com a segurança das
informações, ausência de política e diretrizes próprias;
6
Tecnológicos: “bugs”, ataques, invasões, equipamentos obsoletos para
tratamento das informações, desatualização do suporte no qual as informações se
encontram, falta de pessoal qualificado no uso das novas tecnologias;
Sociais: greve, ausência de líderes no setor, detrimento de informações valiosas
com uma pessoa ou poucas (sem preocupação de saída da organização da
pessoa, falecimento, espionagem etc);
Jurídicas: perda/desaparecimento de informações valiosas, ocasionando
processos, prejuízos no capital da organização e má reputação.
POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Levando em conta as diversas ameaças e riscos das informações na organização, é de
extrema importância que haja uma política de segurança estruturada e que seja a base para que
o sistema de segurança funcione continuamente. Entretanto, criar um política de segurança da
informação não é tão fácil e para que a mesma funcione adequadamente, diversos fatores
decisivos tem que estar de acordo: a estrutura organizacional; as normas, regulamentos da
empresa; a forma de monitoria, avaliação e controle da segurança da informação; os sistemas
tecnológicos utilizados e a colaboração de todo pessoal da organização, principalmente os
líderes de cada setor, além disso, uma política tem que ser construída com base na missão,
objetivos e valores da organização.
Segundo uma pesquisa SMICALUK et al (200?), com 17 funcionários de
multinacionais, abrangendo o assunto políticas de segurança, 94% sabe o que é e 88%
conhecem a política da organização da qual trabalham. Estes dados demonstram que
atualmente, muitas empresas já criaram sua própria política de segurança e procuram divulgá-
la aos funcionários de toda a organização, visto que todos devem estar cientes e treinados, já
que uma política de sucesso é aquela que envolve a organização como um todo. Além deste,
diversos outros estudos já vêm sendo realizados sobre esse assunto, e percebe-se na literatura
modelos de políticas que dão certo e exemplos de estratégias de segurança que determinadas
empresas utilizam.
O documento de Políticas de Segurança
7
O documento que institui a Política de Segurança dentro da organização deve ser
aprovado pelas autoridades devidas da empresa, publicado e divulgado a todos. A Norma
ISO/IEC 17799 (2000) traz as orientações básicas que deve conter numa Política de
Segurança:
Uma definição de segurança de informações, seus objetivos gerais e escopo e a
importância da segurança como um mecanismo que possibilite o compartilhamento de
informações;
Uma declaração de intenção da gerência, apoiando os objetivos e princípios da
segurança de informações;
Uma breve explanação das políticas, princípios e padrões de segurança e das
exigências a serem obedecidas que são de particular importância para a organização,
por exemplo:
o Obediência às exigências legislativas e contratuais;
o Necessidades de educação (treinamento) para segurança;
o Prevenção e detecção de vírus e outros softwares prejudiciais;
o Gerenciamento da continuidade do negócio;
o Conseqüências das violações da política de segurança;
Uma definição das responsabilidades gerais e específicas pela gestão da segurança das
informações, incluindo relatórios de incidentes de segurança;
Referências a documentos que podem apoiar a política (políticas de segurança mais
detalhadas e procedimentos para sistemas de informação específicos ou regras de
segurança que os usuários devem obedecer).
Revisão, avaliação e reestruturação
A Política de Segurança deve ser frequentemente revisada e avaliada. Quaisquer
mudanças, avanços e novidades no ambiente interno e externo da organização irão afetar
indireta ou diretamente a atuação a Política da empresa. É importante que haja pessoas
encarregadas dessas tarefas para que, caso necessário, sejam feitas mudanças no documento e
na execução das ações possíveis.
Exemplos de Políticas de Segurança
8
Um exemplo de organização que possui uma Política criada, de acordo com leis e
divulgada, é a bolsa de valores BM&FBOVESPA. A BM&FBOVESPA é uma companhia de
capital brasileiro formada, em 2008, a partir da integração das operações da Bolsa de Valores
de São Paulo e da Bolsa de Mercadorias & Futuros. Sua Política de segurança abrange
diversos aspectos, dentre eles: estrutura normativa da segurança da informação; divulgação e
acesso à estrutura normativa; aprovação e revisão; atribuições e responsabilidades na gestão
de segurança da informação; comitê gestor de segurança da informação (CGSI); diretrizes de
segurança da informação, dentre outras.
O PRODERJ – Centro de Tecnologia da Informação e Comunicação do Estado do Rio
de Janeiro –vinculado à Secretaria de Estado da Casa Civil – é o órgão gestor de Tecnologia
da Informação e Comunicação (TIC) do Governo do Estado, desempenhando o papel de
propor diretrizes e orientações técnicas voltadas para o estabelecimento da política de TIC no
âmbito da administração pública estadual. Possui uma Política de Segurança da Informação
que apresenta os seguintes aspectos: termos e definições da área de segurança e TI; normas de
utilização da internet; normas de contas e senhas para usuários; normas de utilização de e-
mail; normas para gestão de ativos; normas de contas e senhas para administradores e ainda
traz um termo individual que o usuário declara estar ciente e concordar com a política de
segurança e suas diretrizes.
Órgãos governamentais também dispõem de Políticas de Segurança e, dentre eles, pode-
se ressaltar o Ministério da Justiça, que instituiu sua Política através da Portaria Nº 279, de
10 de março de 2006, que estabelece a finalidade da mesma; a freqüência de revisão; os
termos e definições afins; traz os princípios de segurança; conceitos e funções de segurança
organizacional; controle e classificação dos ativos de informação; segurança em pessoas,
dentre outros.
NORMAS DE SEGURANÇA DA INFORMAÇÃO
Decretos Nacionais
O Decreto no 3.505, de 13 de junho de 2000 “institui a Política de Segurança da
Informação nos órgãos e entidades da Administração Pública Federal”. E trata de
pressupostos gerais de Políticas de Segurança, tais como: assegurar a privacidade humana;
9
garantir a confidencialidade de determinadas informações; conscientização dos órgãos e das
entidades da Administração Pública Federal sobre a importância das informações processadas
e sobre o risco da sua vulnerabilidade; objetivos de uma Política etc.
O Decreto nº 4.553, de 27 de dezembro de 2002 ―dispõe sobre a salvaguarda de dados,
informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do
Estado, no âmbito da Administração Pública Federal” e apresenta importantes conceitos e
definições, tais como os princípios de segurança; classificação segundo o grau de sigilo;
gestão de dados ou informações sigilosos; da disponibilização/acesso das informações; dos
sistemas de informação.
Normas Técnicas
A ISO/IEC 17799 Tecnologia da Informação – Código de Prática para Gestão da
Segurança de Informações é uma norma de Segurança da Informação revisada em 2005 pela
ISO (International Standardization Organization) e pela IEC (International Electrotechnical
Commission). A versão original foi publicada em 2000, que por sua vez era uma cópia do
padrão britânico British Standard 7799-1, de 1999. No Brasil, a norma correspondente à ISO
é a NBR ISO/IEC 17799 de 2007. A ISO começou a publicar a série de normas 27000, em
substituição à ISO 17799, das quais a primeira, ISO 2700 e, foi publicada em 2005, no Brasil,
a equivalente é a NBR ISO/IEC 27001 Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão de segurança da informação — Requisitos, publicada
em 2006.
CONCLUSÃO
A partir das discussões e dados apresentados, percebe-se, atualmente, o estudo e
implantação de serviços e Políticas na área de Segurança da Informação. Devido à troca de
informações constante entre as pessoas, e aos riscos e ameaças em que se encontram as
informações de valor, a principal função de impor estratégias de Segurança Informacional
numa organização é tratar essas informações de acordo com seu conteúdo, confidencialidade,
autenticidade, de modo que a informação não se perca e se danifique, causando prejuízos à
organização.
10
Fica evidente, pois, que estabelecer estratégias nesse campo pode ser até decisivo para o
sucesso da empresa, pois determinadas informações na nossa sociedade dispõem de valor
cultural, social e financeiro, principalmente.
Utilizar estratégias de Segurança da Informação, criar uma Política de Segurança e
regularizá-las conforme as leis nacionais e internacionais diminui riscos e ameaças, cria uma
boa reputação para a organização, auxilia a empresa no mercado competitivo, previne erros e
falhas possíveis no futuro dentre outras vantagens.
REFERÊNCIAS
SILVA JUNIOR, João Carlos da. Segurança da informação. In: SEMANA DE
INFORMÁTICA – CEUNSP, 2., 2005, São Paulo. Segurança da Informação. Disponível
em: <http://www.ceunsp.edu.br/eventos/seminfo/material/joao_carlos_seguranca.pdf>.
Acesso em: 19 jun. 2010. 26p.
SILVA, Moisés Benigno da. A importância da gestão da segurança da informação nas
instituições particulares de ensino superior do grande Recife. Disponível em: <
http://www.moisesbenigno.com/Artigo_MoisesBenigno.pdf>. Acesso em: 20 jun. 2010. 14p.
INTERNATIONAL STANDARDIZATION ORGANIZATION; INTERNATIONAL
ELECTROTECHNICAL COMMISSION. ISO/IEC 17799: tecnologia da informação –
código de prática para gestão da segurança de informações. Traduzida para o português. 2002.
93p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:
tecnologia da informação - código de prática para a gestão da segurança da informação. Rio
de Janeiro, 2001. 56p.
SANTOS JUNIOR, Paulo Sérgio Trocolli. Segurança em sistemas de informação.
CienteFico, ano IV, v. I, Salvador, Jan-jun, 2004. Disponível em: <
http://www.frb.br/ciente/Impressa/Info/I.7.Santos,PS.Seguran%C3%A7aSI.pdf>. Acesso em:
18 jun. 2010. 11p.
SMICALUK, Adriana et al. Política de Segurança da Informação. Orlei José Pombeiro.
[S.l.], [s.d.] Disponível em: <www.orleijp.eng.br/compSociedade.pdf>. Acesso em: 18 jun.
2010.
11
MARCIANO, João Luiz Pereira. Segurança da Informação: uma abordagem social. 2006.
212f. Tese (Doutorado em Ciência da Informação) -Departamento de Ciência da Informação e
Documentação, Universidade de Brasília, Brasília, 2006.
BARROS, Augusto Quadros Paes de. Tendências do mercado de serviços de segurança da
informação. 2005. Disponível em: <http://www.paesdebarros.com.br/artigo.pdf>. Acesso
em: 20 jun. 2010. 6p.
