Politicas de Segurana da Informao

Rodrigo Pionti, Daniel Paulo Ferreira

Faculdade de Tecnologia de Ourinhos FATEC

INTRODUO

Com o avano da tecnologia de modo acelerado, o uso da internet tem

se tornado imprescindvel nas nossas atividades dirias, sendo esse um dos

recursos mais utilizados para troca de informaes tanto empresariais quanto

pessoais. Devido a essa exposio cresce tambm a preocupao com a

segurana da informao.

A poltica de segurana da informao nada mais que um conjunto de

praticas e controles adequados, formada por diretrizes, normas e

procedimentos, com objetivo de minimizar os riscos com perdas e violaes de

qualquer bem. Se aplicada de forma correta ajudam a proteger as informaes

que so consideradas como um ativo importante dentro da organizao.

INFORMAO

Informao um conjunto que dados que processados ganham

significado que tornam possvel sua compreenso e interpretao. As

informaes constituem um dos objetos de grande valor para as empresas.

A ISO/IEC 13335-1/2004 caracteriza como ativo qualquer coisa que

tenha valor para a organizao. considerado como ativo de informao todo

bem da empresa que se relaciona com informao e que tenha valor para a

organizao, pode ser um componente humano, tecnolgico, fsico ou lgico

que realize processos de negcio dentro da empresa.

Graduado em Anlise de Sistemas e Tecnologia da Informao com habilitao em Tecnlogo em Segurana da Informao. rpionti@hotmail.com

Professor da Faculdade de Tecnologia de Ourinhos (FATEC), Avenida Vitalina Marcusso,1400 Campus Universitrio CEP 19910-260 Ourinho/ SP . Tel/fax: (14) 3324-3986, E-mail : dir.fatecourinhos@centropaulasouza.sp.gov.br

Atualmente a informao de valor altamente significativo e pode

representar grande poder para quem a possui, seja pessoa, seja a empresa. A

informao apresenta-se como recurso estratgico sob a tica da vantagem

competitiva. Possui valor, pois est presente em todas as atividades que

envolvem pessoas, processos, sistemas, recursos financeiros, tecnologias e

etc.

Classificao da informao

Cada informao tem um diferente grau de importncia, por esse motivo

necessrio classific-las. Essa classificao norteia-se mediante ao impacto

que causaria a sua perda, alterao ou uso sem permisso. Ferreira afirma

que quanto mais estratgica e decisiva para a manuteno ou sucesso da

organizao maior ser sua importncia. (FERREIRA, 2008, p. 78)

Classificaes excessivas podem causar confuses e dificultar o

processo, elas devem ser claras, de fcil entendimento e descritas para

diferenciao entre si. Normalmente trs nveis podem ser suficientes para uma

boa classificao. Entre os nveis mais utilizados na classificao de

informao esto: informao pblica, informao interna e informao

confidencial.

Informaes pblicas: so aquelas de menor importncia, no

necessitam de sigilo, por isso desnecessrio investimentos para torn-

las seguras. Exemplo: teste de sistema e servios, folders.

Informaes internas: so as que devem ser mantidas fora do alcance

de acesso externo, mas que, se for acessada de forma indevida no

causaro grande impacto. Exemplo: agenda telefnica.

Informaes confidenciais devem ser protegidas de acesso externo, pois

se utilizadas por pessoas no autorizadas podero levar a organizao a

ter prejuzos financeiros ou perda de competitividade. Exemplo: salrios,

dados de clientes, senhas.

Segurana da Informao

Devido importncia de cada informao devemos mant-las seguras,

porem muitas vezes sua importncia s percebida quando ela destruda,

perdida ou at roubada.

Os princpios da segurana da informao abrangem basicamente os

seguintes aspectos: confidencialidade, integridade e disponibilidade (CID), toda

ao que possa comprometer um desses princpios pode ser tratada como

atentado a sua segurana.

Confidencialidade: a garantia de que a informao acessvel somente por

pessoas autorizadas a terem acesso. Para PEIXOTO (2006, p.38) A

tramitao das informaes deve contar com a segurana de que eles

cheguem sem que se dissipem para outros meios ou lugares onde no

deveriam passar.

Integridade: a preservao da exatido da informao e dos mtodos de

processamento. Segundo Lyra (2008, p.3) A informao deve estar correta,

ser verdadeira e no estar corrompida.

Disponibilidade: a Garantia de que os usurios autorizados obtenham

acesso informao e aos ativos correspondentes sempre que necessrio.

As informaes esto sujeitas a ameaas e riscos devido suas

vulnerabilidades.

Ameaa o que provoca um risco dano o u perca. A ABNT ISSO/IEC

27002,2005 define risco como combinao da probabilidade de um evento e de

suas consequncias.

Moreira (2001) aponta a vulnerabilidade como sendo o ponto onde

qualquer sistema suscetvel a um ataque, condio causada muitas vezes

pela ausncia ou ineficincia das medidas de proteo utilizadas de

salvaguardar os bens da empresa.

Portanto a funo bsica da segurana da informao minimizar os

riscos at que esses estejam em nveis aceitveis.

Adachi (2004) que estudou a gesto da segurana em Internet Banking

estudou os aspectos envolvidos na segurana da informao agrupando-os em

trs camadas: fsica, lgica e humana. Portanto torna-se essencial que haja

segurana em cada uma das trs camadas.

A segurana fsica tem como objetivo proteger equipamentos e

informaes contra usurios no autorizados, prevenindo o acesso a esses

recursos, pode ser abordada sob duas formas: Segurana de acesso - trata

das medidas de proteo contra o acesso fsico no autorizado; e Segurana

ambiental trata da preveno de danos por causas naturais.

A segurana lgica aplica-se em casos onde um usurio ou processo da

rede tenta obter acesso a um objeto que pode ser um arquivo ou outro recurso

de rede (estao de trabalho, impressora, etc.) sendo assim um conjunto de

medida e procedimentos, adotados com objetivo de proteger os dados,

programas e sistemas contra tentativas de acessos no autorizados, feitas por

usurios ou outros programas.

Todos colaboradores da empresa fazem parte do fator humano,

principalmente os que tm acesso direto aos recursos de T.I. trata-se do fator

mais difcil de se gerenciar e avaliar riscos. A dificuldade encontrada em

gerenciar o fator humano est relacionada s caractersticas individualizadas

de cada pessoa, pois cada uma delas lida de forma diferente com intrusos

maliciosos ou ingnuos, alguns so mais instrudos e outros no, e responde

diferentemente a engenharia social.

Ferreira afirma que:

A grande maioria dos incidentes tem a interveno humana, seja de forma acidental ou no. A segurana est relacionada a pessoas e processos antes da tecnologia. Consequentemente nada valero os milhes investidos em recursos de tecnologia da informao se o fator humano for deixado em segundo plano. Quanto mais bem preparados os funcionrios de uma organizao, mais segura ela ser.

(FERREIRA;FERNANDO,2008,p.121)

Polticas de Segurana da Informao

A poltica de segurana define normas, procedimentos, ferramentas e

responsabilidades s pessoas (usurios, administradores de redes e sistemas,

funcionrios, gerentes, etc.) que lidam com essa informao para garantir o

controle e a segurana da informao na empresa. formalmente o

documento que dita quais so as regras aplicadas dentro da empresa para uso

de recursos tecnolgicos e descarte de informaes.

A poltica de segurana define o que e o que no permitido em

termos de segurana durante a operao de qualquer sistema ou material que

contenha informaes empresariais, com base na aplicao de regras que

delimitam o acesso s informaes. Assim, a base da poltica de segurana a

definio do comportamento esperado das pessoas que interagem com um

sistema.

grosso modo pode-se afirmar que com a implantao de uma poltica

de segurana da informao a significativa a reduo da probabilidade de

ocorrncia de quebra da confidencialidade, da integridade e da disponibilidade

da informao, tal como a reduo de danos causados por eventuais

ocorrncias.

A politica, preferencialmente deve ser criada antes da ocorrncia de problemas com a segurana, ou depois, para evitar reincidncias. Ela uma ferramenta tanto para prevenir problemas legais como para documentar a aderncia ao

processo de controle de qualidade. (FERREIRA;FERNANDO, 2008, p.36)

As polticas de bem elaboradas, possuem certa semelhana entre si,

mesmo as mais rgidas ou mais brandas, isso porque todas exploram os

mesmos aspectos.

Caractersticas e Benefcios

Para seu efetivo funcionamento a politica ela deve ter certas

peculiaridades como: ser verdadeira, ser valida para todos, ser simples, contar

com o comprometimento dos gestores da empresa. De nada adiantaria

implantar uma politica que no fosse coerente com as aes executadas pela

empresa, pois isso impossibilitaria seu cumprimento.

Ferreira afirma que curto prazo pode-se notar a preveno de acessos

no autorizados, danos ou interferncias no andamento do negcio, alm de j

se conseguir maior segurana nos processos do negcio, em mdio prazo

surge a padronizao dos procedimentos, a adaptao j de forma segura de

novos processos e a qualificao e quantificao de respostas a incidentes; e a

longo prazo obtm-se o retorno do investimento, por meio da diminuio de

problemas relacionados a incidentes de segurana da informao, e a

empresa consegue firmar-se como uma empresa associada a segurana da

informao.

Consideraes Finais

Nem sempre se pode ter o controle sobre as ameaas que geralmente

origina-se de um agente externo, portanto essencial a diminuio das

vulnerabilidades existentes para que se diminua o risco.

Existem diversas medidas de segurana que podem ser adotadas pelas

empresas com o intuito de proteger suas informaes, por isso as politicas de

segurana da informao so to importantes, elas que nortearo os

colaboradores a como agir baseados nos procedimentos pr-estabelecidos na

politica.

Referncias

ADACHI, Tomi. Gesto de Segurana em Internet Banking - So Paulo: FGV, 2004. 121p. Mestrado. Fundao Getlio Vargas - Administrao. Orientador: Eduardo Henrique Diniz

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002. Tecnologia da informao - tcnicas de segurana - cdigo de pratica para gesto da informao. Rio de Janeiro, 2005. FERREIRA,F.N.F; ARAJO,M.T. Politicas de Segurana da Informao Guia prtico para elaborao e Implementao.2 ed. Rio de Janeiro: Cincia Moderna, 2008.

FONTES, E.L.G. Praticando a Segurana da Informao. Rio de Janeiro: Brasport, 2008. JNIOR, Byron L.M. e tal. Proteja o maior bem da sua empresa, a informao com: poltica de segurana da informao. disponvel em : . Acesso em 26 abr 2013

LYRA, Maurcio R. Segurana e Auditoria em Segurana da Informao.

Rio de Janeiro: Cincia Moderna,2008.

PEIXOTO, Mauro C.P. Engenharia Social e Segurana da Informao. Rio de Janeiro: Brasport, 2006.

PINHEIRO,J.M.S. Auditoria e anlise de segurana da informao: segurana fsica e lgica. Disponvel em http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_seguranca_aula_02.pdf> Acesso em 18 mar 2013.