Segurança da Informação PIM VI

Prévia do material em texto

Segurança da Informação
http://
www.ezequieljuliano.com.br/wp-content/uploads/2014/08/cyber-620x180-1.jpg
Esta disciplina, Segurança da Informação, tem como objetivo abordar de forma simples e
objetiva os fatores que cercam a proteção do ativo mais importante para uma organização: a
informação. E apesar de antigo, se transforma e se renova a cada momento por causa das
modificações tecnológicas e dos fraudadores que estão sempre desenvolvendo novas técnicas
de invasão.
A importância de proteger os ativos de informação é latente para os profissionais de todas as
áreas, afinal, vivemos na era da informação, em que o uso adequado auxilia os processos em
todos os níveis de empresa, desde a operação até a estratégia.
Em uma breve análise pode-se destacar a importância de segurança da informação,
especialmente para área de TI, que com automação dos mais variados processos empresarias
tornou-se responsável por organizar, estruturar, manter, armazenar e proteger as mais diversas
e variadas informações das organizações.
A preocupação com a segurança das informações deve ser de cada um, não limitado apenas do
ambiente corporativo. O cenário tecnológico atual a informação mais rápida, acessível e
extremamente sensível a furtos, maus uso, perdas ou falhas sistêmicas.
O desafio dos profissionais diante desse cenário é de criar mecanismos para evitar que as
informações, por algum motivo, deixem as organizações vulneráveis às ameaças que são
certamente reais e imediatas. Quando o assunto é segurança da informação estamos
imediatamente nos referindo a criar mecanismos para proteger as informações sobre três
componentes básicos:
Princípios Básicos da Segurança da Informação
Neste contexto podemos dizer que a segurança da informação realizada nas organizações é
executada através da criação de procedimentos, implantação de controles adequados ou
processos e aplicações voltados para uma política de segurança. 
Para que se consiga garantir toda estas proteções foram criadas especialmente para estes fins,
diversas normas entre elas: ITIL, COBIT, BS 15000/ISO 20000, BS 7799, ISO/IEC
17799:2005 e ABNT NBR ISO/IEC 17799:2005. Estas normas contêm o que podemos nos
referir sobre os princípios básicos para uma informação segura. Depois desta pequena
introdução vamos aos princípios da informação. Podemos dizer que a segurança da
informação busca proteger os ativos de uma organização.
As ações voltadas para proteger os ativos de informação estão sempre baseadas nos princípios
de integridade, disponibilidade e confidencialidade, ressaltando apenas que os princípios de
legalidade e legitimidade podem se adicionados.
Princípio da Integridade 
A busca da integridade é fator fundamental para o êxito empresarial, pois uma informação
íntegra significa que ela não sofreu nenhuma alteração ou violação desde o seu estado
original. Uma alteração na informação poderá ocorrer de várias formas, quando é alterada no
conteúdo dos documentos, quando ela sofre inserções, há possibilidades também de
substituições ou exclusão de seus dados ou da própria informação. As alterações podem se
feitas também no suporte da informação que são as estruturas físicas e lógicas, local onde
estão armazenadas as informações. A prática de segurança e o controle da integridade da
informação dão proteção à informação de ameaças involuntárias e intencionais, mantendo sob
controle os acessos indevidos de terceiros e de funcionários não autorizados.
Princípio da Disponibilidade
É a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e
empresas autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a
garantia que a informação sempre poderá ser acessada.
Princípio da Confidencialidade
Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de
garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este
controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas.
A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não
autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação
contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não
autorizado obtém acesso a recursos/informações.
Princípio da Legalidade
Garante a legalidade (jurídica) da informação, aderência de um sistema à legislação.
Característica das informações que possuem valor legal dentro de um processo de
comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou
a legislação política institucional, nacional ou internacional vigentes.
Princípio da Legitimidade
Garantir a legitimidade é assegurar que as informações não sejam utilizadas por usuários não
autorizados.
Política de Segurança da Informação
https://cowor
kingbrasil.org/wp-content/uploads/2016/03/artigo-seguranca_768x397_acf_cropped2.png
A informação é um dos bens mais valiosos de uma empresa, tanto que para garantir a sua
proteção, confidencialidade, integridade e disponibilidade são utilizados vários métodos e
padrões. Uma das ferramentas para proteção das informações é a Política de Segurança, que
determina de forma clara e simples o método de proteção de suas informações que a empresa
pretende executar. 
Essa política orienta de forma consciente a conduta das pessoas e serve de base para criação
de normas, padrões e procedimentos de segurança que auxiliam o usuário no atendimento da
Política de Segurança.
Um aspecto importante a ser consirerado é a grnade miscigenação de raças no mundo,
inclusive no Brasil. O fato de as pessoas serem diferentes uma das outras em razão de suas
culturas e percepções diferentes não é algo ruim, pois isso agrega diversidade de informações
aos ambientes, mas dentro das empresas, se cada funcionário tratar uma informação conforme
sua percepção, haverá uma grande confusão e as informações poderão ficar vulneráveis. Daí a
importância da Política de Segurança como orientadora da conduta de todos.
Dentro das empresas há uma interação constante entre as informações e as pessoas, e essa
interação precisa ser regulamentada pela empresa para que haja segurança de que seus
funcionários tratem as suas informações de ativos de forma a garantir a sua confidencialidade,
integridade e disponibilidade.
A Política de Segurança deve ser elaborada com base nas melhores práticas de mercado (ISSO
27001, ISSO 27002, entre outras), na legislação local e na realidade do ambiente da empresa.
É importante que haja publicação dessa Política em programas de divulgação e de
concientização sobre a segurança da informação e canais disponíveis para todo o quadro de
funcionários. 
Tendo como objetivo principal direcionar um programa efetivo de proteção dos ativos de
informação, teis como base de dados, documentos, arquivos e outros, a política de Segurança,
a partir dasua existência, estabelece os procedimentos operacionais, as instruções de trabalho
e os padrões de segurança a serem adotados pela empresa.
A Política de Segurança deve ser baseada nas recomendações da norma ABNT NBR ISSO/
27002, reconhecida mundialmente como um código de melhores práticas para a segurança da
informação, bem como estar de acordo com as leis vigentes em nosso país.
Uma avaliação dos riscos por parte de uma empresa não é nada mais que determinar o nível de risco para a
empresa caso uma atividade ou um processo específico não sejam controlados adequadamente. Os gerentes ou
administradores da empresa,atuando junto dos especialistas em sistemas de informação, podem determinar o
valor dos ativos de informação, pontos de vulnerabilidade, a frequência provável de um problema e seu potencial
prejuízo. (BELMIRO, 2014, p.86) (João, 2014)
Para o desenvolvimento de uma política de segurança é necessário realizar uma análize de
riscos da empresa, a qual deve considerar os seguintes aspectos:
- O que proteger;
- Possíveis ameaças aos ativos de informação;
- Valor/impotância de cada ativo de informação;
- Grau de proteção desejado pela empresa;
- Possíveis impactos no caso de perda de informações;
- Qual o custo e quanto a empresa está disposta a investir;
- Auditoria (medição de quão efetivo está sendo a Política).
Aprovada a Política ao final do processo, é de extrema importância que essa política seja
divulgada a todos os colaboradores da empresa, do nível executo ao operacional, com já foi
dito anteriormente, para que todos estejam conscientes da impotância do seu seguimento, pois
é a partir dela que será possível proporcionar ao ambiente da empresa regras e procedimentos
que devem ser seguidos para a garantia da segurança das informações.
Cafeteria “Grão da Vida”
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos
recursos tecnológicos da empresa. Tem como propósito informar aos usuários, equipes e
diretores, as suas obrigações para a proteção da tecnologia e do acesso à informação. A
política deve especificar os mecanismos através dos quais estes requisitos podem ser
alcançados.
Oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar
sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Para que
uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de
todos os níveis de empregados dentro da corporativa.
É especialmente importante que a gerência corporativa suporte de forma completa o processo
de política de segurança, caso contrário haverá pouca chance que ela tenha o impacto
desejado.
Através dela, é definido o que será protegido, quais as ferramentas de combate as ameaças
serão usadas e o custo da implementação destas ferramentas. Também em como objetivo
educar o usuário, ensinando-lhe procedimentos que tornem as suas ações seguras, evitando
provocar riscos a corporativa.
A Rede de Cafeteria “Grão Da Vida” está comprometida com os mais rigorosos padrões de
segurança e de proteção à privacidade dos dados cadastrais de usuários, desde clientes,
fornecedores, funcionários até a Diretoria Geral. 
Conheça agora nossa Política de Segurança da Informação 
Objetivo:
Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as
informações da organização, dos clientes e do público em geral.
Abrangência
Esta Política aplica-se a todos os funcionários, clientes, fornecedores, prestadores de serviços
e dos demais controladores da Rede de Cafeteria Grão Da Vida.
Conceitos
A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos: 
 Confidencialidade: Garante que a informação seja acessível somente pelas pessoas
autorizadas, pelo período necessário; 
 Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas
sempre que se fizer necessária; 
 Integridade: Garante que a informação esteja completa e íntegra e que não tenha sido
modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida. 
Estrutura normativa
A estrutura normativa da Segurança da Informação da Rede Cafeteria Grão Da Vida é
composta por um conjunto de documentos, relacionados a seguir:
 
 Política: define a estrutura, as diretrizes e os papéis referentes à segurança da informação; 
 Normas: estabelecem regras, definidas de acordo com as diretrizes da Política, a serem
seguidas em diversas situações em que a informação é tratada;
 Procedimentos: instrumentam as regras dispostas nas Normas, permitindo a direta aplicação
nas atividades da Rede de Cafeteria Grão Da Vida;
Diretrizes
A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da Rede de
Cafeteria Grão Da Vida. Tais diretrizes devem nortear a elaboração das Normas e dos
Procedimentos.
Aspectos gerais 
 As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos
usuários são de exclusiva propriedade da Cafeteria Grão Da Vida, não podendo ser
interpretados como de uso pessoal; 
 Todos os funcionários, fornecedores, prestadores de serviços e gerência em geral, devem ter
ciência de que o uso das informações e dos sistemas de informação pode ser monitorado, e
que os registros assim obtidos poderão ser utilizados para detecção de violações da Política e
das Normas de Segurança da Informação, podendo estas servir de evidência para a aplicação
de medidas disciplinares, processos administrativos e/ou legais; 
 Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a segregação
de funções, por meio da participação de mais de uma pessoa ou equipe. 
Tratamento da informação 
 Para assegurar a proteção adequada às informações, deve existir um método de classificação
da informação de acordo com o grau de confidencialidade e criticidade para o negócio da
Rede de Cafeteria Grão Da Vida; 
 As informações devem ser atribuídas a um proprietário, formalmente designado, como
responsável pela autorização de acesso às informações sob a sua responsabilidade.
 Todas as informações devem estar adequadamente protegidas em observância às diretrizes
de segurança da informação da Cafeteria Grão Da Vida em todo o seu ciclo de vida, que
compreende: geração, manuseio, armazenamento, transporte e descarte; 
 A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual
foi coletada. 
Princípios da Política de Segurança da Informação
As informações e os sistemas de informação, diretórios de rede e bancos de dados são
classificados como estritamente confidenciais. As informações, seja no período de geração,
guarda, uso, transferência e destruição devem ser tratadas em conformidade com cada etapa
do ciclo. 
As informações confidenciais necessitam de sigilo absoluto e devem ser protegidas pelo
responsável de alterações não autorizadas e estarem disponíveis apenas às pessoas pertinentes
e autorizadas a trabalhá-las, sempre que necessário. Cabem ao mesmo todos os esforços
necessários de segurança para protegê-las.
 Falhas no sigilo da informação, integridade ou disponibilidade deste tipo de informação
trazem grandes prejuízos à Organização, expressos em perdas financeiras diretas, perdas de
competitividade e produtividade ou imagem da Cafeteria Grão Da Vida, podendo levar à
extinção das operações ou prejuízos graves ao crescimento.
 São exemplos de informações confidenciais:
 - Informações de funcionários que devem ser protegidas por obrigatoriedade legal, incluindo
dados cadastrais (CPF, RG etc.).
 - Informações sobre produtos e serviços que revelem vantagens competitivas da Rede de
Cafeteria Grão Da Vida frente ao mercado;
 - Todo o material estratégico (material impresso, armazenado em sistemas, em mensagens
eletrônicas ou mesmo na forma de conhecimento de negócio da pessoa); 
- Quaisquer informações, que não devem ser divulgadas ao meio externo antes da publicação
pelas áreas competentes;
 - Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações
utilizadas na autenticação de identidades.Acessos desnecessários ou com poder excessivo devem ser imediatamente retirados. A
concessão de acesso às informações e sistemas deve ser autorizada com base na regra de
mínimo acesso necessário para o desempenho da função. 
Periodicamente, os acessos concedidos devem ser revistos pelo Gerente de Segurança da
Informação (GSI). 
Apenas os equipamentos e software disponibilizados e/ou homologados pela Rede de
Cafeteria Grão DA Vida podem ser instalados e conectados à rede da mesma. 
Todos os ativos de informação devem ser devidamente guardados, especialmente documentos
em papel ou mídias removíveis. Documentos não devem ser abandonados após a sua cópia,
impressão ou utilização.
Autenticação e Senha
 O GSI é responsável por todos os atos executados com seu identificador (login / sigla), que é
único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso
à informação e aos recursos de tecnologia. Manter a confidencialidade, memorizar e não
registrar a senha em lugar algum. Ou seja, não contá-la a ninguém e não anotá-la em papel.
Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;
 - Selecionar senhas de qualidade, que sejam de difícil adivinhação;
 - Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/
"logado" com a sua identificação;
 - Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del).
Direito de Acesso (Autorização)
 O GSI é o responsável pela utilização e eventuais usos inadequados dos direitos de acesso
que são atribuídos aos seus funcionários, estagiários, prestadores de serviços, parceiros e
visitantes, sendo intransferíveis. A solicitação de acesso à informação deve decorrer da
necessidade funcional do GSI.
Equipamentos particulares/privados
 Equipamentos particulares/privados, como computadores ou qualquer dispositivo portátil que
possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar
informações relacionadas com o negócio, nem devem ser conectados às redes da Organização.
Mesa Limpa
 Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer
dispositivos, eletrônicos ou não. Ao usar uma impressora coletiva, recolher o documento
impresso imediatamente.
Conversas em Locais Públicos e registro de informações
 Não discutir ou comentar assuntos confidenciais em locais públicos ou por meio de
mensagens de texto, exceto quando encaminhadas aos Diretores da Rede Cafeteria Grão da
Vida.
Leis e Regulamentos
 É de responsabilidade do GSI conhecer a legislação e cumprir os requisitos legais, normas e
padrões locais vigentes.
Rede de Cafeteria Grão Da Vida