Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação http:// www.ezequieljuliano.com.br/wp-content/uploads/2014/08/cyber-620x180-1.jpg Esta disciplina, Segurança da Informação, tem como objetivo abordar de forma simples e objetiva os fatores que cercam a proteção do ativo mais importante para uma organização: a informação. E apesar de antigo, se transforma e se renova a cada momento por causa das modificações tecnológicas e dos fraudadores que estão sempre desenvolvendo novas técnicas de invasão. A importância de proteger os ativos de informação é latente para os profissionais de todas as áreas, afinal, vivemos na era da informação, em que o uso adequado auxilia os processos em todos os níveis de empresa, desde a operação até a estratégia. Em uma breve análise pode-se destacar a importância de segurança da informação, especialmente para área de TI, que com automação dos mais variados processos empresarias tornou-se responsável por organizar, estruturar, manter, armazenar e proteger as mais diversas e variadas informações das organizações. A preocupação com a segurança das informações deve ser de cada um, não limitado apenas do ambiente corporativo. O cenário tecnológico atual a informação mais rápida, acessível e extremamente sensível a furtos, maus uso, perdas ou falhas sistêmicas. O desafio dos profissionais diante desse cenário é de criar mecanismos para evitar que as informações, por algum motivo, deixem as organizações vulneráveis às ameaças que são certamente reais e imediatas. Quando o assunto é segurança da informação estamos imediatamente nos referindo a criar mecanismos para proteger as informações sobre três componentes básicos: Princípios Básicos da Segurança da Informação Neste contexto podemos dizer que a segurança da informação realizada nas organizações é executada através da criação de procedimentos, implantação de controles adequados ou processos e aplicações voltados para uma política de segurança. Para que se consiga garantir toda estas proteções foram criadas especialmente para estes fins, diversas normas entre elas: ITIL, COBIT, BS 15000/ISO 20000, BS 7799, ISO/IEC 17799:2005 e ABNT NBR ISO/IEC 17799:2005. Estas normas contêm o que podemos nos referir sobre os princípios básicos para uma informação segura. Depois desta pequena introdução vamos aos princípios da informação. Podemos dizer que a segurança da informação busca proteger os ativos de uma organização. As ações voltadas para proteger os ativos de informação estão sempre baseadas nos princípios de integridade, disponibilidade e confidencialidade, ressaltando apenas que os princípios de legalidade e legitimidade podem se adicionados. Princípio da Integridade A busca da integridade é fator fundamental para o êxito empresarial, pois uma informação íntegra significa que ela não sofreu nenhuma alteração ou violação desde o seu estado original. Uma alteração na informação poderá ocorrer de várias formas, quando é alterada no conteúdo dos documentos, quando ela sofre inserções, há possibilidades também de substituições ou exclusão de seus dados ou da própria informação. As alterações podem se feitas também no suporte da informação que são as estruturas físicas e lógicas, local onde estão armazenadas as informações. A prática de segurança e o controle da integridade da informação dão proteção à informação de ameaças involuntárias e intencionais, mantendo sob controle os acessos indevidos de terceiros e de funcionários não autorizados. Princípio da Disponibilidade É a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a garantia que a informação sempre poderá ser acessada. Princípio da Confidencialidade Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações. Princípio da Legalidade Garante a legalidade (jurídica) da informação, aderência de um sistema à legislação. Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. Princípio da Legitimidade Garantir a legitimidade é assegurar que as informações não sejam utilizadas por usuários não autorizados. Política de Segurança da Informação https://cowor kingbrasil.org/wp-content/uploads/2016/03/artigo-seguranca_768x397_acf_cropped2.png A informação é um dos bens mais valiosos de uma empresa, tanto que para garantir a sua proteção, confidencialidade, integridade e disponibilidade são utilizados vários métodos e padrões. Uma das ferramentas para proteção das informações é a Política de Segurança, que determina de forma clara e simples o método de proteção de suas informações que a empresa pretende executar. Essa política orienta de forma consciente a conduta das pessoas e serve de base para criação de normas, padrões e procedimentos de segurança que auxiliam o usuário no atendimento da Política de Segurança. Um aspecto importante a ser consirerado é a grnade miscigenação de raças no mundo, inclusive no Brasil. O fato de as pessoas serem diferentes uma das outras em razão de suas culturas e percepções diferentes não é algo ruim, pois isso agrega diversidade de informações aos ambientes, mas dentro das empresas, se cada funcionário tratar uma informação conforme sua percepção, haverá uma grande confusão e as informações poderão ficar vulneráveis. Daí a importância da Política de Segurança como orientadora da conduta de todos. Dentro das empresas há uma interação constante entre as informações e as pessoas, e essa interação precisa ser regulamentada pela empresa para que haja segurança de que seus funcionários tratem as suas informações de ativos de forma a garantir a sua confidencialidade, integridade e disponibilidade. A Política de Segurança deve ser elaborada com base nas melhores práticas de mercado (ISSO 27001, ISSO 27002, entre outras), na legislação local e na realidade do ambiente da empresa. É importante que haja publicação dessa Política em programas de divulgação e de concientização sobre a segurança da informação e canais disponíveis para todo o quadro de funcionários. Tendo como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, teis como base de dados, documentos, arquivos e outros, a política de Segurança, a partir dasua existência, estabelece os procedimentos operacionais, as instruções de trabalho e os padrões de segurança a serem adotados pela empresa. A Política de Segurança deve ser baseada nas recomendações da norma ABNT NBR ISSO/ 27002, reconhecida mundialmente como um código de melhores práticas para a segurança da informação, bem como estar de acordo com as leis vigentes em nosso país. Uma avaliação dos riscos por parte de uma empresa não é nada mais que determinar o nível de risco para a empresa caso uma atividade ou um processo específico não sejam controlados adequadamente. Os gerentes ou administradores da empresa,atuando junto dos especialistas em sistemas de informação, podem determinar o valor dos ativos de informação, pontos de vulnerabilidade, a frequência provável de um problema e seu potencial prejuízo. (BELMIRO, 2014, p.86) (João, 2014) Para o desenvolvimento de uma política de segurança é necessário realizar uma análize de riscos da empresa, a qual deve considerar os seguintes aspectos: - O que proteger; - Possíveis ameaças aos ativos de informação; - Valor/impotância de cada ativo de informação; - Grau de proteção desejado pela empresa; - Possíveis impactos no caso de perda de informações; - Qual o custo e quanto a empresa está disposta a investir; - Auditoria (medição de quão efetivo está sendo a Política). Aprovada a Política ao final do processo, é de extrema importância que essa política seja divulgada a todos os colaboradores da empresa, do nível executo ao operacional, com já foi dito anteriormente, para que todos estejam conscientes da impotância do seu seguimento, pois é a partir dela que será possível proporcionar ao ambiente da empresa regras e procedimentos que devem ser seguidos para a garantia da segurança das informações. Cafeteria “Grão da Vida” Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Tem como propósito informar aos usuários, equipes e diretores, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da corporativa. É especialmente importante que a gerência corporativa suporte de forma completa o processo de política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. Através dela, é definido o que será protegido, quais as ferramentas de combate as ameaças serão usadas e o custo da implementação destas ferramentas. Também em como objetivo educar o usuário, ensinando-lhe procedimentos que tornem as suas ações seguras, evitando provocar riscos a corporativa. A Rede de Cafeteria “Grão Da Vida” está comprometida com os mais rigorosos padrões de segurança e de proteção à privacidade dos dados cadastrais de usuários, desde clientes, fornecedores, funcionários até a Diretoria Geral. Conheça agora nossa Política de Segurança da Informação Objetivo: Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da organização, dos clientes e do público em geral. Abrangência Esta Política aplica-se a todos os funcionários, clientes, fornecedores, prestadores de serviços e dos demais controladores da Rede de Cafeteria Grão Da Vida. Conceitos A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos: Confidencialidade: Garante que a informação seja acessível somente pelas pessoas autorizadas, pelo período necessário; Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas sempre que se fizer necessária; Integridade: Garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida. Estrutura normativa A estrutura normativa da Segurança da Informação da Rede Cafeteria Grão Da Vida é composta por um conjunto de documentos, relacionados a seguir: Política: define a estrutura, as diretrizes e os papéis referentes à segurança da informação; Normas: estabelecem regras, definidas de acordo com as diretrizes da Política, a serem seguidas em diversas situações em que a informação é tratada; Procedimentos: instrumentam as regras dispostas nas Normas, permitindo a direta aplicação nas atividades da Rede de Cafeteria Grão Da Vida; Diretrizes A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da Rede de Cafeteria Grão Da Vida. Tais diretrizes devem nortear a elaboração das Normas e dos Procedimentos. Aspectos gerais As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da Cafeteria Grão Da Vida, não podendo ser interpretados como de uso pessoal; Todos os funcionários, fornecedores, prestadores de serviços e gerência em geral, devem ter ciência de que o uso das informações e dos sistemas de informação pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da Política e das Normas de Segurança da Informação, podendo estas servir de evidência para a aplicação de medidas disciplinares, processos administrativos e/ou legais; Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de uma pessoa ou equipe. Tratamento da informação Para assegurar a proteção adequada às informações, deve existir um método de classificação da informação de acordo com o grau de confidencialidade e criticidade para o negócio da Rede de Cafeteria Grão Da Vida; As informações devem ser atribuídas a um proprietário, formalmente designado, como responsável pela autorização de acesso às informações sob a sua responsabilidade. Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da Cafeteria Grão Da Vida em todo o seu ciclo de vida, que compreende: geração, manuseio, armazenamento, transporte e descarte; A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada. Princípios da Política de Segurança da Informação As informações e os sistemas de informação, diretórios de rede e bancos de dados são classificados como estritamente confidenciais. As informações, seja no período de geração, guarda, uso, transferência e destruição devem ser tratadas em conformidade com cada etapa do ciclo. As informações confidenciais necessitam de sigilo absoluto e devem ser protegidas pelo responsável de alterações não autorizadas e estarem disponíveis apenas às pessoas pertinentes e autorizadas a trabalhá-las, sempre que necessário. Cabem ao mesmo todos os esforços necessários de segurança para protegê-las. Falhas no sigilo da informação, integridade ou disponibilidade deste tipo de informação trazem grandes prejuízos à Organização, expressos em perdas financeiras diretas, perdas de competitividade e produtividade ou imagem da Cafeteria Grão Da Vida, podendo levar à extinção das operações ou prejuízos graves ao crescimento. São exemplos de informações confidenciais: - Informações de funcionários que devem ser protegidas por obrigatoriedade legal, incluindo dados cadastrais (CPF, RG etc.). - Informações sobre produtos e serviços que revelem vantagens competitivas da Rede de Cafeteria Grão Da Vida frente ao mercado; - Todo o material estratégico (material impresso, armazenado em sistemas, em mensagens eletrônicas ou mesmo na forma de conhecimento de negócio da pessoa); - Quaisquer informações, que não devem ser divulgadas ao meio externo antes da publicação pelas áreas competentes; - Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações utilizadas na autenticação de identidades.Acessos desnecessários ou com poder excessivo devem ser imediatamente retirados. A concessão de acesso às informações e sistemas deve ser autorizada com base na regra de mínimo acesso necessário para o desempenho da função. Periodicamente, os acessos concedidos devem ser revistos pelo Gerente de Segurança da Informação (GSI). Apenas os equipamentos e software disponibilizados e/ou homologados pela Rede de Cafeteria Grão DA Vida podem ser instalados e conectados à rede da mesma. Todos os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis. Documentos não devem ser abandonados após a sua cópia, impressão ou utilização. Autenticação e Senha O GSI é responsável por todos os atos executados com seu identificador (login / sigla), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia. Manter a confidencialidade, memorizar e não registrar a senha em lugar algum. Ou seja, não contá-la a ninguém e não anotá-la em papel. Alterar a senha sempre que existir qualquer suspeita do comprometimento dela; - Selecionar senhas de qualidade, que sejam de difícil adivinhação; - Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ "logado" com a sua identificação; - Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del). Direito de Acesso (Autorização) O GSI é o responsável pela utilização e eventuais usos inadequados dos direitos de acesso que são atribuídos aos seus funcionários, estagiários, prestadores de serviços, parceiros e visitantes, sendo intransferíveis. A solicitação de acesso à informação deve decorrer da necessidade funcional do GSI. Equipamentos particulares/privados Equipamentos particulares/privados, como computadores ou qualquer dispositivo portátil que possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar informações relacionadas com o negócio, nem devem ser conectados às redes da Organização. Mesa Limpa Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos, eletrônicos ou não. Ao usar uma impressora coletiva, recolher o documento impresso imediatamente. Conversas em Locais Públicos e registro de informações Não discutir ou comentar assuntos confidenciais em locais públicos ou por meio de mensagens de texto, exceto quando encaminhadas aos Diretores da Rede Cafeteria Grão da Vida. Leis e Regulamentos É de responsabilidade do GSI conhecer a legislação e cumprir os requisitos legais, normas e padrões locais vigentes. Rede de Cafeteria Grão Da Vida
Compartilhar