TAREFA 3

Prévia do material em texto

10
Política de Segurança
 
 
Valdirene Rosa da Silva Mendes
RESENHA CRÍTICA SOBRE O TEXTO:
Política de Segurança
 
Teresina-PI
2017
Sumário
Introdução........................................................................................................................................3
Descrição do Assunto.......................................................................................................................4
Apreciação Crítica.............................................................................................................................6
Considerações Finais.........................................................................................................................8
Referências Bibliográficas..................................................................................................................9
Introdução
Conforme definição da norma ABNT NBR ISO/IEC 27002:2005, “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”
A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz de decidir o sucesso de um empreendimento. Mas esse poder, somando à crescente facilidade de acesso, faz desse ativo um alvo de constantes riscos e ameaças internas e externas. 
Quando não gerenciados adequadamente, esses riscos e ameaças podem causar consideráveis danos a empresa e prejudicar o crescimento e vantagem competitiva.
A informação pode estar presente em diversas formas, tais como: sistemas de informação, diretórios de rede, bancos de dados, mídia impressa, magnética ou ótica, dispositivos eletrônicos, equipamentos portáteis, microfilmes e até mesmo por meio da comunicação oral.
Independentemente da forma apresentada ou do meio pelo qual é compartilhada ou armazenada, a informação deve ser utilizada unicamente para a finalidade para a qual foi autorizada.
A modificação, divulgação e destruição não autorizadas e oriundas de erros, fraudes, vandalismo, espionagem ou sabotagem causam danos aos negócios da empresa.
É diretriz que toda informação de propriedade da empresa seja protegida de riscos e ameaças que possam comprometer a confidencialidade, integridade ou disponibilidade destas.
É responsabilidade de cada empresa, seja por meio de seu funcionário, estagiário, prestador de serviços, parceiro ou visitante, observar e seguir as políticas, padrões, procedimentos e orientações estabelecidas para o cumprimento.
Responsabilidade e confidencialidade quanto à política e diretrizes de segurança da informação na empresa visam alertar e responsabilizar o funcionário de que o acesso e o manuseio de informação devem se restringir ao exercício da função ou processo que requer essa informação, sendo proibido o uso para qualquer outro propósito distinto do designado.
As violações de segurança devem ser informadas à área de Segurança da Informação, Toda violação ou desvio é investigado para a determinação das medidas necessárias, visando à correção da falha ou reestruturação de processos.
Exemplos que podem ocasionar sanções:
- uso ilegal de software;
- introdução (intencional ou não) de vírus de informática;
- tentativas de acesso não autorizado a dados e sistemas;
- compartilhamento de informações sensíveis do negócio;
- divulgação de informações de clientes e das operações contratadas
As informações confidenciais deverão mantê-las e resguardá-las em caráter sigiloso, bem como limitar seu acesso, controlar quaisquer cópias de documentos, dados e reproduções que porventura sejam extraídas da mesma. Nenhumas das informações confidenciais podem ser repassadas para terceiros sem consentimento por escrito da empresa. Qualquer revelação das informações confidenciais deverá estar de acordo com os termos e condições estabelecidos pela mesma. As informações confidenciais somente poderão ser utilizadas para fins de execução das atividades da organização.
2- Descrição do Assunto
 As informações e os sistemas de informação, diretórios de rede e bancos de dados são classificados como estritamente confidenciais. As informações, seja no período de geração, guarda, uso, transferência e destruição devem ser tratadas em conformidade com cada etapa do ciclo. As informações confidenciais necessitam de sigilo absoluto e devem ser protegidas pela organização de alterações não autorizadas e estarem disponíveis apenas às pessoas pertinentes e autorizadas a trabalhá-las, sempre que necessário. Cabe a empresa todos os esforços necessários de segurança para protegê-las.
“Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”
Norma ABNT NBR ISO/IEC 27002:2005, “A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”
Informações confidenciais de clientes que devem ser protegidas por obrigatoriedade legal, incluindo dados cadastrais (CPF, RG etc.). Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações utilizadas na autenticação de identidades. Estas informações são também pessoais e intransferíveis.
A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas que lidam com essa informação, para garantir o controle e a segurança da informação na empresa. É formalmente o documento que dita quais são as regras aplicadas dentro da empresa para uso de recursos tecnológicos e descarte de informações. 
 A grosso modo, pode-se afirmar que com a implantação de uma política de segurança da informação é significativa a redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade e da disponibilidade da informação, tal como a redução de danos causados por eventuais ocorrências.
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade.
(FERREIRA;FERNANDO, 2008, p.36) 
Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser verdadeira, ser válida para todos, serem simples, contar com o comprometimento dos gestores da empresa e outras. De nada adianta implantar uma política que não é coerente com as ações executadas pela empresa, pois isso impossibilita seu cumprimento.
Ferreira afirma que a curto prazo pode-se notar a prevenção de acessos não autorizados, danos ou interferências no andamento do negócio,além de já se conseguir maior segurança nos processos do negócio. Em médio prazo surge a padronização dos procedimentos, a adaptação já de forma segura de novos processos e a qualificação e quantificação de respostas a incidentes. E, a longo prazo, obtém-se o retorno do investimento, por meio da diminuição de problemas relacionados a incidentes de segurança da informação.
Vulnerabilidade em determinado softwareou sistema operacional, quando essa falha é explorada por um 'atacante', ou seja, alguém que queira invadir e roubar dados do seu computador ou rede, resulta na violação da segurança. 
Muitos gestores não acreditam que suas informações podem interessar à pessoas ou grupos maliciosos e, por isso, não investem em segurança de dados e informações.
A Política de Segurança da Informação (PSI) é um documento, desenvolvido pela empresa, onde são registrados os princípios e as diretrizes de segurança que ela adotou e devem ser seguidos por seus colaboradores.
Para que ela seja aceita, respeitada e aplicada por todas as pessoas que participam do ambiente corporativo é fundamental que os dirigentes da empresa apoiem e participem da implantação da PSI.
Ao desenvolver um documento de PSI a instituição precisa estabelecer diretrizes para que as equipes possam seguir padrões de comportamento que não coloquem os dados corporativos e confidenciais em risco.
Antes de começar a montar a Política de Segurança da Informação de uma empresa faça um levantamento de todas as informações e dados que devem ser protegidos.
3- Apreciação Crítica
As formas de aplicação da segurança da informação estão geralmente ligadas às ameaças ou vulnerabilidades identificadas ou que se desejam prevenir ou remediar. Contudo, mesmo o reconhecimento destas ameaças e vulnerabilidades não é trivial, ainda que após a ocorrência de um ataque que as explore. Korzyk Sr (1998) sugere que, em 1998, menos de 1% dos ataques era devidamente identificada e relatada, no caso da internet. Com a ampla utilização desta rede, os problemas se multiplicam de forma avassaladora.
A diversidade de sistemas, produtos e aplicações da informação, bem como a gama de vulnerabilidades, ameaças e incidentes, exigem a formulação de padrões da segurança - as organizações deve ter uma língua comum para a formulação dos requisitos de segurança que devem ser implementados em seus sistemas (VON SOLMS, 1999). São muitos os padrões propostos para a formulação de políticas de segurança da informação.
A formulação e aplicação de Políticas de Segurança da Informação tem atingido um amplo escopo de organizações, como universidades (WALTON, 2002; FOLTZ; CRONAN; JONES, 2005) e instituições de saúde (GAUNT, 1998), tendo sido ainda objeto de estudos de órgãos governamentais (SMITH, 2001). 
Os aspectos comportamentais relacionados à efetivação das políticas já têm sua importância ressaltada (MARCINCOWSKI; STANTON, 2003). Com efeito, o fato de ter-se uma disposição escrita e formalizada não significa que ela será seguida - são necessárias medidas que acompanhem a implementação das políticas, após sua implementação, mesmo em ambientes onde os usuários apresentem elevado grau de instrução, como em universidades, conforme o estudo realizado por Foltz, Cronan e Jones (2005). 
Deve-se salientar, ainda, que a adequação aos padrões, principalmente os internacionais, é necessária, mas é essencial o alinhamento aos processos e ao contexto da organização (HÖNE; ELOFF, 2002a), bem como a preocupação com a clareza dos termos empregados e a proximidade com as situações vivenciadas no ambiente organizacional (HÖNE; ELOFF, 2002b).
Por sua vez, o caráter multidisciplinar das políticas de segurança da informação não decorre puramente da abrangência buscada pelo modelo adotado. Boehm-Davis (2004), entre outros, ressaltam a multidisciplinaridade advinda dos sistemas de informação, incluindo-se aí os seus usuários e projetistas. Estes sistemas são, em última instância, a origem da necessidade por requisitos de segurança que devem ser atendidos por meio das políticas.
Outro aspecto fundamental na formulação das políticas é a captação e adequação à cultura organizacional, passando por um processo de educação dos usuários às políticas adotadas, conforme é ressaltado por, entre outros, von Solms e von Solms (2004).
 Um outro aspecto da multidisciplinaridade exigida pelas políticas diz respeito aos perfis necessários aos indivíduos ou organizações que as formularão, implementarão e acompanharão: deve-se ter uma formação abrangente, a fim de cobrir adequadamente todos os aspectos requeridos, além de se manter o foco nos requisitos exigidos pela gerência (WOOD, 2004).
Skoularidou e Spinellis (2003) apresentam diferentes arquiteturas, baseados em monitores (controle automático, feito por software ou hardware, de acesso a recursos por usuários), firewalls e máquinas virtuais para a segurança de estações e aplicações clientes de redes. 
Schneider (2000) apresenta uma proposta para a construção de mecanismos de reforço à segurança baseados em autômatos. 
Fulford e Doherty (2003) realizaram uma pesquisa junto a organizações baseadas no Reino Unido, e suas 
conclusões apontam a necessidade de um mais claro entendimento sobre a formulação das políticas, sua aplicação e avaliação, assim como da relação entre aplicação das políticas e a efetiva gestão da segurança da informação. 
Em todos estes textos observa-se uma tendência à adoção de aspectos técnicos da segurança, enquanto não se dá ênfase ao real propósito da segurança da informação: atingir aos propósitos da organização. Em suma, é comum apresentar-se a gestão da segurança como se ela estivesse dissociada do contexto organizacional em que se insere, com todas as suas particularidades, em especial as comportamentais.
Muitas são as ocasiões em que as políticas de segurança da informação falham. Em várias destas, as políticas foram formuladas adequadamente, mas sua implementação se baseou em documentos e referências passivos, à espera de que os usuários viessem consultá-los. Em outros casos, a implementação já estava errada desde seus fundamentos, como a formulação (WOOD, 2000).
As redes políticas são uma das abordagens mais utilizadas para descrever a sistemática de atuação dos agentes políticos, abarcando os aspectos informais e relacionais do ciclo de vida das políticas. Na verdade, as redes são vistas muito mais como uma metáfora da complexidade das mudanças sociais e tecnológicas do que realmente como um modelo descritivo desta complexidade. Uma desvantagem desta metáfora é que ela se apresenta altamente diversa em seu uso e mesmo em sua interpretação, sendo apontada uma necessidade de aprofundamento quanto aos conceitos apresentados (ATKINSON; COLEMAN, 1992). Contudo, isto não invalida o fato de que as redes se prestam a ilustrar a elevada dinamicidade do contexto político, sendo focalizadas, por exemplo, como uma ação coletiva em contraposição a uma visão normativa, baseada “nos manuais”, dos processos envolvidos neste contexto (CARLSSON, 2000), o que se associa à constatação de que não existe um corpo de métodos ou uma metodologia abrangente para o estudo do impacto de políticas existentes como suporte a políticas futuras (RIST, 2000, p. 1001).
 A gênese das redes políticas encontra-se na participação dos indivíduos em movimentos sociais e na inserção do espaço político no âmbito vital das redes sociais (PASSY; GIUGNI, 2000, 2001; EULAU; ROTHENBERG, 1986). Para Börzel (1998, p. 265), de modo qualitativo as redes políticas permitem a análise de formas de interação não-hierárquica entre os atores públicos e privados na construção das políticas. Outro aspecto a salientar é o de que, com a abstração das redes, cada membro é uma unidade independente, o que impossibilita o uso do poder de modo unilateral, uma vez que o poder informal baseado nas relações interpessoais pode ser mais importante que o poder formal (KEAST et al., 2004, p. 365). De modo bastante significativo, também nos contextos tecnológico e econômico a metáfora das redes tem sido cada vez mais utilizada para descrever as relações humanas, como se vê, por exemplo, em Castells (2003). 
A dinamicidade da metáfora ganha mais ênfase ao se constatar que a configuração da rede pode variar conforme o tema e a política sob observação. Associadas às redes estão às comunidades, visto que, enquanto o universo político compreende todos os agentes que têm algum interesseem comum, a comunidade política é uma rede menor e mais consensual que se focaliza em um aspecto setorial ou mesmo sub-setorial da política. A. As comunidades interagem em uma rede (PARSONS, 2001, p. 189). 
4- Considerações Finais
Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco.
Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, são elas que nortearão os colaboradores a como agir baseados em procedimentos
pré-estabelecidos. Ao adotar a implantação da política de segura na organização sempre fazer antes um planejamento do que vai ser aplicado no início para não haver perda de dados. 
 
5- Referências Bibliográficas
(FERREIRA;FERNANDO, 2008, p.36) 
KORZYK SR, A. A forecasting model for internet security attacks. In: Proceedings of the 21st National Information Systems Security Conference.
NIST-National Institute of Standards and Technology, 1998. Disponível em: 
htt://csrc.nist.gov/nissc/1998/proceedings/paperD5.pdf. Acesso em: 9 jun. 2003.
VON SOLMS, R. Information security management: why standards are important. Information Management & Computer Security, v. 7, n. 1, p. 50–57, 1999.
WALTON, J. P. Developing an enterprise information security policy. In: Proceedings of the 30th annual ACM SIGUCCS conference on User services. Providence, Rhode Island, USA: ACM, 2002. p. 153–156. Disponível em: Acesso em: 2 ago. 2004.
FOLTZ, C. B.; CRONAN, T. P.; JONES, T. W. Have you met your organization’s computer usage policy? Industrial Management & Data Systems, v. 105, n. 2, p. 137–146, 2005.
GAUNT, N. Installing an appropriate information security policy. International Journal of Medical Informatics, v. 49, n. 1, p. 131–134, Mar. 1998.
SMITH, R. E. Experimenting with security policy. In: 2nd DARPA Information Survivability Conference & Exposition. Washington: DARPA, 2001. v. 1, p. 116–122.
MARCINCOWSKI, S. J.; STANTON, J. M. Motivational aspects of information security policies. In: IEEE International Conference on Systems, Man and Cybernetics. Oakland, California: IEEE Society, 2003. v. 3, p. 2527–2532.
HÖNE, K.; ELOFF, J. What makes an effective information security policy? Network Security, v. 2002, n. 6, p. 14–16, June 2002.
BOEHM-DAVIS, D. A. Revisiting information systems as an interdisciplinary science. Computers in Human Behavior, v. 20, n. 2, p. 341–344, Mar. 2004.
VON SOLMS, R.; VON SOLMS, B. From policies to culture. Computers & Security, v. 23, n. 4, p. 275–279, June 2004.
SKOULARIDOU, V.; SPINELLIS, D. Security architectures for network clients. Information Management & Computer Security, v. 11, n. 2, p. 84–91, 2003.
Management & Computer Security, v. 11, n. 2, p. 84–91, 2003. Management & Computer Security, v. 11, n. 2, p. 84–91, 2003.
FULFORD, H.; DOHERTY, N. F. The application on information security policies in large UK-based organizations: an exploratory investigation. Information Management & Computer Security, v. 11, n. 3, p. 106–114, 2003.
WOOD, C. C. An unnapreciated reason why information security policies fail. Computer Fraud & Security, v. 2000, n. 10, p. 13–14, Oct. 2000.
Fraud & Security, v. 2000, n. 10, p. 13–14, Oct. 2000. problems of governance. Governance, v. 5, n. 2, p. 154–180, Apr. 1992.
CARLSSON, L. Policy networks as collective action. Policy Studies Journal, v. 28, n. 3, p. 502–520, Aug. 2000.
RIST, R. C. Influencing the policy process with qualitative research. In: DENZIN, N. K.; LINCOLN, Y. S. (Eds.). Handbook of qualitative research. 2. ed. Thousand Oaks - California: Sage, 2000. p. 1001–1017.
PASSY, F.; GIUGNI, M. Life-spheres, networks, and sustained participation in socialmovements: A phenomenological approach to political commitment. Sociological Forum, v. 15, n. 1, p. 117–144, Mar. 2000.
PASSY, F.; GIUGNI, M. Social networks and individual perceptions: Explaining differential participation in social movements. Sociological Forum, v. 16, n. 1, p. 123–153, Mar. 2001.
EULAU, H.; ROTHENBERG, L. Life space and social networks as political contexts. Political Behavior, v. 8, n. 2, p. 130–157, June 1986.
BÖRZEL, T. Organizing Babylon: on the different conceptions of policy networks. Public Administration, v. 76, n. 2, p. 252–273, Jan. 1998.
KEAST, R. et al. Network structures: Working differently and changing expectations. Public Administration Review, v. 64, n. 3, p. 363–371, May/June 2004.
CASTELLS, M. A sociedade em rede. 7. ed. São Paulo: Paz e Terra, 2003.
PARSONS, W. Public Policy: an introduction to the theory and practice of policy analysis. Cheltenham, UK: Edward Elgar, 2001.