Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO A importância para as empresa em adotar políticas de segurança Juliano Monteiro, Matheus Marques, Paulo Santana, Rodrigo Monteiro, Vitor Garcia. Professor - Tutor Externo Maurício Machado da Rosa Centro Universitário Leonardo da Vinci – UNIASSELVI Análise e Desenvolvimento de Sistemas (ADS0023) – Prática do Módulo I 18/02/2015 RESUMO A informação hoje é o bem mais precioso das organizações e garantir sua persistência, qualidade e disponibilidade de forma segura, deve estar no topo da lista de prioridades do setor de tecnologia e do corpo diretor dessas organizações. Para tanto a informação deve ser organizada e distribuída de acordo com sua relevância e condizente com a estratégia da empresa. A evolução dos sistemas de tecnologia, nos últimos anos, cresceu aceleradamente e mais do que nunca se faz necessário acompanhar esse crescimento protegendo as informações de ameaças externas e vulnerabilidades dos próprios sistemas de informações. Classificar a informação é parte importante para se tratar a mesma com a implantação do método correto de segurança, bem como outros processos que vamos conferir nas próximas páginas. Palavras-chave: Segurança da informação. Sistema de informação. Informação. 1 INTRODUÇÃO Construímos esse paper com base em pesquisa na internet e na literatura citada. Partindo do tema proposto pelo docente chegamos à proteção dos dados da empresa (Sistema de informação), e por ser diretamente ligada a nossa graduação em analise e desenvolvimento de sistemas. Após a pesquisa decidimos pela importância das políticas de segurança da informação, que por consequência esta diretamente relacionada ao tema segurança da informação. Investigamos as razões e as ações que tornam esse tema muito importante para as empresas onde se tem a necessidade de proteger seus dados cada vez mais. Essa proteção que hoje mantém empresas competitivas e seguras. Essa pesquisa nos mostrou a importância da capacitação acadêmica para nos tornarmos profissionais aptos a implantar políticas de segurança em empresas. 2 POLITICAS DE SEGURANÇA A informação é um ativo que possui grande valor para todas as empresas devendo ser adequadamente utilizada e protegida contra quaisquer ameaças e riscos. A adoção de políticas e procedimentos que visem garantir a segurança da informação deve ser prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos ou os prejuízos que possa comprometer a imagem e os objetivos da instituição. A informação pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo etc. Por princípio, a segurança da informação deve abranger três aspectos básicos Confidencialidade, Integridade, Disponibilidade (CID): * Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação. * Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações. * Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não intencional, acidentes e outras ameaças. Em empresas grandes e complexas, a proteção da informação não é uma tarefa trivial. Em geral, o sucesso da política de segurança da informação adotada por uma instituição depende da combinação de diversos elementos, dentre eles a estrutura organizacional da empresa, as normas e procedimentos relacionados à segurança da informação e a maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores funcionários e colaboradores. Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. É um dos maiores patrimônios de uma organização moderna, sendo vital para quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização do negócio a informação deve ser protegida e gerenciada. (Em:<http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_infor macao>. Acesso em: 15 de fevereiro de 2015). A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas que lidam com essa informação, para garantir o controle e a segurança da informação na empresa. É formalmente o documento que dita quais são as regras aplicadas dentro da empresa para uso de recursos tecnológicos e descarte de informações. A grosso modo pode-se afirmar que com a implantação de uma política de segurança da informação é significativa à redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade e da disponibilidade da informação, tal como a redução de danos causados por eventuais ocorrências. A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade. (FERREIRA; FERNANDO, 2008, p.36) 3 CARACTERISTICAS E BENEFICIOS Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser verdadeira, ser válida para todos, ser simples, contar com o comprometimento dos gestores da empresa e outras. De nada adianta implantar uma política que não é coerente com as ações executadas pela empresa, pois isso impossibilita seu cumprimento. Ferreira afirma que a curto prazo pode-se notar a prevenção de acessos não autorizados, danos ou interferências no andamento do negócio, além de já se conseguir maior segurança nos processos do negócio. Em médio prazo surge à padronização dos procedimentos, a adaptação já de forma segura de novos processos e a qualificação e quantificação de respostas a incidentes. E, a longo prazo, obtém-se o retorno do investimento, por meio da diminuição de problemas relacionados a incidentes de segurança da informação. O principal objetivo da política de segurança é estabelecer um padrão de comportamento que sirva como base para decisões da alta administração em assuntos relacionados à segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente assegurar que as informações e serviços importantes para a empresa recebam proteção, de forma a garantir a confidencialidade, a integridade e a disponibilidade das informações. (Campos, 2006:100). Entende-se que uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos: * Segurança computacional: Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo. * Segurança Lógica: Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização. * Continuidade de negócios: Estrutura de procedimentos para reduzir, em um nível aceitável, risco de interrupção ocasionada por desastres ou por falhas por meio da combinação de ações de prevenção e de recuperação. * Tempo: É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente,alguns já são atingidos assim que a política é colocada em prática. 4 EXEMPLOS DE POLÍTICAS DE SEGURANÇA A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, da integridade e da disponibilidade de nossos ativos. Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos. Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação. A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências. Essa política é valida a partir de 09/09/1999. Independentemente do tamanho da organização, e como forma de contribuir com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos: Avaliação de risco dos ativos da organização – para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado. Legislação vigente – estatutos e cláusulas contratuais a que a organização tem de atender. Conjunto de princípios – visão, missão, objetivos e requisitos de processamento da informação organizacional. 5 CONCLUSÃO Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco. Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, são elas que nortearão os colaboradores a como agir baseados em procedimentos pré-estabelecidos. O primeiro passo a ser observado, é que não existe risco zero. O que existem são vários níveis de segurança e cada nível tem que estar de acordo com a informação que se quer proteger e a natureza do negócio da empresa. Um alto nível de segurança pode gerar a perda da velocidade em função da burocratização de processos, insatisfação de clientes, fornecedores e até mesmo desinteresse dos investidores. Em qualquer empresa isso deveria ser levado literalmente ao pé da letra, mas não é o que acontece. Desprezam, ignoram, fazem corpo mole, adiam sempre para uma data que nunca chega, esperando até que um incidente traga um impacto quase que irreversível, um verdadeiro choque, para que, enfim, enxerguem de verdade que segurança da informação não é uma despesa e sim um investimento obrigatório. REFERENCIAS FERREIRA, Fernando N. Freitas; ARAÚJO, Marcio Tadeu. Política da Segurança da Informação: Guia Prático para Elaboração e Implementação. 1ª. Ed. Rio de Janeiro: Ciência Moderna, 2006. SÊMOLA, Marcos. Gestão da Segurança da Informação, Uma Visão Executiva. 7ª. Ed. Rio de Janeiro: Elsevier, 2003. CARVALHO, João Antônio. Informática – ESAF. Rio de Janeiro : Elsevier, 2007. PROFISSIONAIS TI Disponível em: <http://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da- informacao-definicao-importancia-elaboracao-e-implementacao> Acesso em 15.02.2015 OFICINA DA NET Disponível em: <http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_Informação> Acesso em 15.02.2015 GHT Tecnologia, Disponível em: <http://www.ght.net.br/dicas-noticias/seguranca-da-informacao-nas-empresas> Acesso em 15.02.2015
Compartilhar