Paper pronto - segurança da informação

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO 
A importância para as empresa em adotar políticas de segurança 
 
 
Juliano Monteiro, Matheus Marques, Paulo Santana, Rodrigo Monteiro, 
Vitor Garcia. 
Professor - Tutor Externo Maurício Machado da Rosa 
Centro Universitário Leonardo da Vinci – UNIASSELVI 
Análise e Desenvolvimento de Sistemas (ADS0023) – Prática do Módulo I 
18/02/2015 
 
 
 
RESUMO 
A informação hoje é o bem mais precioso das organizações e garantir sua persistência, qualidade e 
disponibilidade de forma segura, deve estar no topo da lista de prioridades do setor de tecnologia e 
do corpo diretor dessas organizações. Para tanto a informação deve ser organizada e distribuída 
de acordo com sua relevância e condizente com a estratégia da empresa. A evolução dos sistemas 
de tecnologia, nos últimos anos, cresceu aceleradamente e mais do que nunca se faz necessário 
acompanhar esse crescimento protegendo as informações de ameaças externas e vulnerabilidades 
dos próprios sistemas de informações. Classificar a informação é parte importante para se tratar a 
mesma com a implantação do método correto de segurança, bem como outros processos que vamos 
conferir nas próximas páginas. 
 
Palavras-chave: Segurança da informação. Sistema de informação. Informação. 
 
 
 
1 INTRODUÇÃO 
 
Construímos esse paper com base em pesquisa na internet e na literatura citada. Partindo do 
tema proposto pelo docente chegamos à proteção dos dados da empresa (Sistema de informação), e 
por ser diretamente ligada a nossa graduação em analise e desenvolvimento de sistemas. Após a 
pesquisa decidimos pela importância das políticas de segurança da informação, que por 
consequência esta diretamente relacionada ao tema segurança da informação. Investigamos as 
razões e as ações que tornam esse tema muito importante para as empresas onde se tem a 
necessidade de proteger seus dados cada vez mais. Essa proteção que hoje mantém empresas 
competitivas e seguras. Essa pesquisa nos mostrou a importância da capacitação acadêmica para nos 
tornarmos profissionais aptos a implantar políticas de segurança em empresas. 
 
 
 
2 POLITICAS DE SEGURANÇA 
 
A informação é um ativo que possui grande valor para todas as empresas devendo ser 
adequadamente utilizada e protegida contra quaisquer ameaças e riscos. A adoção de políticas e 
procedimentos que visem garantir a segurança da informação deve ser prioridade constante da 
empresa, reduzindo-se os riscos de falhas, os danos ou os prejuízos que possa comprometer a 
imagem e os objetivos da instituição. A informação pode existir e ser manipulada de diversas 
formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, 
em meio impresso, verbalmente, em mídias de áudio e de vídeo etc. 
Por princípio, a segurança da informação deve abranger três aspectos básicos 
Confidencialidade, Integridade, Disponibilidade (CID): 
* Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter 
acesso à informação. 
* Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser 
realizadas nas informações. 
* Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre 
que necessário ou demandado. 
Para assegurar esses três itens mencionados, a informação deve ser adequadamente 
gerenciada e protegida contra roubo, fraude, espionagem, perda não intencional, acidentes e outras 
ameaças. Em empresas grandes e complexas, a proteção da informação não é uma tarefa trivial. Em 
geral, o sucesso da política de segurança da informação adotada por uma instituição depende da 
combinação de diversos elementos, dentre eles a estrutura organizacional da empresa, as normas e 
procedimentos relacionados à segurança da informação e a maneira pela qual são implantados e 
monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim 
como o comportamento de diretores funcionários e colaboradores. 
 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém 
fortemente articulado pelas redes, onde a informação, independente do seu formato. É um 
dos maiores patrimônios de uma organização moderna, sendo vital para quaisquer níveis 
hierárquicos e dentro de qualquer instituição que deseja manter-se competitiva no mercado. 
Considerada um ativo importantíssimo para a realização do negócio a informação deve ser 
protegida e gerenciada. 
(Em:<http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_infor
macao>. Acesso em: 15 de fevereiro de 2015). 
 
A política de segurança define normas, procedimentos, ferramentas e responsabilidades às 
pessoas que lidam com essa informação, para garantir o controle e a segurança da informação na 
empresa. É formalmente o documento que dita quais são as regras aplicadas dentro da empresa para 
uso de recursos tecnológicos e descarte de informações. 
A grosso modo pode-se afirmar que com a implantação de uma política de segurança da 
informação é significativa à redução da probabilidade de ocorrência de quebra da confidencialidade, 
da integridade e da disponibilidade da informação, tal como a redução de danos causados por 
eventuais ocorrências. 
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a 
segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas 
legais como para documentar a aderência ao processo de controle de qualidade. (FERREIRA; 
FERNANDO, 2008, p.36) 
 
 
3 CARACTERISTICAS E BENEFICIOS 
 
Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser 
verdadeira, ser válida para todos, ser simples, contar com o comprometimento dos gestores da 
empresa e outras. De nada adianta implantar uma política que não é coerente com as ações 
executadas pela empresa, pois isso impossibilita seu cumprimento. 
Ferreira afirma que a curto prazo pode-se notar a prevenção de acessos não autorizados, 
danos ou interferências no andamento do negócio, além de já se conseguir maior segurança nos 
processos do negócio. Em médio prazo surge à padronização dos procedimentos, a adaptação já de 
forma segura de novos processos e a qualificação e quantificação de respostas a incidentes. E, a 
longo prazo, obtém-se o retorno do investimento, por meio da diminuição de problemas 
relacionados a incidentes de segurança da informação. 
 
O principal objetivo da política de segurança é estabelecer um padrão de comportamento 
que sirva como base para decisões da alta administração em assuntos relacionados à 
segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente 
assegurar que as informações e serviços importantes para a empresa recebam proteção, de 
forma a garantir a confidencialidade, a integridade e a disponibilidade das informações. 
(Campos, 2006:100). 
 
 
Entende-se que uma política de segurança deve alcançar vários setores da organização. Para 
entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro 
grandes aspectos: 
* Segurança computacional: 
Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos 
inesperados que possam causar qualquer prejuízo. 
 
* Segurança Lógica: 
Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas 
informações e instalações físicas da organização. 
* Continuidade de negócios: 
Estrutura de procedimentos para reduzir, em um nível aceitável, risco de interrupção 
ocasionada por desastres ou por falhas por meio da combinação de ações de prevenção e de 
recuperação. 
* Tempo: 
É importante observar que os valores agregados à organização com a implementação de 
política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente,alguns já são atingidos assim que a política é colocada em prática. 
 
 
4 EXEMPLOS DE POLÍTICAS DE SEGURANÇA 
 
A qualidade de nossos serviços é um bem de valor inestimável e de fundamental 
importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e 
competitividade depende da confidencialidade, da integridade e da disponibilidade de nossos ativos. 
Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de 
seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas 
desses ativos. 
Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem 
entender suas obrigações e principalmente implementar procedimentos de segurança da informação. 
A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a 
fim de que possa tomar as devidas providências. Essa política é valida a partir de 09/09/1999. 
Independentemente do tamanho da organização, e como forma de contribuir com esse 
planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos 
requisitos de segurança os seguintes tópicos: 
Avaliação de risco dos ativos da organização – para identificação das ameaças, 
probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado. 
Legislação vigente – estatutos e cláusulas contratuais a que a organização tem de atender. 
Conjunto de princípios – visão, missão, objetivos e requisitos de processamento da 
informação organizacional. 
 
5 CONCLUSÃO 
 
Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes 
externos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco. 
Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de 
proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, 
são elas que nortearão os colaboradores a como agir baseados em procedimentos pré-estabelecidos. 
O primeiro passo a ser observado, é que não existe risco zero. O que existem são vários 
níveis de segurança e cada nível tem que estar de acordo com a informação que se quer proteger e a 
natureza do negócio da empresa. Um alto nível de segurança pode gerar a perda da velocidade em 
função da burocratização de processos, insatisfação de clientes, fornecedores e até mesmo 
desinteresse dos investidores. 
Em qualquer empresa isso deveria ser levado literalmente ao pé da letra, mas não é o que 
acontece. Desprezam, ignoram, fazem corpo mole, adiam sempre para uma data que nunca chega, 
esperando até que um incidente traga um impacto quase que irreversível, um verdadeiro choque, 
para que, enfim, enxerguem de verdade que segurança da informação não é uma despesa e sim um 
investimento obrigatório. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
REFERENCIAS 
 
FERREIRA, Fernando N. Freitas; ARAÚJO, Marcio Tadeu. Política da Segurança da 
Informação: Guia Prático para Elaboração e Implementação. 1ª. Ed. Rio de Janeiro: Ciência 
Moderna, 2006. 
 
SÊMOLA, Marcos. Gestão da Segurança da Informação, Uma Visão Executiva. 7ª. Ed. Rio de 
Janeiro: Elsevier, 2003. 
 
CARVALHO, João Antônio. Informática – ESAF. Rio de Janeiro : Elsevier, 2007. 
 
PROFISSIONAIS TI 
Disponível em: <http://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao> 
Acesso em 15.02.2015 
 
OFICINA DA NET 
Disponível em: 
<http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_Informação> 
Acesso em 15.02.2015 
 
GHT Tecnologia, 
Disponível em: 
<http://www.ght.net.br/dicas-noticias/seguranca-da-informacao-nas-empresas> 
Acesso em 15.02.2015