Prévia do material em texto
- -1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO UNIDADE 2 – POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Halley Wesley Alexandre Silva Gondim - -2 Introdução Em um ambiente organizacional, é preciso traçar ações estratégicas para definir o futuro da empresa frente ao mercado. A partir dos objetivos almejados, deve-se definir um planejamento eficiente a fim de atingi-los. Entretanto, toda a organização deve trabalhar como se fosse um único organismo em plena sinergia, dos níveis mais altos (alta gestão) até o mais baixo, o nível operacional (execução). Em meio a esse trabalho, torna-se importante definir um processo de negócio para identificar gargalos e atividades desnecessárias em todos os serviços da organização. Da mesma forma, a Segurança da Informação deve seguir as ações estratégicas definidas na alta gestão, criando um planejamento para dar suporte a tais objetivos (Planejamento estratégico de TI – PETI). Ao longo do processo, existe a definição de políticas de segurança de modo a garantir a proteção dos ativos, como as informações. Ao longo desta unidade, vamos explorar políticas tanto lógicas (autenticação com senha) quanto físicas (organização cercada com muros e seguranças) e, por fim, ambientais (eventos da natureza, inundações, fogo etc). Caso queira mais informações sobre o alinhamento da TI com a instituição, uma boa fonte de pesquisa é a ITIL ( – Biblioteca de Infraestrutura de Tecnologia daInformation Technology Infrastructure Library Informação). Dentre as suas melhores práticas, podemos citar a (gerenciamento deSecurity Management segurança). Da mesma forma que as empresas projetam como querem estar no futuro, você planeja a sua vida? Aonde você quer chegar? Quais planos você tem para médio e longo prazo? Que tipo de ações toma diariamente para que esses planos, mesmo que longínquos, possam se realizar? À medida que o tempo passa, você consegue replanejar seu futuro? Questões como essas são bastante difíceis de se responder. Elas também o são para uma organização, que possui concorrentes e diversos trabalhadores. Vamos conhecer subsídios para respondê-las ao longo da unidade. Bons estudos! 2.1 Políticas de Segurança Lógica Independentemente de estarmos à frente de uma organização ou de nosso próprio cotidiano, sempre nos deparamos com alguma barreira lógica para termos acesso ao serviço desejado. Por exemplo, digitar senhas em caixa eletrônico, acessar e-mails, realizar compras on-line etc. A Segurança da Informação (SI), além de criar barreiras físicas, também desenvolve maneiras de barrar logicamente pessoas e sistemas não autorizados (HINTZBERGEN et al, 2018). O controle de acesso é basicamente dividido em quatro partes. Cada uma ficará responsável por uma etapa do processo de acesso. São elas: Autorização Quem pode acessar os serviços. Identificação Forma de distinguir um usuário dentre os demais. Autenticação Por meio da identificação, verifica-se se o usuário tem acesso ao sistema. Responsabilização Mudanças realizadas por usuários são registradas. Basicamente, o processo é dividido em duas fases. A primeira é a : estabelece quaisdefinição de política usuários podem ter acesso e quais sistemas e recursos podem utilizar. A autorização é definida nesta parte. Já a segunda fase, , concede ou rejeita solicitações de acesso com base na fase anterior. Aimposição de política - -3 usuários podem ter acesso e quais sistemas e recursos podem utilizar. A autorização é definida nesta parte. Já a segunda fase, , concede ou rejeita solicitações de acesso com base na fase anterior. Aimposição de política identificação, a autenticação e a responsabilização são etapas dessa fase. (HINTZBERGEN et al, 2018) Uma deve girar em torno de quatro elementos: usuários (pessoas que utilizam opolítica de acesso lógico sistema), recursos (objetos que possuem proteção no sistema e que somente pessoas autorizadas podem acessar), ações (que tipo de atividades os usuários fazem com os recursos) e relacionamentos (condições opcionais entre usuário e o recurso: leitura, escrita, execução, entre outros). A definição de uma política de autorização gira em torno de decidir quem tem acesso aos recursos e à rede. A fim de facilitar a definição de acesso, pode-se agrupar os usuários e configurá-los de acordo com suas características ou autoridades. Podemos, assim, definir tais regras com a mesma função ou em casos mais específicos, como nível de autoridade da organização. Como exemplo, todos os analistas de sistemas poderão ter acesso aos servidores e ao banco de desenvolvimento. (HINTZBERGEN et al, 2018) Com base nessa política, o próximo passo é identificar o usuário em si. Para isso, é possível utilizar biometria, cartões, chips, DNA, caligrafia, odor, sensores, senhas. A preocupação dessa etapa é conseguir distinguir um usuário do outro de forma rápida e precisa. Uma vez identificado, pode-se monitorar e rastrear todas as suas ações nos sistemas de uma organização (GOODRICH; TAMASSIA, 2013). Definidas as políticas de autorização e as formas de identificação, o próximo passo é a definição da autenticação. Nesse momento, o usuário terá que validar ou provar a sua identidade fornecida anteriormente. Basicamente, há três tipos de autenticação (HINTZBERGEN et al, 2018): • Baseada em conhecimento Demanda a memorização, como de uma senha. Das três formas de se autenticar, essa é a mais antiga e a mais utilizada. Sua desvantagem é que há a necessidade de se decorar alguma coisa. Além disso, a definição equivocada da senha pode gerar uma brecha para que agentes ameaçadores se passem pela VOCÊ QUER LER? Além da ITIL, existe uma cultura que vem ganhando bastante espaço ultimamente. É o DevOps (Junção de desenvolvimento com operação/infraestrutura) – em especial, o SecDevOps, que visa garantir a segurança do ambiente de negócio de forma mais ágil e menos burocrática. (KIM, 2018; RED HAT, 2018). Acesse o link que você vai curtir <https://www.redhat.com/pt-br >./topics/devops/what-is-devsecops/ VOCÊ QUER VER? Apesar de ser uma série um pouco antiga, mostra a realidade de umThe IT Crowd departamento de TI com sérios problemas estruturais e de relacionamentos. Ao longo da (comédia de situação), é possível observar a grande dificuldade que é manter umsitcom departamento à beira do caos. A série britânicateve início em 2006 e conta, no elenco, com Richard Ayoade e Chris O’Dowd. • - -4 definição equivocada da senha pode gerar uma brecha para que agentes ameaçadores se passem pela pessoa em questão. Por exemplo, a senha é antiga, muito curta ou bastante óbvia, como a data de aniversário. Ataques de força bruta podem facilmente quebrar a senha de um usuário. Para isso, outras estratégias são anexadas, como definição de limite máximo de erros (como três), a utilização de temporizadores no caso de vários erros seguidos (aguardar por uma hora) ou de outras tecnologias como o (gera números por meio de imagens para barrar códigos automáticos) (KIM;recaptcha SOLOMON, 2014). Uma boa dica para a definição de senhas seguras é se valer de palavras desconhecidas, letras maiúsculas e minúsculas, números, caracteres especiais, em uma sequência de no mínimo 8 caracteres (SCHETINA; GREEN; CARLSON, 2002; HINTZBERGEN et al, 2018). Caso não lembre da senha, deve-se permitir ao usuário que solicite uma senha provisória, para que posteriormente a altere no prazo máximo de 48 horas. • Baseada em propriedade Algo que o usuário tenha posse, como um crachá. Nessa estratégia, a pessoa sempre terá que carregar consigo o elemento que a identifique. Caso o perca ou o esqueça, terá que pedir autorização para entrar na organização (SÊMOLA, 2014). A falha na autenticação baseada em propriedade é que se pode clonar algum documento e passar-se por outra pessoa (BEAL, 2008). Um exemplo de dispositivo é o token, que pode ser um aparelho (semelhante a um com visor) ou emulado em algum aplicativo (celular).pen-drive Atualmente, é muito comum a autenticação em duas etapas, na qual o usuário entra em um site com seu usuário e senha eposteriormente fornece o número gerado pelo .token • Baseado em características Algo que seja unicamente do usuário, como uma digital. Para se autenticar, ele terá que fornecer alguma característica física ou lógica. Basicamente, esta autenticação se divide em duas categorias: • Estática: quando não existe a necessidade de se executar uma ação. Usa-se simplesmente algum sensor para realizar a leitura física, como impressão digital, leitura de retina e íris, geometria da palma da mão etc. A sua vantagem é que o usuário não necessita decorar uma senha, nem levar consigo nenhum tipo de dispositivo. • Dinâmico: exige a ação do usuário para colher alguma característica. Por exemplo, o padrão de desenho para desbloqueio do celular, assinatura, leitura de movimento corporal etc. Para se usar qualquer autenticação por características, deve-se levar em consideração três itens. O primeiro deles é a precisão. É preciso utilizar equipamentos que não causem distorções na leitura. Caso isso ocorra, pode- se ter falsa rejeição e falsa aceitação. O segundo item é a aceitação. Nem todos os usuários estão dispostos a passar pela autenticação. Por exemplo, a leitura de retina pode não ser bem vista por parte das pessoas, pois imaginam que o equipamento de leitura possa danificar a visão. Por último, há o tempo de reação. O • • VOCÊ SABIA? As maiores empresas de antivírus do mundo lançam, anualmente, informações sobre as possíveis tendências de ataque, bem como as estatísticas dos principais tipos ocorridos no ano em questão. Com isso, é possível ter uma ideia de como é a dinâmica do problema na Segurança da Informação, uma vez que a cada ano novos tipos de ataques surgem e outros deixam de existir (AVAST, 2019; MCAFFE, 2018; SYMANTEC, 2018). - -5 imaginam que o equipamento de leitura possa danificar a visão. Por último, há o tempo de reação. O processamento da autenticação deve rápido, pois, caso demore, poderá se tornar inviável. Pense no sistema biométrico de um aeroporto, por onde passam milhares de pessoas diariamente, com o tempo de resposta médio de 5min. Existem diferentes tipos de biometria. Dentre os mais conhecidos, podemos destacar: impressão digital, impressão da palma da mão, geometria da mão (pouco precisa), varredura de retina (imprecisão em casos de diabetes, grávidas ou problemas cardíacos), varredura da íris (observam padrões e imperfeições, como estrias e deformidades), reconhecimento do rosto (apesar de bem aceito, é possível burlar alguns sistemas por meio de fotos ou características parecidas. Pode-se obter 80 tipos diferentes de características para esse tipo de autenticação. Deve-se lembrar que o reconhecimento deve ser feito do mesmo ângulo que foi inserido no sistema). Outro exemplo é reconhecimento por padrão de voz, observando tons e vibrações. Com esse tipo de reconhecimento, é possível medir 7 parâmetros diferentes. Mais um tipo é o reconhecimento por padrões. Tem biometria dinâmica e visa realizar uma série de medidas sobre direção de desenho, pressão, tipo de traçado na tela, entre outros. Um exemplo são as assinaturas digitais, com tablets ou canetas digitais. A vantagem da sua biometria é que se exige a presença do usuário para a autenticação, dificultando a falsificação. Esse tipo de recurso pode ter limitações, em comparação a pessoas com deficiências físicas/motoras. Alguns equipamentos de leitura biométrica possuem preços acessíveis. (HINTZBERGEN et al, 2018) Atualmente, inúmeros serviços podem ser encontrados na internet: sites de compras, cursos, jornais, revistas, bibliotecas etc. Para cada um desses serviços, são exigidas senhas diferentes. Há o risco de se criar uma única senha, algo totalmente desaconselhável. Todavia, existe um recurso chamado no qual o usuárioSingle Sing-On pode se autenticar em um local e ter acesso a todos os serviços/sistemas que possui permissão. Um bom exemplo disso é o Google: ao se autenticar, por exemplo, no e-mail, você terá acesso a todos os outros recursos, como drive, fotos etc. Depois das três primeiras etapas de controle de acesso – autorização, identificação e autenticação – vem a responsabilização. Esse tipo de recurso permite que se investigue/audite os usuários responsáveis por alterações no sistema e nos dados. Geralmente, pode-se imprimir essas informações em arquivos de ou atélog em banco de dados, registrando cada ação (HINTZBERGEN et al, 2018). Por exemplo, na linguagem Java, pode-se utilizar interceptadores para observar cada tipo de requisição. Há amplo controle sobre o usuário no acesso às informações de uma organização. Entretanto, muitas empresas acabam não se preocupando com o descarte das informações. Uma ação bem comum é jogar fora relatórios e documentos oficiais diretamente na lixeira. Em se tratando de espionagem industrial, é uma ótima fonte de recursos, bem como o descarte de HDs, fitas ou qualquer outro meio magnético. Deve-se definir, como parte da SI, políticas de picotagem de papel e desmagnetização de aparelhos magnéticos. Infelizmente, aplicar todos esses conceitos e definir uma política adequada para a organização não é garantia de segurança total – mas são formas de amenizar ataques de agentes ameaçadores. Entretanto, para se ter ideia de como o universo de ataques é milionário, existe um termo chamado de (caçadores de erros e falhas)bughunters VAMOS PRATICAR? O que acha de listar os diferentes tipos de biometria a que você já teve acesso? Quais você se sente mais à vontade e quais você se sente mais desconfortável? Por fim, liste a quantidade de serviços que você possui com suporte à entrada de senhas. Você possui uma senha única? Que tal dar mais segurança criando diferentes senhas com combinações de números, letras e caracteres especiais? - -6 como o universo de ataques é milionário, existe um termo chamado de (caçadores de erros e falhas)bughunters em softwares e aplicativos. Uma vez encontrada a falha em algum sistema, essa é oferecida a empresas que trabalham com espionagem ou outras finalidades. Quanto mais conhecido é o software/aplicativo, mais caro é a falha. Um exemplo desse tipo de ferramenta é o software Pegasus. Seu objetivo é espionar qualquer pessoa por meio do aparelho celular. A sua infecção se dá sem a interação do proprietário: se você receber uma mensagem de texto, ou alguma foto, áudio de aplicativos de rede social, mesmo que não efetuando o download, você já está infectado. Uma vez infectado, pode-se ter acesso a todo o aparelho, como arquivos, microfone e câmeras. (SNOW, 2017) Outros exemplos de ameaça podem ser (clique para ler): Acesso físico Mesmo com o controle lógico muito forte, caso um agente ameaçador entre fisicamente na sala de servidor, por exemplo, de nada adiantará, pois ele poderá inserir um vírus/espião diretamente por uma entrada. Interceptação p o r observação Muitas pessoas não imaginam o quão crítico é passar informações importantes sem perceber, como ao escrever alguma senha ou configuração de estratégia em um quadro que esteja disponível e visível a qualquer pessoa que adentrar na organização. Contornando a segurança Espera-se sempre um ataque via internet. Entretanto, pode-se conseguir o acesso às informações de diversas outras formas. Acesso de redes Em sua grande maioria, as organizações habilitam conectores de rede em vários locais. Em se tratando de um agente ameaçador, ele poderá se conectar à rede e acessar/roubar /danificar as informações de uma organização. Assim, frente às variadas ameaças, a combinação dos tipos de autenticação é uma boa opção para melhorar a segurança, como a autenticação de fator duplo. 2.2 Políticas de Segurança Física O nível de segurança física irá variar de acordo com o tipo de organização. Podemos ter organizações tidas como públicas, nas quais o acesso de pessoas pode ser irrestrito, como bibliotecas e museus. Por outro lado, temos as que necessitam de um nível de restrição bastante elevado devido a sua natureza, como as que manipulam remédios, agentes químicos, indústrias de tecnologia etc.A restrição física garante não só a proteção de que somente pessoas autorizadas tenham acesso, como também evita um dos problemas mais temíveis: a espionagem industrial. Outros fatores podem afetar o nível de acesso a áreas físicas, como questões que envolvem higiene. A política de segurança física, assim, não é criada VAMOS PRATICAR? Procure em sites confiáveis (jornais e revistas com domínio na área) informações sobre espionagem de dados. Existem uma série de casos. E busque descobrir, especialmente, as ferramentas utilizadas por governantes. - -7 áreas físicas, como questões que envolvem higiene. A política de segurança física, assim, não é criada aleatoriamente: ela partiu do estudo sobre os ativos das organizações, em especial seus riscos. Para cada um se deve tomar contramedida, a fim de amenizar os danos causados. É a partir dessa definição que tal política é executada (HINTZBERGEN et al, 2018). Podem-se garantir, como vimos, políticas de controle lógico às informações. Mas não adianta inserir, por exemplo, inteligência artificial para detectar ataques em tempo real, se o servidor ou banco de dados se encontra em um local sem nenhum tipo de segurança física, onde qualquer pessoa poderia entrar sem ser incomodado e inserir algum vírus (em nosso contexto, uma contra inteligência artificial) ou simplesmente roubar a informação. Portanto, é necessário garantir que a informação seja protegida tanto lógica quanto fisicamente. Nesse contexto, a segurança física deve combinar medidas organizacionais, estruturais e eletrônicas. Todo esse aparato precisa ser prontamente planejado. Não adiantaria incluir diversas câmeras se elas não possuírem uma boa qualidade, as imagens não sejam gravadas 24 horas e não estejam posicionadas em lugares estratégicos. Feito isso, a organização deve direcionar pessoas responsáveis por monitorar o que é capturado, caso contrário não há a necessidade de se instalar câmeras. (HINTZBERGEN et al, 2018) A segurança física pode se utilizar de diversos tipos de sensores a fim de detectar algum intruso ou invasão (GALVÃO, 2015). Dentre essa tecnologia, podemos destacar: Infravermelho De uso interno, sua detecção está relacionada a mudanças de temperatura. Câmeras Além da gravação passiva, pode se tornar uma tecnologia ativa, ao se delimitar áreas nas quais, se houver movimentação, o equipamento notifica os agentes de segurança com alertas sonoros. Vibração Monitora qualquer tipo de vibração no ambiente. É bastante útil caso ocorra alguma perfuração. Pode ser instalada em janelas, pois, se houver alguma quebra, o sensor captará a vibração/impacto. Magnetismo Esse tipo de sensor é bastante útil em portas e janelas. Se alguém tentar abrir uma delas, o alarme será acionado. Para uma boa política de segurança física, é essencial sempre ter uma boa manutenção, bem como a capacidade de, a cada alarme acionado, realizar alguma verificação. Deve-se também realizar o registro de casa incidente. Cada ativo terá a sua importância para a organização. Logo, cada um deverá possuir um certo grau de prioridade. É recomendado que a segurança física proteja o ativo de incêndios, furtos, vândalos, sabotagem, espionagem, acidentes. Com base nisso, a segurança física deve começar não apenas no ambiente em que o ativo se encontra, mas já a partir dos seus arredores, em diferentes níveis. (HINTZBERGEN et al, 2018) - -8 Figura 1 - Um anel de acesso na política física de segurança comporta diversos níveis de proteção. Fonte: HINTZBERGEN et al, 2018, p. 94. Vejamos, agora, o chamado anel de segurança. Primeiramente, os localizados na parte superior do círculo (a partir da linha horizontal central), conforme a figura: Anel externo Essa primeira barreira circula as instalações da organização. Basicamente, podem ser barreiras naturais ou arquitetônicas. As naturais envolvem objetos da natureza, como vegetações densas, rios e montanhas. Já a arquitetônica é tudo aquilo que pode ser produzido pelo homem, como cercas e muros. Tais barreiras devem permitir que pessoas autorizadas tenham acesso de forma fácil. Logo, é necessário que algum tipo de verificação seja efetuado. Prédio Caso um anel externo não seja disponível, é necessário que o próprio local se adeque para barrar fisicamente uma ameaça, instalando-se, por exemplo, janelas com vidros resistentes e portas antiarrombamento. Tais medidas são úteis até que um anel externo seja criado. Local de trabalho e objeto É a área em que as pessoas autorizadas trabalham e os ativos mais importantes estão localizados. Já na segunda metade do anel, temos um grau de restrições à medida que se adentra na organização. Quanto mais sensível for o grau, mais cuidados devem ser alocados. (HINTZBERGEN et al, 2018) De acordo com esse contexto, pode-se introduzir uma guarda armada (ou não) entre o anel externo e os ativos. Por exemplo, se na área externa existe uma cerca e até a entrada prédio há um estacionamento, ele seria um bom local para instalar câmera e guardas de segurança. É aconselhável que procedimentos pré-definidos sejam - -9 local para instalar câmera e guardas de segurança. É aconselhável que procedimentos pré-definidos sejam executados sempre que ocorrer algum incidente. Internamente, também, são necessárias medidas extras, como, por exemplo, deixar o local em que se encontram os principais ativo em difícil acesso. Quanto menor a informação do que se acontece nesse local, melhor será. Caso a empresa possuía altos graus de segurança, deve-se preocupar até com a sala de reunião, pois se pode tentar ouvir as informações de outra sala ou até mesmo ter contato visual de dados/informações que estejam sendo apresentadas. (HINTZBERGEN et al, 2018) Outro ponto importante é determinar áreas de carga e descarga apropriados, de modo que terceiros não tenham acesso a nenhum ativo precioso da organização. 2.3 Políticas de Segurança Ambiental Assim como existe proteção física contra invasões, é importante que se tenha uma política que proteja a organização de qualquer ameaça da natureza, como incêndios, inundações e explosões. Um exemplo bem simples de acessório contra incêndios são os armários. Eles podem variar de resistência a fogo e impacto (arrombamento). Dentro deles, podem ser armazenados ativos como , documentos e dinheiro. Valebackups lembrar que a chave deve ser mantida sob proteção, e não devem ficar no mesmo prédio que osbackups servidores. (HINTZBERGEN et al, 2018) As salas de servidores são uma unidade física que demanda muitos cuidados, tanto contra desastre naturais citados anteriormente como também com relação à umidade e ao calor produzido. Falhas de energia podem acarretar uma série de problemas. Muitas vezes, essas salas são chamadas de sala-cofre, devido à grande restrição física de acesso. O incêndio, sem dúvida, é um dos problemas mais comuns dentro de uma organização, pois ele pode ser originalizado a partir de curto-circuito, má refrigeramento, ação humana, defeito em equipamentos, entre outros. Basicamente, para que ocorra um incêndio, os seguintes componentes devem ser satisfeitos: material inflamável, oxigênio e temperatura para a ignição. Em consequência, são necessárias contramedidas que visem atacar ao menos um deles. Entre as possíveis soluções, está a de manter salas com baixos níveis de oxigênio e sensores que podem ser acionados a partir de uma mudança brusca de temperatura ou detecção de fumaça. Outra ação simples é reduzir a quantidade de materiais inflamáveis, como papeis. Mesmo assim, caso ocorra um incêndio, deve-se sempre ter extintores de incêndios apropriados e de diferentes tipos: gases (suprime o oxigênio), espuma (não usado para eletricidade), pó (usado para eletricidade) e água, entre outros. VAMOS PRATICAR? Da próxima vez que você frequentar algum tipo organização que possua informações importantes e privilegiadas, tente perceber como a política de segurança funciona. Veja os diferentes níveis de segurança sendo empregados. Entretanto, mantenha a discrição para não chamar atenção – caso contrário,poderão ter uma interpretação errada do seu comportamento. - -10 Figura 2 - Equipamentos de extinção de incêndio são essenciais na sala de servidores e em outros espaços da organização. Fonte: Pavel L Photo and Video, Shutterstock, 2019. Vale sempre ressaltar que a manutenção de todos os equipamentos garante o seu bom funcionamento e evita a ocorrência de incidentes. 2.4 Políticas de Segurança de Informação e o Processo Organizacional A gestão da informação é “o meio pelo qual uma organização planeja, coleta, organiza, utiliza, controla, dissemina e descarta suas informações de forma eficiente, e através da qual garante que o valor dessa informação seja identificado e explorado em toda a sua extensão”. (HINTZBERGEN et al, 2018, p. 57) Não é de se estranhar, assim, que ela envolva diversas outras áreas, como tecnologia da informação, ciências da computação, arquivamento, biblioteconomia, recuperação da informação etc. A partir de tais áreas, pode-se pensar em realizar as seguintes ações sobre as informações: classificar, indexar (ou facilitar a busca), catalogar, projetar banco de dados, armazenar fisicamente, dentre outros. O gerenciamento de uma organização visa estabelecer a eficácia e a eficiência de todo um conjunto de atividades. Para isso, os gestores devem pensar na organização como um organismo único trabalhando em sinergia. E em cada atividade, por menor que seja, deve-se focar sempre no objetivo de futuro. - -11 Figura 3 - Entender os níveis organizacionais é essencial para pensar nas políticas de segurança dos ativos Fonte: HINTZBERGEN et al, 2018, p. 60. Uma organização é dividida em níveis, de forma semelhante a pirâmides, onde, em uma extremidade, tem-se a gestão estratégica, seguida da gestão tática e por fim, na sua base, a gestão operacional. Todos os objetivos de uma organização vêm da gestão estratégica, ou seja, da alta administração: proprietário, presidente, diretoria. Esta repassa aos demais níveis a sua parcela no objetivo, visando garantir, a nível estratégico, as escolhas adequadas para a empresa, ponderando forças e fraquezas, oportunidades e ameaças externas (de concorrência, cultura, política). É aqui que se determina os valores, a visão e a missão da organização. Geralmente, são consideradas ações de médio e longo prazo, em torno de 5 a 10 anos. Por esse motivo, é importante revisar constantemente o planejamento, a fim de atualizá-lo de forma contínua. Em um nível situado abaixo, tem-se a gestão tática. Ela se preocupa com o controle e o planejamento das funções individuais, como recursos humanos, marketing e produção. Ou seja, enquanto o nível estratégico se preocupa com toda a organização, o tático se dedica a um escopo mais limitado, a nível de departamento. As decisões podem ser tomadas por hierarquias menores, como os gerentes. Outro diferencial é que todo o planejamento tático possui um tempo menor, podendo girar de 1 a 3 anos. Em resumo, o planejamento tático é um desmembramento do plano geral (estratégico). Por fim, na base da pirâmide fica a gestão operacional. Neste nível, são colocadas em prática as ações que foram definidas no nível anterior (tático). Seguindo a mesma lógica, possui um tempo menor de planejamento, de 3 a 6 meses. Todas as ações são monitoradas pelos outros níveis a fim de garantir que o que foi proposto está em pleno funcionamento. Caso não ocorra conforme o planejado, deve-se mudar a estratégia do negócio. (HINTZBERGEN et al, 2018) Ao longo do tempo, foram introduzidos novos processos que facilita e otimizam a execução das ações. Como exemplo, podemos destacar um processo de negócio, que visa conhecer uma atividade de ponta-a-ponta. Ele tem início nas necessidades do cliente, atravessa toda a organização (departamentos) e termina com a satisfação do cliente. Podemos citar, a título de ilustração, a matrícula do aluno em uma instituição de ensino. Primeiramente, deve-se contratar professores para montar as questões de acordo com cada área, preparar os locais, definir datas e pessoas para coordenarem a realização da prova, em seguida disponibilizar ao aluno um site para realizar a - -12 e pessoas para coordenarem a realização da prova, em seguida disponibilizar ao aluno um site para realizar a matrícula, aplicar as provas, corrigi-las, notificar alunos aprovados etc. Perceba que, no exemplo, existe uma série de atividades que cruzam vários departamentos de uma organização. A partir dessa visão, os processos de negócio visam trazer mais lucro, eliminando gargalos e atividades desnecessárias. Uma modelagem que é amplamente utilizada, neste sentido, é a BPMN – Business Process . Por meio dela, são criados diagramas para mapear toda a organização e os processos como são ( )Notation “as is” e como serão ( ) (HINTZBERGEN et al, 2018)“to be” Figura 4 - Os elementos básicos da notação BPMN permitem modelar os processos da organização. Fonte: AMARILLA; NETO, 2018, p. 275. Vamos verificar e entender, agora, as notações da Figura 4 de acordo com o exemplo da Figura 5, que ilustra um processo de pedido de compras. CASO Como falamos sobre a notação BPMN, que tal conhecermos um pouco mais sobre ela? Trata-se de uma notação que possui inúmeros processos alinhados à visão estratégica da organização. A título de ilustração, vamos explorar uma pequena fatia desse modelo: os diagramas BPD ( ). Um software gratuito e bastante utilizado, para isso, é o Bizagi,Business Process Diagram especialmente a versão r, disponível para download. Para modelar um processoBizagi Modele (as atividades que ocorrem em uma organização), pode-se realizar observação direta (entrar na organização e ver o funcionamento) e entrevistas (conhecer pessoas chaves dentro de cada departamento). Basicamente, as notações mais utilizadas estão ilustradas na figura a seguir. - -13 Figura 5 - O processo de pedido de compras segue as notações da BPMN. Fonte: DTI/UFMG, 2019, p. 20. • Objetos de fluxo Os círculos demonstram início, meio ou fim de uma tarefa (retângulo simples). Veja que, no exemplo do processo de pedido de compras, temos o círculo verde demonstrando onde deveremos começar a leitura. Em seguida, teremos que fazer a tarefa “Receber Pedido”. Nela, podemos pedir uma série de documentos. Por exemplo, qual departamento solicitou a compra, que tipo de material é, qual a quantidade, para que uso se destina. Na sua sequência, tem-se uma caixa de tarefa com uma cruz na parte inferior. Ela representa um subprocesso. Dentro dele podemos ter várias outras atividades, o que é bastante útil para organização do diagrama. O losango amarelo representa uma decisão no fluxo – no exemplo, recusar ou aprovar o pedido. Quando há um losango com uma cruz, significa que podemos fazer as próximas tarefas de forma simultânea. • Objetos de conexão Visam representar o fluxo do processo e servem para ligar objetos de fluxo. Com eles, é possível acompanhar o andamento. • Swimlanes Eu objetivo é organizar o processo de ponta-a-ponta. Veja que temos uma piscina chamada “Processo” com duas raias (participante 1 e participante 2), o que facilita visualizar quais atividades são realizadas ao mesmo tempo pelos dois empregados. • Artefatos Podem demonstrar a saída de um documento a partir de uma tarefa. Por exemplo, após a tarefa “Fazer Orçamento”, poderíamos ter emitido um documento chamado relatórios de preços. De construção bastante didática e intuitiva, os diagramas BPD podem ajudar no aprimoramento dos processos da organização. • • • • - -14 Síntese Nesta unidade, conhecemos um pouco mais sobre as políticas de segurança física e ambiental que devem ser criadas e mantidas em uma organização. Além de complementar a segurança lógica, elas fornecem uma camada extra de segurança, limitando fisicamente os agentes externos. Ao final, também vimos como uma instituição é dividida em níveis organizacionais, em que há, em cada nível, uma colaboração mútua a fim de se chegar ao mesmo objetivo. Nesta unidade, você teve a oportunidade de: • conhecer os diferentes níveis organizacionais:estratégico, tático e operacional; • ver os diferentes tipos de autorização; • conhecer o funcionamento de políticas de segurança física em uma organização; • compreender como são estabelecidos os anéis de segurança; • considerar a importância de se preparar para eventos da natureza com políticas de segurança ambiental; • entender o funcionamento de uma organização a partir da Segurança da Informação. Bibliografia AMARILLA, R. S. D; NETO, A. I. Análise comparativa dos principais processos de negócio de empresas do subsetor de edificações da construção civil. , São Carlos, SP, v. 25, n. 2, abr./jun. 2018, p. 269-283.Gestão & Produção Disponível em: <http://www.scielo.br/pdf/gp/v25n2/0104-530X-gp-0104-530X2406-16.pdf>. Acesso em: 16 /09/2019. AVAST. Avast destaca cenário de ameaças para 2019. , 3 jan. 2019. Disponível em: <Portal Avast https://press. avast.com/pt-pt/avast-destaca-cenario-de-amea%C3%A7as-para-2019>. Acesso em: 16/09/2019. BEAL, A. : princípios e melhores práticas para a proteção dos ativos de informaçãoSegurança da Informação nas organizações. São Paulo: Atlas, 2008. DTI/UFMG. . 2019. DisponívelGuia simplificado de boas práticas em modelagem de processos com BPMN em: <https://www.ufmg.br/dti/wp-content/uploads/2019/01/POP-0001-ANEXO-A-Guia-simplificado-de-boas- praticas-em-modelagem.pdf>. Acesso em: 16/09/2019. GALVÃO, M. C. . São Paulo, Pearson, 2015.Fundamentos de Segurança da Informação GOODRICH, M. T.; TAMASSIA, R. . Porto Alegre: Bookman, 2013.Introdução à segurança de computadores HINTZBERGEN J. et al. : com base na ISO 27001 e na ISO 27002.Fundamentos de Segurança da Informação Rio de Janeiro: Brasport, 2018. KIM, D.; SOLOMON, M. G. . São Paulo: LTC, 2014.Fundamentos de segurança de sistemas de informação KIM, G. et at. : como obter agilidade, confiabilidade e segurança em organizações. Rio deManual de DevOps Janeiro: Alta Books, 2018. MCAFEE. . 2018. Disponível em: <Relatório do McAfee Labs sobre ameaças https://www.mcafee.com /enterprise/pt-br/assets/reports/rp-quarterly-threats-dec-2018.pdf>. Acesso em: 16/09/2019. RED HAT. O que é DevSecOps? , 2018. Disponível em: <Red Hat https://www.redhat.com/pt-br/topics/devops /what-is-devsecops/>. Acesso em: 16/09/2019. SÊMOLA, M. . Rio de Janeiro, Elsevier, 2014.Gestão da Segurança da Informação SCHETINA, E.; GREEN, K.; CARLSON, J. . São Paulo: Campus,Aprenda a desenvolver e construir sites seguros 2002. SNOW, J. Pegasus: o spyware perfeito para iOS e Android. , 18 abr. 2017. Disponível em: <Kaspersky Daily • • • • • • - -15 SNOW, J. Pegasus: o spyware perfeito para iOS e Android. , 18 abr. 2017. Disponível em: <Kaspersky Daily https://www.kaspersky.com.br/blog/pegasus-spyware/7237/>. Acesso em: 16/09/2019. SYMANTEC. . 2018. Disponível em: <Cyber Safety Insights Report Global Results https://www.symantec.com /content/dam/symantec/docs/about/2018-norton-lifelock-cyber-safety-insights-report-global-results-en.pdf>. Acesso em: 16/09/2019. THE IT CROWD. Roteiro e direção de Graham Linehan. Produção de Ash Atalla para o Channel 4 e IFC. Série. Inglaterra. 2006-2013.