N1 Gestão da Segurança da Informação

Prévia do material em texto

Sucesso! Seu envio aparece nesta página. O número da confirmação do envio é 5896d192-1897-41dd-9f15-4c28dafec63e. Copie e salve este número como prova de seu envio. 
N1 Gestão da Segurança da Informação
Estudo do caso da empresa Gênesis Tecnologia
	A Gênesis Tecnologia é a empresa responsável pela manutenção e instalação do hardware e do software das urnas eletrônicas utilizadas nas eleições. Estrutura física da empresa é similar à de outras empresas do mesmo ramo: todas as dependências são monitoradas por câmeras de segurança e seus seguranças são orientados a solicitar a identificação de todos que acessam à empresa fisicamente. 
	Recentemente uma violação grave de segurança trouxe à atenção da empresa a de rever como a gestão de segurança está sendo performada na empresa. Um funcionário reportou o desaparecimento de um dos discos rígidos contendo informações críticas e sigilosas. A investigação reportou a entrada de uma pessoa não identificada que passou pela portaria no meio de um grupo de quatro funcionários que já eram conhecidos. A pessoa acessou o saguão principal, e se apoderou de um dos discos rígidos expostos na bancada, acessou um dos departamentos que estava vazio e pegou uma das senhas coladas ao monitor, e saiu naturalmente pela portaria. Embora esse incidente de segurança tenha engatilhado a criação de um plano de mitigação do incidente por parte da área responsável, cujas as ações foram baseadas em diretrizes da ISO27001, a direção da empresa percebeu que havia graves deficiências em relação à segurança da informação, e apontou a necessidade de adquirir um software para a gestão de segurança da informação.
	A aquisição de um software para a gestão de segurança é recomendado e trará à empresa certo grau de automação. Porém, antes de automatizar é preciso primeiro ter em vista o uso otimizado dos recursos tecnológicos que dependerá da capacidade de TI (ITIL® Foundation Edition 4, 2019, pág. 77). Otimizar recursos pode envolver revisão ou implementação de processos, monitoração de redes, treinamento de funcionários, avaliação de ameaçar atuais e de possíveis ameaças futuras, bem como a avaliação sobre que nível de riscos é aceitável para a organização. Depois dessa abordagem a estrutura do sistema de gestão da segurança da informação pode ser elaborada de com acordo com a norma ISO27001. Por que essa norma deve ser usada? Porque é a mais popular norma de segurança da informação no mundo, e quando as organizações seguem a norma e até se certificam nela tornam seus serviços mais atraentes para os do cliente.
	A ISO 27001 tem como objetivo proteger a confidencialidade, integridade e disponibilidade da informação de uma organização. Isto é alcançado através de uma avaliação de risco com base em critérios para aceitação dos riscos suportados pelos objetivos relevantes para a organização (ABNT, 2005, p. 6). De acordo com Galvão (2015, p. 93) a gestão de riscos pode ser implementada por meio de seis atividades: (1) Definição dos objetivos, (2) Identificação dos riscos, (3) Análise dos riscos, (4) Planejamento do tratamento de risco, (5) Implementação do controle do risco e (6) Avaliação e revisão dos riscos.
	A definição dos objetivos deve estar alinhada aos objetivos da organização para que produzam valor, nesse caso queremos eliminar as falhas de segurança nas dependências físicas da empresa por proteger os sistemas de informação e de acesso, utilização, divulgação, interrupção, modificação ou destruição não autorizados de informação. Por isso, numa ampla análise a Gestão de Segurança da Informação definirá seu escopo mediante avaliação, classificação e tratamento para os seguintes riscos identificados por meio da investigação da recente violação grave, além de outros: (a) orientação de verificar a identificação de quem ingressa é ignorada, (b) urnas eletrônicas recebem manutenção e atualização no saguão principal da empresa com a exposição de vários componentes nas bancadas, (c) do saguão principal é possível ter acesso fácil às demais dependências da empresa, como: setor de desenvolvimento de sistemas, banco de dados, redes de computadores, bem como a um departamento específico para os componentes eletrônicos das urnas, (d) acesso à informações sigilosas dos eleitores e de dados relativos contidos nos discos rígidos das urnas através de senha pessoal, gerada para cada funcionário da empresa, senhas essas expostas a acessíveis a qualquer um por estarem coladas ao monitores devido a necessidade de acesso recorrente a essas informações. Os funcionários têm o habito de emprestar sua senha pessoal à terceiros. Para tanto, poderá fazer uso de uma ferramenta bastante utilizada para a priorização dos riscos conhecida como Matriz GUT (acrônimo de Gravidade, Urgência e Tendência). O software que será adquirido deve fornecer a aplicação de controles apropriados, segundo priorização, deverá evitar riscos através de políticas, procedimentos e diretrizes como medidas de proteção de seus ativos de informação. Esses mecanismos de controle de risco tratam ou gerenciam os riscos de qualquer natureza, executam o plano de tratamento de risco.
	Outras ações relevantes na gestão de segurança, segundo a ISO27001, é a medição da eficácia de seus controles e do seu SGSI (Sistema de Gerenciamento da Segurança da Informação), implementação de todos os controles de procedimentos necessários, implementação de programas de treinamento e conscientização, execução de todas as operações diárias prescritas pela documentação do seu SGSI, monitoramento e medição do SGSI, promover auditorias internas, realização de análise crítica pela direção, e a implementação de ações corretivas quando necessário. Todas essas ações podem ser vistas e controladas através no ciclo PDCA: Plan (Planejar), Do (Executar), Check (Checar) e Act (Agir).
	Num mundo VUCA (Volátil, Incerto, Complexo e ambíguo) ter um sistema de gestão da segurança da informação é necessário e relevante para as operações da empresa. 
É importante dizer que adquirir o software para o SGSI pode contribuir para redução de custos, aumento de produtividade, e tornará a Gênesis Tecnologia mais competitiva, oferecendo mais segurança de dados, mais organização de documentos, além da customização de recursos e fornecimento de relatórios com agilidade. Isso pode ser uma solução disruptiva para a empresa. Por causa disso a área de GGSI é totalmente a favor da recomendação feita pela diretoria.
Referências Bibliográficas
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: tecnologia da informação: técnicas de segurança: sistemas de gestão de segurança da informação: requisitos. Rio de Janeiro: ABNT, 2006.
GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson Education do Brasil, 2015.
SOUZA, J. G. S. et al. Gestão de riscos de segurança da informação numa instituição pública federal: um estudo de caso. Revista ENIAC Pesquisa, v. 5, n. 2, p. 240-256, jun./dez. 2016. <https://ojs.eniac.com.br/index.php/EniacPesquisa/article/view/381> acesso em 16 maio 2021.
AXELOS - ITIL® Foundation - London, England, W1T 3LR - ITIL 4 Edition, 2019.