POLITCA DE SEGURANA DA INFORMAO NAS EMPRESAS

Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC

1. INTRODUO
A informao o elemento bsico para que a evoluo acontea e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) A informao elemento essencial para todos os processos de negcio da organizao, sendo, portanto, um bem ou ativo de grande valor. Logo pode se dizer que a informao se tornou o ativo mais valioso das organizaes, podendo ser alvo de uma srie de ameaas com a finalidade de explorar as vulnerabilidades e causar prejuzos considerveis. Portanto, faz necessrio a implementao de polticas de se segurana da informao que busque reduzir as chances de fraude ou perda de informaes. A Poltica de Segurana da Informao (PSI) um documento que deve conter um conjunto de normas, mtodos e procedimentos, os quais devem ser comunicado a todos os funcionrios, bem como analisado e revisado criticamente, em intervalos

Professor da Faculdade de Tecnologia de Ourinhos (FATEC). Av. Vitalina Marcusso 1400

Campus Universitrio Cep: 19910-206 Ourinhos/SP, E-mail: fabioeder.professor@gmail.com

2

Aluno do curso de Analise de Sistemas e Tecnologia da Informao Faculdade de Tecnologia de Ourinhos (FATEC) e-mail: paulo_gape@yahoo.com.br

regulares ou quando mudanas se fizerem necessrias. o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funes dentro da empresa. (FONTES, 2006) Para se elaborar uma Poltica de Segurana da Informao, deve se levar em considerao a NBR ISO/ 27001:2005, que uma norma de cdigos de prticas para a gesto de segurana da informao, onde podem ser encontradas as melhores prticas para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao.

2. A INFORMAO E A SUA SEGURANA

2.1 A INFORMAO

Segundo a ISO/IEC 27002:2005(2005), a informao um conjunto de dados que representa um ponto de vista, um dado processado o que gera uma informao. Um dado no tem valor antes de ser processado, a partir do seu processamento, ele passa a ser considerado uma informao, que pode gerar conhecimento. Portanto pode-se entender que informao o conhecimento produzido como resultado do processamento de dados. Ainda, segundo a ISO/IEC 27002:2005, a informao um ativo que como qualquer outro ativo importante, essencial para os negcios de uma organizao, e deve ser adequadamente protegida. A informao encarada, atualmente, como um dos recursos mais importantes de uma organizao, contribuindo decisivamente para a uma maior ou menor competitividade. De fato, com o aumento da concorrncia de mercado, tornou-se vital melhorar a capacidade de deciso em todos os nveis. A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas (ISO/IEC 27002:2005, 2005, p. x). Seja qual for a forma em que apresentada ou meio pelo qual

compartilhada ou armazenada, importante no mundo dos negcios, cada vez mais competitivo. Como resultado deste significante aumento da interconectividade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades.

2.2 SEGURANA DA INFORMAO

Para a ABNT NBR ISO/IEC 17799:2005 (2005, p.ix), segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. Entende-se melhor essa necessidade de uma segurana da informao analisando um banco de dados de uma agncia bancria, onde as informaes so em grandes quantidades e muito sigilosas. Pois ali, esto armazenados dados pessoais e tambm da conta bancria dos clientes. Devido a necessidade de extremo sigilo da informao, exige-se uma segurana eficaz.
Em primeiro lugar, muitas vezes d ifcil obter o apoio da prpria alta administrao da organizao para realizar os investimentos necessrios em segurana da informao. Os custos elevados das solues contribuem para esse cenrio, mas o desconhecimento da importncia do tema provavelme nte ainda o maior problema. (CAMPOS, 2007, p.29)

A informao um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das polticas de segurana, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais. Segundo Campos (2077, p. 17), um sistema de segurana da informao baseia-se em trs princpios bsicos: confidencialidade, integridade e disponibilidade. Ao se falar em segurana da informao, deve-se levar em considerao estes trs princpios bsicos, pois toda ao que venha a comprometer qualquer uma

desses princpios, seja confidencialidade, integridade ou disponibilidade, estar atentando contra a sua segurana.

Confidencialidade

A confidencialidade a garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso (NBR ISO/IEC 27002:2005). Caso a informao seja acessada por uma pessoa no autorizada, intencionalmente ou no, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimveis para a empresa ou at mesmo para uma pessoa fsica. Um exemplo simples seria o furto do nmero e da senha do carto de crdito, ou at mesmo, dados da conta bancria de uma pessoa.

Integridade A integridade a garantia da exatido e completeza da informao e dos mtodos de processamento (NBR ISO/IEC 27002:2005). Garantir a integridade permitir que a informao no seja modificada, alterada ou destruda sem autorizao, que ela seja legtima e permanea consistente. (DANTAS, 2011, p11). Quando a informao alterada, falsificada ou furtada, ocorre quebra da integridade. A integridade garantida quando se mantm a informao no seu formato original.

Disponibilidade A disponibilidade a garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio (NBR ISO/IEC 27002:2005). Quando a informao est indisponvel para o acesso, ou seja, quando os servidores esto inoperantes por conta de ataques e invases, considera-se um incidente de segurana da informao por quebra de disponibilidade. Mesmo as

interrupes involuntrias do sistema, ou seja, no intencionais, configuram quebra de disponibilidade.

2.2.1 SISTEMA DE GESTO DE SEGURANA DA INFORMAO

A norma ISO 27001 estabelece diretrizes e princpios gerais para se iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Essa norma possui uma seo introdutria sobre o processo de avaliao e tratamento de riscos e est dividida em onze sees especficas, que so: poltica de segurana da informao; organizao da segurana da informao; gesto de ativos; segurana em recursos humanos; segurana fsica e do ambiente; gesto das operaes e comunicaes; controle de acesso; aquisio, desenvolvimento e manuteno de sistemas de informao; gesto de incidentes de segurana da informao; gesto da continuidade do negcio, e conformidade. Essas sees

totalizam trinta e nove categorias principais de segurana, e cada categoria contm um objetivo de controle e um ou mais controles que podem ser aplicados, bem como algumas diretrizes e informaes adicionais para a sua implementao. Para Fontes e Araujo (2008), o sistema de gesto de segurana da informao o resultado da sua aplicao planejada, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como so reduzidos os riscos para a segurana da informao.

2.2.2 CLASSIFICANDO AS INFORMAES

Segundo Fontes (2008), a principal razo em classificar as informaes, de que elas no possuem o mesmo grau de confidencialidade, ou ento as pessoas podem ter interpretaes diferentes sobre o nvel de confidencialidade da informao. Para um simples operrio de uma empresa um relatrio contendo o seu balano anual pode no significar nada, j para o pessoal do financeiro e a alta direo uma

informao de suma importncia, e que deve ser bem guardada. Para poder classificar uma informao, importante saber quais as conseqncias que ela trar para a organizao caso seja divulgada, alterada ou eliminada sem autorizao. Somente atravs da interao com as pessoas diretamente responsveis pela informao da empresa ser possvel estabelecer estas conseqncias e criar graus apropriados de classificao.
Antes de se iniciar o processo de classificao, necessrio conhecer o processo de negcio da organizao, compreender as atividades realizadas e, a partir disso, iniciar as respectivas classificaes. As informaes podem ser classificadas em informaes pblicas, quando no necessita de sigilo algum; informaes internas, quando o acesso externo as informaes deve, ser negado; e informaes confidencias, as informaes devem ser confidencias dentro da empresa e protegida contra tentativas de acesso externo. (Freitas e Araujo, 2008)

2.2.3 ATIVOS

A definio clssica que o ativo compreende ao conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito mais amplo tem sido adotado para se referir ao ativo como tudo aquilo que possui valor para a empresa. (DANTAS, 2011, p.21). A informao ocupa um papel de destaque no ambiente das organizaes empresariais, e tambm adquire um potencial de valorizao para as empresas e para as pessoas, passando a ser considerado o seu principal ativo.

2.2.4 AMEAA

Segundo Campos (2007), a ameaa pode ser considerada um agente externo ao ativo de informao, pois se aproveita de suas vulnerabilidades para quebrar a os princpios bsicos da informao, a confidencialidade, integridade ou disponibilidade. Atualmente, o mundo dos negcios apresenta-se bastante competitivo, onde as empresas devem estar sempre atentas para as ameaas aos negcios corporativos, que, se concretizadas podero causar grandes perdas, e conseqentemente encerrar suas atividades para sempre.

As ameaas podem ser, naturais: so aquelas que se originam de fenmenos da natureza; involuntrias: so as que resultam de aes desprovidas de inteno para causar algum dano e intencionais: so aquelas deliberadas, que objetivam causar danos, tais como hackers. (DANTAS, 2011)

2.2.5 VULNERABILIDADE

A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. Segundo Campos (2007), vulnerabilidade so as fraquezas presentes nos ativos, que podem ser exploradas, seja ela intencionalmente ou no, resultando assim na quebra de um ou mais princpios da segurana da informao. Ao ter sido identificado as vulnerabilidades ou os pontos fracos, ser possvel dimensionar os ricos aos quais o ambiente esta exposto e assim definir medidas de segurana apropriada para sua correo.
As vulnerabilidades podem advir de vrios aspectos: instalaes fsicas desprotegida contra incndios, inundaes, e desastres naturais; material inadequado empregado nas construes; ausncia de poltica de segurana para RH; funcionrios sem treinamento e insatisfatrio nos locais de trabalho; ausncia de procedimento de controle de acesso e utilizao de equipamentos por pessoal contratado; equipamento obsoletos, sem manuteno e sem restries para sua utilizao; software sem patch de atualizao e sem licena de funcionamento, etc. ( DANTAS, 2001, p.25-26)

2.2.6 RISCO

Com relao a segurana, os riscos so compreendidos como condies que criam ou aumentam o potencial de danos e perdas. medido pela possibilidade de um evento vir a acontecer e produzir perdas. (DANTAS, 2001). Para evitar possveis perdas de informaes, que dependendo do seu grau de sigilo, poder levar a empresa falncia, necessria a elaborao de uma gesto de risco, onde os riscos so

determinados e classificados, sendo depois especificado um conjunto equilibrado de medidas de segurana que permitir reduzir ou eliminar os riscos a que a Empresa se encontra sujeita. A norma NBR ISO 27002(2005) nos oferece uma mtrica, em que o risco pode ser calculado pela seguinte formula: RISCO = (Ameaa) x (Vulnerabilidade) x (Valor do Risco)

cada vez mais importante para uma organizao, mesmo em sua fase inicial, formalizar um documento com a sua anlise de risco, o que prov alta administrao um indicador sobre o futuro da prpria empresa, em que sero relacionados os ativos que sero protegidos com investimentos adequados ao seu valor ao seu risco (LAUREANO, 2005).

2.2.7 BAKUP

A ISO/IEC 27002 (2005) recomenda que backup dos sistemas seja armazenado em outro local, o mais longe possvel do ambiente atual, como em outro prdio. Um dos maiores erros cometidos em questo de segurana de backup, foi o atentado de 11 de setembro, onde foram derrubadas as torres gmeas nos EUA, onde empresas localizadas na torre A tinham backups na torre B, e empresas da torre B tinham backup na torre A, depois da queda das duas torres, varias empresas simplesmente sumiram, deixando de existir, um erro que poderia ser controlado caso o backup estivesse localizado em outro lado da cidade. evidente que o procedimento de backup um dos recursos mais efetivos para assegurar a continuidade das operaes em caso de paralisao na ocorrncia de um sinistro. (FFREITAS E ARAUJO, 2008, p. 133)

2.2. 8 SEGURANA FSICA

O objetivo prevenir o acesso fsico no autorizado. Convm que sejam utilizados permetros de segurana para proteger as reas que contenham informaes e instalaes de processamento da informao, segundo a ISO/IEC 27002:2005(2005). Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de processamento da informao, tais como, leitores

biomtricos, portas de acesso com cartes magnticos, portes eltricos, colocando vigias em local de acesso restrito. Controlar o acesso de quem entra e sai das instalaes um aspecto importante na segurana fsica. No basta ter um guarda na entrada identificando os visitantes. fundamental ter a certeza, por exemplo, de que os visitantes no levem materiais ou equipamentos da empresa.
Apesar de todos os cuidados em se definir os permetros de segurana, essa ao no produzira resultados positivos se os colaboradores no estiverem sintonizados com a cultura de segurana da informao. Essa cultura deve estar pulverizada em toda a organizao e especialmente consolidada dentro das reas crticas de segurana. A informao pertinente ao trabalho dentro dessas reas deve estar restrita a prpria rea e somente durante a execuo das atividades em que ela se torna necessria. Essas atividades sempre devero ser realizadas sob superviso para garantir a segurana. Quando houver atividade, essas reas devem permanecer fechadas de forma validvel, como, por exemplo, atravs do uso de lacres de segurana, e supervisionadas regularmente (Campos, 2077, p.169).

A NBR ISO/IEC 27002 (2005) recomenda que seja feito um projeto para a implementao de reas de segurana com salas fechadas e com vrios ambientes seguros de ameaas como fogo, vazamento de gua, poeira, fumaa, vibraes, desastres naturais, e manifestaes. Os locais escolhidos para a instalao dos equipamentos devem estar em boas condies de uso, com boas instalaes eltricas, sadas de emergncia, alarme contra incndio, devem conter extintores de incndios, entre outros aspectos que devem ser levados em considerao.

2.3 POLITCAS DE SEGURANA DA INFORMAO

Para Dantas (2001), pode-se definir a poltica de segurana como um documento que estabelece princpios, valores, compromissos, requisitos, orientaes e

responsabilidades sobre o que deve ser feito par alcanar um padro desejvel de proteo para as informaes. Ela basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e o

pilar da eficcia da segurana da informao. Sem regras pr-estabelecidas, ela tornase inconsistentes e vulnerabilidades podem surgir. A poltica tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrncia de incidentes que provoquem, por, exemplo a indisponibilidade do servio, furto ou at mesmo a perda de informaes. As polticas de segurana geralmente so construdas a partir das necessidades do negcio e eventualmente aperfeioadas pele experincia do gestor. O intervalo mdio utilizado para a reviso da poltica de seis meses ou um ano, porem deve ser realizada uma reviso sempre que forem identificados fatos novos, no previstos na verso atual que possam ter impacto na segurana das informaes da organizao. (FREITAS e ARAUJO, 2008). Segundo a NBR ISSO/IEC27002(2005), recomendado que a poltica de segurana da informao seja revisada periodicamente e de forma planejada ou quando ocorrerem mudanas significativas, para assegurar a sua continua pertinncia, adequao e eficcia. Atualmente, a PSI adotada em grande parte das organizaes em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda no tem uma poltica efetiva, reconhecem a necessidade de elaborar e implementar uma. (CAMPOS, 2007, P. 131). A poltica de segurana da informao deve estabelecer como ser efetuado o acesso as informaes de todas as formas possveis, seja ela internamente ou externamente, e quais os tipos de mdias podero transportar e ter acesso a esta informao. A poltica deve especificar os mecanismos atravs dos quais estes requisitos podem ser alocados.

2.3.1 ELABORANDO A POLTICA

Para Ferreira e Araujo (2008), deve-se formar um comit de segurana da informao, constitudo por profissionais de diversos departamentos, como informtica, jurdico, engenharia, infra-estrutura, recursos humanos e outro que for necessrio. O

comit ser responsvel por divulgar e estabelecer os procedimentos de segurana, se reunindo periodicamente, ou a qualquer momento conforme requerido pelas circunstancias, com o objetivo de manter a se segurana em todas as reas da organizao. Convm que a poltica de segurana da informao tenha um gestor que tenha responsabilidade de gesto aprovada para desenvolvimento, anlise crtica e avaliao da poltica de segurana da informao.( ISSO/IEC 27002:2005, 2005. P. 9)

2.3.2 IMPLEMENTANDO A POLTICA DE SEGURANA

Para que a cultura da empresa seja mudada em relao segurana da informao, fundamental que os funcionrios estejam preparados para a mudana, por meio de avisos, palestras de conscientizao, elaborao de guias rpidos de consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A poltica deve ser escrita de forma clara, no gerando qualquer dvida entre os usurios. Todos os funcionrios da organizao, incluindo aqueles que so tercirios e prestadores de servio, devero receber um treinamento adequado para que se adqem as mudanas. De acordo com a NBR ISSO IEC 27002 (2005) os usurios devem estar clientes das ameaas e das vulnerabilidades de segurana da informao e estejam equipados para apoiar a poltica de segurana da informao da organizao durante a execuo normal do trabalho. A poltica de segurana deve contar com o apoio e comprometimento da alta direo da organizao, pois fundamental para que a poltica de Segurana seja efetiva, sem a presena deste apoio, iniciar qualquer ao neste sentido algo invivel

3. CONSIDERAOES FINAIS
No cenrio atual, em que as empresas dependem cada vez mais da tecnologia e da informao, vital garantir a segurana adequada deste ativo, considerado estratgico em sua misso de prestar servios de qualidade. A soluo mais adequada

 o estabelecimento de um conjunto de normas e regras que regulem a utilizao dos sistemas das empresas, assim como o acesso a redes sociais e e-mails pessoais. As empresas necessitam aliar essa poltica de segurana da informao ao contrato de trabalho dos colaboradores. Todo processo de segurana comea no recrutamento. Tambm importante lembrar que os trabalhadores devem estar cientes do monitoramento das informaes. Com base nos princpios da Poltica de Segurana da Informao, foi possvel avaliar o segmento dos paradigmas bsicos em sua composio: a integridade, como sendo condio na qual a informao ou os recursos da informao so protegidos contra modificaes no autorizadas, a confidencialidade, visando a propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao prvia do seu dono e a disponibilidade, caracterstica essa que se relaciona diretamente a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades a qualquer hora.

REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISSO/IEC 27002:2005 tecnologia da informao - tcnicas de segurana - cdigo de pratica para gesto da informao. Rio de janeiro: 2005, Disponvel em: http://search.4shared.com/postDownload/M0vePGU6/ISO-IEC_27002-2005.html>, Acessado em 02 de novembro de 20012

CAMPOS, A. SISTEMAS DE SEGURANA DA INFORMAO. 2 ed. Florianopolis: Visual Books, 2007.

COURY, RICARDO. Informao poder. Disponvel em <HTTP//www.timester.om.br/entrevista/artigos/main_artigo.asp?Codigo=424>>, Acessado em 28 de outubro de 2012

DANTAS, M. SEGURANA DA INFORMAO: UMA ABORDAGEM FOCADA EM GESTO DE RISCOS. 1 ed. Olinda: Livro rpido, 2011

FONTES, E. PRATICANDO A SEGURANA DA IONFORMAO. Rio de Janeiro: Brasport, 2008

FREITAS,F;ARAUJO, M. POLITICAS DE SEGURANA DA INFORMAO: Guia pratico para elaborao e implementao. 2ed. Rio de Janeiro: Cincia Moderna LTDA, 2008

NETTO, A; SILVEIRA, M. GESTO DE SEGURANA DA INFORMAO: FATOS QUE INFLUENCIAM SUA ADOO EM PEQUENAS E MDIAS EMPREAS. Disponvel em <http://dialnet.unirioja.es/descarga/articulo/2734365.pdf> Acessado em 07 de Novembro de 2012.