Your SlideShare is downloading. ×
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES

18,757
views

Published on

Pre-print sobre a segurança da informação nas organizações, para a disciplina de Documentação Empresarial, da Faculdade de Comunicação e Biblioteconomia da UFG.

Pre-print sobre a segurança da informação nas organizações, para a disciplina de Documentação Empresarial, da Faculdade de Comunicação e Biblioteconomia da UFG.

Published in: Business

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
18,757
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
509
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES (Pre-print) Carla Lopes Ferreira * Resumo Atualmente, em todas as áreas a informação virou objeto de grande valor e consumo. Esse valor varia conforme a importância da informação e do uso que ela terá, mas é fato que hoje em dia, há mercados que só se sustentam através do bom uso de determinadas informações, fontes qualificadas, dependendo do que elas proporcionarão à empresa de retorno. Para que a organização obtenha sucesso no gerenciamento de suas informações, na manutenção das mesmas, faz-se necessário que elas sejam mantidas em local seguro, baseadas em padrões de qualidade e políticas próprias, devem fazer parte dos princípios de integridade, confidencialidade e disponibilidade. O objetivo deste artigo é demonstrar a importância do uso e implantação de estratégias de Segurança da Informação numa organização, pensando que isso possibilitará à mesma que se evite erros graves no futuro e que ameaças prejudiquem a organização, por falta de uma Política de Segurança da Informação institucionalizada e avaliada. Num primeiro momento será apresentado um histórico da Segurança da Informação, para que se introduza à conceituação da mesma. Logo depois serão apresentados aspectos de Política de Segurança, e exemplos de organizações que criaram e utilizam a sua própria, para logo em seguida falar sobre as normas de Segurança da Informação. Palavras-chave: Segurança da Informação. Políticas de Segurança. Sistemas de Segurança. Informação. *Graduanda do curso de Biblioteconomia da Faculdade de Comunicação e Biblioteconomia da Universidade Federal de Goiás. 1
  • 2. INTRODUÇÃO A necessidade de implantação de serviços e medidas de segurança da informação vem crescendo nos últimos anos e se torna cada vez mais comum discutir em qualquer ambiente (social, profissional, organizacional, acadêmico), estratégias que previnam incidentes quanto à perca de informação e do uso desta para saciar uma necessidade humana. Especialmente nas organizações, a informação virou objeto de grande valor e consumo. Esse valor varia conforme a importância da informação e do uso que ela terá, mas é fato que hoje em dia, há mercados que só se sustentam através do bom uso de determinadas informações, fontes qualificadas, dependendo do que elas proporcionarão à empresa de retorno. Muitas vezes, o próprio negócio das empresas e principal alimento do mercado competitivo são determinadas informações, o que torna necessário falar de tratamento, armazenamento e processamento dessas informações. Pensando no objetivo de se implantar estratégias de segurança da informação nas organizações, o presente artigo traz o histórico, importantes conceitos, normalização, política de segurança e exemplos da segurança de informação, afim de demonstrar a importância do uso desse serviço nas organizações para prevenção de capital e futuros prejuízos por parte de dano/perda nas informações valiosas de uma organização. HISTÓRIA DA SEGURANÇA DA INFORMAÇÃO Desde o início da vida humana, pode-se dizer que sempre houve a preocupação com as informações e com o conhecimento que são passados por elas, sejam elas com os diversos objetivos e contextos. Antes de Cristo, o homem utilizava técnicas para deixar registros nas cavernas, logo depois foram se criando formas de escritas e representação das ideias para fins diversos, mas principalmente com o objetivo de transportar uma informação e registrá-la (escrita cuneiforme; hieróglifos egípcios, entre outros). Em 1200 a.C. ocorre a Guerra de Tróia, na qual vários soldados estavam escondidos dentro de um cavalo que fora presenteado aos troianos, sendo que eles não sabiam que seriam atacados quando estivessem dormindo pelos gregos. Por volta de 490 a.C., conta-se que o soldado ateniense Fidípides correu até Maratona, cidade localizada a 42 km de distância para comunicar ao povo que o seu exército comandado por Milcíades havia derrotado as tropas persas de Dario. Em 23 a.C. aproximadamente fora criado o Correio Romano, uma carruagem 2
  • 3. para transportar informações. No ano 640 é destruída a Biblioteca de Alexandria, construída por Ptolomeu Filadelfo no início do terceiro século a.C. para reunir os livros do mundo todo e destruída mais de mil anos depois. Em 1455, Gutenberg cria a técnica de impressão, utilizando a Bíblia para reprodução, e o seu principal objetivo era a impressão em massa, o que modificaria a cultura para sempre. A partir disso, várias máquinas e técnicas foram criadas com o objetivo de facilitar a comunicação entre os seres: calculadora mecânica de Pascal em 1642; cilindro criptográfico usado na Guerra da secessão – EUA em 1863; invenção do telefone em 1876; máquina de criptografia com teclado de Hebern – 1917; ENIAC, primeiro computador criado pelo exército americano – 1946; IBM lança o Mainframe S/390, primeiro computador multitarefa comercial; 1980 – começo da popularização dos computadores pessoais; 1984 – Criada a ISSA – Information Systems Security Association, primeira associação para profissionais de segurança de sistemas; 1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador; 1995 – urnas eletrônicas oferece liderança tecnológica na área ao Brasil; 1997 - Receita Federal começa a receber declarações de Imposto de Renda pela Internet (em 97 foram recebidas 470.000 declarações pela web, como afirma SANTOS (2008)); 1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos estimados em US$ 80 milhões (Ibidem); ataques de vírus e crackers em sites importantes tem sido uma constante nos últimos tempos. Através de órgãos e instituições publicas foram criadas normas específicas para a padronização do sistema de informações em geral e juntamente com elas surgiram aplicações de legislações que levam em consideração conceitos e modelos de segurança. FUNDAMENTOS EM SEGURANÇA DA INFORMAÇÃO Como afirma BARROS (2005), escândalos recentes provenientes de alterações de informações das empresas forçaram a criação de leis e normas que trazem às empresas motivações adicionais para o tratamento do problema de segurança dessas informações. Na maioria das vezes em que ocorrem as perdas de informações ou dano das mesmas, as empresas não possuem um departamento/área específica para lidar com a segurança das informações e muitos menos um profissional para isso, por isso, muitas vezes sofrem enormes prejuízos, o que demonstra a necessidade de estratégias de segurança da informação nas organizações, assim como sistemas de informações que ofereçam esse tipo de segurança, 3
  • 4. dependendo do tipo e objetivo da informação. Assim, este tópico objetiva demonstrar princípios, conceitos, política de segurança da informação e normalização. O que é Segurança da Informação? A Segurança da Informação se constitui de medidas que controlam e tratam informações, criam e sistematizam sistemas e políticas de segurança de informações, tornando-as acessíveis às pessoas autorizadas, protegendo-as de ataques diversos, espionagem, falhas, erros de armazenagem, entre outros. Os sistemas informatizados possibilitam diversas utilidades, assim como a internet, as redes sociais e o compartilhamento de arquivos de qualquer parte para qualquer lugar, contudo, o amplo uso desses serviços no mundo, faz com que determinadas informações se tornem vulneráveis e precisem de certa segurança para circular numa rede e estar disponível para alguém. Informações são ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente. A Segurança da Informação em qualquer organização possibilita que informações valiosas sejam protegidas, evitando possíveis erros e prejuízos diversos, o que causaria uma perda grande de capital da empresa, dependendo da informação. As informações podem ser de diversos conteúdos e suportes: papel, audiovisual, áudio, vídeo, digitais, online, oral etc. A maioria das organizações não dispõe de um setor específico para segurança das informações em sua estrutura, apesar de ser extremamente necessário, o que faz com que ocorram erros e perdas, fazendo com que a empresa crie e sistematize esse tipo de serviço depois que prejuízos já tenham acontecido. Princípios da Segurança de Informação O tratamento e a manutenção das informações devem ser minuciosos, pois a implantação de um sistema de segurança da informação numa organização, ou mesmo a criação e sistematização de um setor dentro da empresa que seja responsável por essa área pode evitar que problemas ocorram, tais como: vulnerabilidade, ameaças, riscos de 4
  • 5. perda/dano, interferência no mercado competitivo, vazamento de informação confidencial, mal uso entre outros. Os elementos principais de uma informação segura são: Confidencialidade: garantir que as informações sejam disponibilizadas para as pessoas certas e autorizadas, e impedir que esse acesso chegue à outros; Integridade: garantir que a informação não sofra alteração que danifique-a; sem duplicação, inserção indevida, modificação, sem reordenação ou repetições. Disponibilidade: garantir o acesso à informação adequada às pessoas autorizadas, cuidando para que estejam disponíveis quando preciso, em qualquer momento e lugar. Requisitos de Segurança A Norma ISO/IEC 17799 (2000) traz três requisitos de segurança, sendo eles: 1. É derivada da avaliação dos riscos contra a organização. Através da avaliação de riscos as ameaças aos ativos são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado. 2. Exigências legais, estatutárias, regulamentadoras e contratuais que uma organização, seus parceiros comerciais, empreiteiros e fornecedores de serviços precisam atender. 3. Conjunto específico de princípios, objetivos e requisitos para processamento de informações que uma organização desenvolveu para dar suporte a suas operações. Principais Ameaças Há diversas ameaças suscetíveis quando uma organização não dispõe de um setor específico para segurança da informação em sua estrutura e para sua sistematização e execução ainda não possui suas próprias políticas e diretrizes de segurança. Destacam-se aqui, algumas possíveis ameaças: Naturais: incêndios, enchentes, blecautes; Organizacionais: erros, fraudes, circulação/mudança constante de pessoas; falha na estrutura, falta de pessoal qualificado para liderar com a segurança das informações, ausência de política e diretrizes próprias; 5
  • 6. Tecnológicos: “bugs”, ataques, invasões, equipamentos obsoletos para tratamento das informações, desatualização do suporte no qual as informações se encontram, falta de pessoal qualificado no uso das novas tecnologias; Sociais: greve, ausência de líderes no setor, detrimento de informações valiosas com uma pessoa ou poucas (sem preocupação de saída da organização da pessoa, falecimento, espionagem etc); Jurídicas: perda/desaparecimento de informações valiosas, ocasionando processos, prejuízos no capital da organização e má reputação. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Levando em conta as diversas ameaças e riscos das informações na organização, é de extrema importância que haja uma política de segurança estruturada e que seja a base para que o sistema de segurança funcione continuamente. Entretanto, criar um política de segurança da informação não é tão fácil e para que a mesma funcione adequadamente, diversos fatores decisivos tem que estar de acordo: a estrutura organizacional; as normas, regulamentos da empresa; a forma de monitoria, avaliação e controle da segurança da informação; os sistemas tecnológicos utilizados e a colaboração de todo pessoal da organização, principalmente os líderes de cada setor, além disso, uma política tem que ser construída com base na missão, objetivos e valores da organização. Segundo uma pesquisa SMICALUK et al (200?), com 17 funcionários de multinacionais, abrangendo o assunto políticas de segurança, 94% sabe o que é e 88% conhecem a política da organização da qual trabalham. Estes dados demonstram que atualmente, muitas empresas já criaram sua própria política de segurança e procuram divulgá- la aos funcionários de toda a organização, visto que todos devem estar cientes e treinados, já que uma política de sucesso é aquela que envolve a organização como um todo. Além deste, diversos outros estudos já vêm sendo realizados sobre esse assunto, e percebe-se na literatura modelos de políticas que dão certo e exemplos de estratégias de segurança que determinadas empresas utilizam. O documento de Políticas de Segurança 6
  • 7. O documento que institui a Política de Segurança dentro da organização deve ser aprovado pelas autoridades devidas da empresa, publicado e divulgado a todos. A Norma ISO/IEC 17799 (2000) traz as orientações básicas que deve conter numa Política de Segurança: Uma definição de segurança de informações, seus objetivos gerais e escopo e a importância da segurança como um mecanismo que possibilite o compartilhamento de informações; Uma declaração de intenção da gerência, apoiando os objetivos e princípios da segurança de informações; Uma breve explanação das políticas, princípios e padrões de segurança e das exigências a serem obedecidas que são de particular importância para a organização, por exemplo: o Obediência às exigências legislativas e contratuais; o Necessidades de educação (treinamento) para segurança; o Prevenção e detecção de vírus e outros softwares prejudiciais; o Gerenciamento da continuidade do negócio; o Conseqüências das violações da política de segurança; Uma definição das responsabilidades gerais e específicas pela gestão da segurança das informações, incluindo relatórios de incidentes de segurança; Referências a documentos que podem apoiar a política (políticas de segurança mais detalhadas e procedimentos para sistemas de informação específicos ou regras de segurança que os usuários devem obedecer). Revisão, avaliação e reestruturação A Política de Segurança deve ser frequentemente revisada e avaliada. Quaisquer mudanças, avanços e novidades no ambiente interno e externo da organização irão afetar indireta ou diretamente a atuação a Política da empresa. É importante que haja pessoas encarregadas dessas tarefas para que, caso necessário, sejam feitas mudanças no documento e na execução das ações possíveis. Exemplos de Políticas de Segurança 7
  • 8. Um exemplo de organização que possui uma Política criada, de acordo com leis e divulgada, é a bolsa de valores BM&FBOVESPA. A BM&FBOVESPA é uma companhia de capital brasileiro formada, em 2008, a partir da integração das operações da Bolsa de Valores de São Paulo e da Bolsa de Mercadorias & Futuros. Sua Política de segurança abrange diversos aspectos, dentre eles: estrutura normativa da segurança da informação; divulgação e acesso à estrutura normativa; aprovação e revisão; atribuições e responsabilidades na gestão de segurança da informação; comitê gestor de segurança da informação (CGSI); diretrizes de segurança da informação, dentre outras. O PRODERJ – Centro de Tecnologia da Informação e Comunicação do Estado do Rio de Janeiro –vinculado à Secretaria de Estado da Casa Civil – é o órgão gestor de Tecnologia da Informação e Comunicação (TIC) do Governo do Estado, desempenhando o papel de propor diretrizes e orientações técnicas voltadas para o estabelecimento da política de TIC no âmbito da administração pública estadual. Possui uma Política de Segurança da Informação que apresenta os seguintes aspectos: termos e definições da área de segurança e TI; normas de utilização da internet; normas de contas e senhas para usuários; normas de utilização de e- mail; normas para gestão de ativos; normas de contas e senhas para administradores e ainda traz um termo individual que o usuário declara estar ciente e concordar com a política de segurança e suas diretrizes. Órgãos governamentais também dispõem de Políticas de Segurança e, dentre eles, pode- se ressaltar o Ministério da Justiça, que instituiu sua Política através da Portaria Nº 279, de 10 de março de 2006, que estabelece a finalidade da mesma; a freqüência de revisão; os termos e definições afins; traz os princípios de segurança; conceitos e funções de segurança organizacional; controle e classificação dos ativos de informação; segurança em pessoas, dentre outros. NORMAS DE SEGURANÇA DA INFORMAÇÃO Decretos Nacionais O Decreto no 3.505, de 13 de junho de 2000 “institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal”. E trata de pressupostos gerais de Políticas de Segurança, tais como: assegurar a privacidade humana; 8
  • 9. garantir a confidencialidade de determinadas informações; conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade; objetivos de uma Política etc. O Decreto nº 4.553, de 27 de dezembro de 2002 ―dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal” e apresenta importantes conceitos e definições, tais como os princípios de segurança; classificação segundo o grau de sigilo; gestão de dados ou informações sigilosos; da disponibilização/acesso das informações; dos sistemas de informação. Normas Técnicas A ISO/IEC 17799 Tecnologia da Informação – Código de Prática para Gestão da Segurança de Informações é uma norma de Segurança da Informação revisada em 2005 pela ISO (International Standardization Organization) e pela IEC (International Electrotechnical Commission). A versão original foi publicada em 2000, que por sua vez era uma cópia do padrão britânico British Standard 7799-1, de 1999. No Brasil, a norma correspondente à ISO é a NBR ISO/IEC 17799 de 2007. A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799, das quais a primeira, ISO 2700 e, foi publicada em 2005, no Brasil, a equivalente é a NBR ISO/IEC 27001 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos, publicada em 2006. CONCLUSÃO A partir das discussões e dados apresentados, percebe-se, atualmente, o estudo e implantação de serviços e Políticas na área de Segurança da Informação. Devido à troca de informações constante entre as pessoas, e aos riscos e ameaças em que se encontram as informações de valor, a principal função de impor estratégias de Segurança Informacional numa organização é tratar essas informações de acordo com seu conteúdo, confidencialidade, autenticidade, de modo que a informação não se perca e se danifique, causando prejuízos à organização. 9
  • 10. Fica evidente, pois, que estabelecer estratégias nesse campo pode ser até decisivo para o sucesso da empresa, pois determinadas informações na nossa sociedade dispõem de valor cultural, social e financeiro, principalmente. Utilizar estratégias de Segurança da Informação, criar uma Política de Segurança e regularizá-las conforme as leis nacionais e internacionais diminui riscos e ameaças, cria uma boa reputação para a organização, auxilia a empresa no mercado competitivo, previne erros e falhas possíveis no futuro dentre outras vantagens. REFERÊNCIAS SILVA JUNIOR, João Carlos da. Segurança da informação. In: SEMANA DE INFORMÁTICA – CEUNSP, 2., 2005, São Paulo. Segurança da Informação. Disponível em: <http://www.ceunsp.edu.br/eventos/seminfo/material/joao_carlos_seguranca.pdf>. Acesso em: 19 jun. 2010. 26p. SILVA, Moisés Benigno da. A importância da gestão da segurança da informação nas instituições particulares de ensino superior do grande Recife. Disponível em: < http://www.moisesbenigno.com/Artigo_MoisesBenigno.pdf>. Acesso em: 20 jun. 2010. 14p. INTERNATIONAL STANDARDIZATION ORGANIZATION; INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO/IEC 17799: tecnologia da informação – código de prática para gestão da segurança de informações. Traduzida para o português. 2002. 93p. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: tecnologia da informação - código de prática para a gestão da segurança da informação. Rio de Janeiro, 2001. 56p. SANTOS JUNIOR, Paulo Sérgio Trocolli. Segurança em sistemas de informação. CienteFico, ano IV, v. I, Salvador, Jan-jun, 2004. Disponível em: < http://www.frb.br/ciente/Impressa/Info/I.7.Santos,PS.Seguran%C3%A7aSI.pdf>. Acesso em: 18 jun. 2010. 11p. SMICALUK, Adriana et al. Política de Segurança da Informação. Orlei José Pombeiro. [S.l.], [s.d.] Disponível em: <www.orleijp.eng.br/compSociedade.pdf>. Acesso em: 18 jun. 2010. 10
  • 11. MARCIANO, João Luiz Pereira. Segurança da Informação: uma abordagem social. 2006. 212f. Tese (Doutorado em Ciência da Informação) -Departamento de Ciência da Informação e Documentação, Universidade de Brasília, Brasília, 2006. BARROS, Augusto Quadros Paes de. Tendências do mercado de serviços de segurança da informação. 2005. Disponível em: <http://www.paesdebarros.com.br/artigo.pdf>. Acesso em: 20 jun. 2010. 6p. 11