FACULDADE DE TECNOLOGIA DE AMERICANATECNOLOGIA EM PROCESSAMENTO DE DADOSESTANALSEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,IMPL...
SEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,IMPLEMENTANDO E GERENCIANDO AS POLÍTICASDA SEGURANÇA.Erick Barban ToledoR.A.: 04135...
vez mais valorizadas e bem vistas dentro das organizações e que sem elas hoje éimpossível que o fluxo de trabalho ocorra d...
Pretende-se ao longo desta monografia demonstrar de uma formasimples, prática e embasada em literaturas sobre o assunto qu...
JUSTIFICATIVANão é aconselhável aplicar as políticas de segurança sem antes ter asrespostas as seguintes perguntas básicas...
RESUMODesde a criação da informação eletrônica, ou ainda, automatizada, aevolução da tecnologia se mostrou numa curva com ...
SUBSTRACTSince the electronic informations establishment, or automatedinformation, the technology’s evolution increased ve...
CAPÍTULOSSISTEMAS DE INFORMAÇÕESEste capítulo abordará um conceito macro sobre o que são os sistemasde informações e qual ...
de tê-las? São algumas das perguntas que esse capítulo tentará responder.CRIANDO AS POLÍTICAS DA SEGURANÇAUma vez conhecid...
SISTEMAS DE INFORMAÇÕESNas últimas décadas, as organizações passaram por um grandedesenvolvimento em todo o mundo, uma ver...
processamento, produção, armazenamento e controle, com a finalidade de converterrecursos de dados em produtos de informaçã...
a qualidade e pontualidade das informações dentro da malha empresarial”.Dentre os recursos de Tecnologia da Informação é i...
COMUNICAÇÃO DE DADOSA RFC 2828 (2002, p. 25) define Rede de Computadores como sendo“uma coleção de hosts interligados para...
revolução nos CPDs. Esse fenômeno ficou conhecido mundialmente como downsizing.”Essas redes de computadores de pequeno por...
surgimento de novos nichos de tecnologia de comunicação de dados emergentes, surgea necessidade de pensar em como protegê-...
SEGURANÇA DA INFORMAÇÃODevido ao aumento do valor agregado, as organizações passaram aapostar mais de suas fichas nas info...
tubos a vácuo tinham de ser freqüentemente substituídos. Dessa forma, exigiam grandequantidade de energia elétrica, ar con...
circuito integrado também possibilitou o desenvolvimento e uso generalizado depequenos computadores chamados minicomputado...
melhorar a qualidade e disponibilidade das informações importantes interna eexternamente à organização e agregar valor aos...
segundo estágio, controles foram instalados para minimizar aschances das ameaças causarem efeitos adversos nos serviços da...
Ainda, SÊMOLA (2002, p. 2) cita entre suas previsões para a área deTecnologia de Informação a seguinte relevância “a compl...
• “Confidencialidade: garantia de que a informação é acessível somente porpessoas autorizadas a terem acesso”;• “Integrida...
GIL (1995, p. 33) cita ser sempre importante destacar os seguintesaspectos de segurança:• “a segurança da informação é res...
informações em ambientes seguros, é a plena utilizaçãopelos usuários autorizados” . SZUBA (1998, p. 7)Complementando a idé...
mecanismo, as Políticas de Segurança.”POLÍTICAS DA SEGURANÇA – O QUE SÃO?Política de Segurança da Informação é um conceito...
de que é constituída toda a sua riqueza, lucro e potencialidade de desenvolvimentofuturo e atual. Alguns conceitos relacio...
• Quais os nossos objetivos estratégicos?• Qual o valor da nossa folha de pagamentos?Muitos são os motivos que levam uma o...
práticas para o manuseio, armazenamento, transporte e descarte das informações, sendoa Política de Segurança da Informação...
de decisões. Baseando-se em variáveis de redução decustos, prejuízos, viabilidade de aplicações e projeções, aferramenta é...
destinadas a governar a proteção a ser dada a ativos deinformação.” (Caruso, Steffen, 1991, pg 15)A compreensão da tecnolo...
• “Elaborar as normas de uso de e-mail e de uso da internet”;• “Distinguir entre informação pública e privada”;• “Gerencia...
Todo investimento em segurança pode se perder se o usuário não estiver preparado paraseguir as normas da política. De nada...
CRIANDO AS POLÍTICAS DE SEGURANÇAUma vez que identificamos a importância das políticas de segurançapara a proteção das inf...
sistemas? Entendo a forma como os recursos de informação são acessados, ficará maisfácil identificar em quem as informaçõe...
suas informações;• Ameaças: Identificar os agentes que podem vir a ameaçar a Empresa;• Impacto: Tendo identificado as vuln...
Nível de segurança bemimplementado paraalgumas situações,porém outrasextremamente fracas,vindo a prejudicaraquelas já emfu...
Ainda (Dave Ross, 2007) define contingência “como a possibilidadede um fato acontecer ou não. É uma situação de risco exis...
Em suma, o plano de contingência, ou como também é conhecido,plano de continuidade dos negócios, visa fazer com que as org...
negócios. Desta forma podemos classificar as informações através de uma questão degrau.”E além dos níveis de classificação...
Resumindo, a criação das políticas de segurança envolve muita análisee levantamento de informações essenciais para seu suc...
IMPLANTAÇÃO DAS POLÍTICAS DE SEGURANÇAPassada a difícil fase de criação das políticas, é chegada então à fasede implantaçã...
têm pela frente.” Além do mais, podemos dizer que esse comitê será o responsável porprovidenciar métodos, guias e meios pa...
Normalmente, quem é responsável pela criação, implementação e gerenciamento dosprocedimentos é o próprio custodiante da in...
interage e suas principais características, tonando o autor do procedimentomais eficaz em sua criação;Use palavras simples...
descrito nos ajuda a termos uma melhor chance se sermos bem-sucedidos com aelaboração de nossos procedimentos.Elementos de...
língua do usuário;Equipamentos necessários: Lista todos os equipamentos, ferramentas,documentos, entre outros que são nece...
“1. Como as pessoas percebem os riscos“As pessoas não entendem riscos (...) O problema não é apenas denão ter informações ...
aberta para que alguém possa entrar no prédio com mais facilidade, e passarão a suasenha ou desativarão um firewall porque...
A implantação de políticas de segurança em uma organização semostra um processo trabalhoso, e, assim como a criação dessas...
CONCLUSÃOO assunto segurança é algo fascinante, pois observamos que, damesma forma que há as ameaças à integridade, seja d...
pesquisa. Falando em pesquisas, quantos artigos, livros, sites e outros meios deinformação foram necessários ser consultad...
BIBLIOGRAFIAALVIM, Paulo. Enterprise Information Portals: integrando Aplicaçõesna Web. – Developers’. Ano 5 - n° 56. Abril...
VERGARA, Sylvia Constant. Relatório de Projetos de Pesquisa emAdministração. São Paulo: Atlas, 1999.BRASIL, Decreto-Lei n°...
LAUDON, K.C., LAUDON, J. P. Essentials of ManagementInformation Systems: transforming business and management. 3. ed., Upp...
Secinfo policies
Upcoming SlideShare
Loading in …5
×

Secinfo policies

321 views
252 views

Published on

SEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO, IMPLEMENTANDO E GERENCIANDO AS POLÍTICAS DA SEGURANÇA.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
321
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Secinfo policies

  1. 1. FACULDADE DE TECNOLOGIA DE AMERICANATECNOLOGIA EM PROCESSAMENTO DE DADOSESTANALSEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,IMPLEMENTANDO E GERENCIANDO AS POLÍTICASDA SEGURANÇA.Erick Barban Toledo
  2. 2. SEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,IMPLEMENTANDO E GERENCIANDO AS POLÍTICASDA SEGURANÇA.Erick Barban ToledoR.A.: 041350-tINTRODUÇÃOOs principais agentes de mudança nas empresas, atualmente, têm sidoa globalização e a tecnologia, que são responsáveis por inovações. A globalizaçãoaumenta o número de concorrentes, dando mais opções para o cliente e oferecendovárias oportunidades. A tecnologia faz da velocidade a base da competição, obrigandoas instituições a repensarem processos que um dia já foram eficientes. Segundo Rezende& Abreu (2001, p.59), “A ação da Tecnologia da Informação e seus recursos, semorganização antecipada, não atinge seu principal objetivo de auxiliar a empresa emtodos os seus processos e níveis de ação”.Nas últimas décadas, houve um desenvolvimento considerável dasorganizações em nível mundial, bem como das atividades econômicas. Acompetitividade crescente exige das instituições redução de custos, desenvolvimento eorganização de seus sistemas, bem como benefícios externos, como aumento deprodutividade e satisfação do usuário.Dessa forma se faz necessário repensar a segurança dessasinformações, uma vez as organizações estão sujeitas a enfrentar problemas graves comrelação à perda e roubo de dados. Sabe-se também que as informações estão sendo cada
  3. 3. vez mais valorizadas e bem vistas dentro das organizações e que sem elas hoje éimpossível que o fluxo de trabalho ocorra de forma normal e auto-sustentável.Estudos e mais estudos levaram a necessidade de se definir padrõesmundialmente aceitos e que trouxessem técnicas de como manter tais informações emum grau aceitável e seguro. No entanto, não adiantaria esses vários padrões e regras semque houvesse um bom plano de implantação nos processos existentes nas organizações.Contudo, como parte fundamental desse plano de implantação, as regras devem estarpresentes de uma forma marcante e objetiva.As regras definidas para a implantação de um plano de segurança deinformação são comumente denominadas políticas de segurança, deve-se portantoabranger a todos os envolvidos direta e indiretamente no plano de segurança dainformação.Tentar utilizar-se de métodos corretos para que as políticas desegurança sejam bem explicitadas e seguidas. Agregar os princípios fundamentais:integridade, confidencialidade, disponibilidade e confiança à informação. Fazer comque, ao invés de se promover uma aculturação, promova-se uma transculturação, quesegundo (Aurélio Séc XXI) é o processo de transformação cultural caracterizado pelainfluência de elementos de outra cultura, com a perda ou alteração dos já existentes, fazparte de todo o processo envolvido no estabelecimento de políticas de segurança.É claro, que quando se teoriza algo não há o pleno sentimento de quãocomplexo é o assunto, e com a implantação das políticas de segurança não é diferente.Mediante isso, é necessário que este processo seja disposto em partes porém com umalógica seqüencial.OBJETIVO
  4. 4. Pretende-se ao longo desta monografia demonstrar de uma formasimples, prática e embasada em literaturas sobre o assunto que devem ser seguidas coma finalidade de desenvolver as políticas de segurança de uma organização, e é claro quenão basta defini-las, sendo assim, a fase de implementação também deverá serabrangida utilizando-se da proposta de simplicidade e objetividade.É muito importante que não paremos apenas nas fases criação eimplementação. Se fizermos uma comparação simples veremos a importância de umaoutra fase desse processo: Um automóvel é projetado e colocado à disposição dosconsumidores. O que aconteceria caso o seu consumidor não desse a devidamanutenção?A resposta a esta pergunta nos mostra que precisamos também de umafase que é de extrema importância para a vitalidade das políticas e que muitas vezes setorna ignorada ou administrada com poucos esforços: a fase de manutençãodas políticas. É nessa fase que temos as melhorias e conseguimos ter um retorno decomo elas estão aceitas pelos seus envolvidos.
  5. 5. JUSTIFICATIVANão é aconselhável aplicar as políticas de segurança sem antes ter asrespostas as seguintes perguntas básicas: o que devo proteger? De quem irei proteger?Como devo proteger? Além disso, como garantir os princípios da informação quando dodesenvolvimento das políticas deve ser também tratado como base.A utilização desta literatura faz com que seu leitor consiga ter umavisão mais realista dos fatos e consiga com isso além de achar as respostas às perguntasacima, também desenvolver políticas em conformidade com os princípios garantindoassim que as informações regidas por tais políticas possam merecer a devida confiança eas pessoas envolvidas também sejam dignas da mesma confiança.Segundo BARMAN (2002, p 5), “embora as políticas não discutamcomo fazer para que aquilo que está sendo protegido funcione corretamente. Aspolíticas dizem quais as restrições e limitações devem ser postas sobre aquelescontroles que devem ser protegidos. Embora os ciclos da seleção e de desenvolvimentodo produto não sejam discutidos, as políticas ajudarão a direcionar na seleção doproduto e às melhores práticas durante o desenvolvimento. Implantar estas práticasdeve conduzir a um sistema mais seguro.”
  6. 6. RESUMODesde a criação da informação eletrônica, ou ainda, automatizada, aevolução da tecnologia se mostrou numa curva com uma ascendência impressionante,logo, não foi difícil chegar a um momento em que os computadores, responsáveis peloprocessamento das informações se difundissem para o mundo todo, chegando em umgrau em que é impossível que uma organização sobreviva sem tê-los para controlar seusprocessos e dados.Junto com eles, há os sistemas de processamento das informações, osquais são responsáveis por receber dados até então sem muita valia, e transformá-los eminformações valiosíssimas tanto para a vida de uma organização como também paraaqueles que são seus detentores, inclusive os que a detêm sem autorização.Pensando nesse valor, no desejo que criminosos possam ter em obtê-las e nas vulnerabilidades existentes nos processos, surgiu então a necessidade deproteção dessas informações, e como conseqüência a criação da área de segurança dainformação.Um dos pontos mais fascinantes dessa área são as políticas deseguranças, responsáveis então por ditar as normas de como agir para que asvulnerabilidades sejam então reduzidas e até mesmo eliminadas.Como criar, implementar e mantê-las, é o objetivo desse trabalho,mantendo um foco macro do assunto, sem entrar em muitos méritos técnicos ou aindade áreas específicas, tomando como fronteira a área dos sistemas de informação.
  7. 7. SUBSTRACTSince the electronic informations establishment, or automatedinformation, the technology’s evolution increased very fast, then, it was not difficult toarrive at a time that the computers, the responsible for the information processment, isbroadcast to the world, reaching at a level where it is impossible for organizationssurvive without them to check their files an data.Along with the computers, there are the information processingssystems, wich are responsible for receiving data so far without much added value, anafter turn them into valuable information both for the continuation of an organization aseither for those who are holders, including that the holding without permission.Thinking that amount, in the hope that criminals may have to get theinformation and vulnerabilities in the processes, it arose the need to protect thisinformation, and as a consequence the creation of the information security area.One of the most fascinating attribute of the information security areaare security policies. They are responsible for dictating the rules to act to reducevulnerabilities and even eliminate them.How to create, deploy and keep them, is the purpose of this work,maintaining a macro focus of the subject, without going into many technical merits oron specific areas, taking as border the area of information systems.
  8. 8. CAPÍTULOSSISTEMAS DE INFORMAÇÕESEste capítulo abordará um conceito macro sobre o que são os sistemasde informações e qual a importância que eles possuem para o bom desempenho dasorganizações diante dosCOMUNICAÇÃO DE DADOSApós o advento das redes de computadores, hoje em dia épraticamente impossível a sobrevivência de um computador sem estar conectado aoutros. Tudo que se fala em termos de Tecnologia da Informação engloba acomunicação entre as estações sejam de trabalho ou servidoras. A proposta dessecapítulo é uma demonstração de como é feita a comunicação dos dados espalhados emvárias partes inclusive do mundo, mostrando como eles podem interagir entre si.SEGURANÇA DA INFORMAÇÃONão é novidade que toda tecnologia traga os dois lados à tona, o bome o mal. Para combater o lado escuro, a Tecnologia da Informação necessitou tertambém uma área que respaldasse os dados que seriam gerados e administrados por ela.Essa área é a segurança da informação, e esse capítulo mostrará no que consiste asegurança da informação, através de uma visão geral do assunto.POLÍTICAS DA SEGURANÇA – O QUE SÃO?Este capítulo procurará mostrar uma área específica da segurança dainformação, as políticas da segurança. O que são? Para que servem? Qual a importância
  9. 9. de tê-las? São algumas das perguntas que esse capítulo tentará responder.CRIANDO AS POLÍTICAS DA SEGURANÇAUma vez conhecidas as políticas da segurança, chegou a hora depassar da teoria à prática. Esse capítulo abordará os primeiros passos, mostrando comodesenvolver as políticas, o que é necessário para que isso seja possível?IMPLANTAÇÃO E GERENCIAMENTO DAS POLÍTICAS DA SEGURANÇADepois que as políticas são criadas, vem a fase mais crítica e queprovavelmente decidirá o sucesso da implantação das práticas de segurança dainformação na organização. Essa fase é a fase de implantação das políticas. Como fazerpara que a implantação ocorra com sucesso? Quem deve estar incluído nessa fase? Sãoperguntas abordadas nesse capítulo. E depois de implantadas, as políticas não poderãoser deixadas de lado como se conseguissem sobreviver por si próprias. Há a necessidadede que elas sejam sempre revistas, ajustadas e aperfeiçoadas a fim de que todo otrabalho de análise e implementação não seja desperdiçado. No capítulo em referência,será abordado como podemos manter e gerenciar as políticas da segurança.
  10. 10. SISTEMAS DE INFORMAÇÕESNas últimas décadas, as organizações passaram por um grandedesenvolvimento em todo o mundo, uma verdadeira revolução tecnológica tem sidovista. Com a globalização e a competitividade crescente, as empresas passaram a tercomo meta a maximização de seus resultados e a redução de seus custos, sendo dessaforma necessário organizar de maneira mais eficiente suas informações.“Enquanto as organizações dependem cada vez mais dossistemas de informação computadorizados, a construção,o uso, a gerência e a manutenção desses sistemas tornam-se essenciais ao bem-estar ou à sobrevivência uniforme demuitas organizações.” Segundo Naqvi (2004, p. 79)Falando em sistemas de informação, Laudon & Laudon (1999, p. 4),nos dá uma idéia do fluxo e do mecanismo por trás dessa tecnologia e classifica-os daseguinte forma “Um sistema de informação consiste em três atividades básicas –entrada, processamento e saída que transformam dados originais em informação útil”.É bem percebido com isso que a busca das organizações nos efetivosmeios de armazenamento de dados tem sido cada vez maior, uma vez que esses dadostendem a gerar informações cada vez mais valiosas para elas.É digno de nota também que embora os sistemas de informaçãotenham surgido com a principal finalidade de automatizar tarefas e processos, tantoLaudon & Laudon (1999, p.5) como O’ Brien (2002, p.20) expressam que “Sistemas deInformação são compostos por um conjunto de cinco componentes: recursos humanos,hardware, software, dados e redes, que executam atividades de entrada,
  11. 11. processamento, produção, armazenamento e controle, com a finalidade de converterrecursos de dados em produtos de informação”.Dessa forma o que se vê é a necessidade da interação humana paraque as informações geradas por esses sistemas possam ter as devidas consistências paraas finalidades cuja elas são determinadas. Além disso, a informação só é importantepara as organizações se existir alguém que a utilize, sendo inútil efetuar gastos com oplanejamento e implementação de Sistema de Informação se não forem utilizadas pelogestor e/ou as informações disponíveis não possibilitem tomada de decisões. Com talpropósito, observa-se que Gates (2000, p.32) entende que, para fazer a informaçãofuncionar “As pessoas da empresa precisam ter acesso fácil às informações”. Portanto,para que um Sistema de Informação seja implementado nas organizações, “é importanterespeitar a cultura organizacional adotada pelas empresas, além de levar emconsideração que a flexibilidade do acesso depende e muito das formas como essainformação ficará disponível a seus utilizadores.”Os Sistemas de Informação computadorizados desempenham papelextremamente importante para as organizações e seus negócios, devendo-se ressaltarque, para atingir os resultados esperados esses dependem muito da tecnologia dainformação utilizada pelas organizações. Para O’ Brien (2002, p.8), é importanteperceber “que a Tecnologia da Informação e os Sistemas de Informação podem ser maladministrados, mal aplicados, de forma que criam fracasso tecnológico e também,comercial.”Ainda Rezende & Abreu (2001, p. 76) definem Tecnologia daInformação “Como recursos tecnológicos e computacionais para a geração e uso dainformação”, enquanto Foina (2001, p.31) entende que Tecnologia da Informação é“Um conjunto de métodos e ferramentas, mecanizadas ou não, que se propõe a garantir
  12. 12. a qualidade e pontualidade das informações dentro da malha empresarial”.Dentre os recursos de Tecnologia da Informação é importantedestacar:• O hardware, que compreende todos os equipamentos computacionais, decomputadores a equipamentos de segurança ou mesmo de conexão de rede;• O software, que são todos programas e que vão desde o Sistema Operacionalaté as ferramentas de produtividade, ou mesmo ferramentas de Banco de Dados;• A rede, que compreende toda estrutura de interligação entre computadores eequipamentos, como gerenciadores e concentradores de rede, bem como suaprópria arquitetura;• O dado, que Laudon & Laudon (2001, p.4) definem como sendo “Sucessões defatos brutos que representam eventos que acontecem em organizações ou noambiente físico antes de serem organizados e arrumados de uma forma que aspessoas podem entender e usar”.• Ainda, STAIR (1998, p. 20) destaca que “na sociedade atual, os sistemas deinformação tem um papel importante nos negócios e na sociedade atual, e quesistemas eficazes podem ter um impacto enorme na estratégia corporativa e nosucesso organizacional das empresas” .• Finalizando, O’BRIEN (2001, p. 13) cita que “atualmente a tecnologia dainformação pode apoiar a globalização da empresa por possibilitar asoperações mundiais das empresas e as alianças entre empreendimentos globaisinterconectados” .
  13. 13. COMUNICAÇÃO DE DADOSA RFC 2828 (2002, p. 25) define Rede de Computadores como sendo“uma coleção de hosts interligados para troca de dados” . Host é definido pela mesmaRFC 2828 (2002, p. 49) como sendo “um computador ligado a uma rede decomunicação que possa usar os serviços providos pela rede para trocar dados comoutros sistemas interligados” . A definição de rede de computadores é utilizada parasistemas de todos os tamanhos e tipos, indo desde a complexa internet até a um simplescomputador pessoal interligado remotamente como um terminal de outro computador.Igualmente, TANENBAUM (1997, p. 02) define Rede deComputadores como “um conjunto de computadores autônomos, interconectados,sendo capazes de trocar informações. Essa interconexão pode ser feita através de fiosde cobre, lasers, microondas, satélites de comunicação e também por fibras óticas” .As Redes de Computadores possuem inúmeros objetivos.TANEMBAUM (1997, p. 05) define os seguintes objetivos da interconexão decomputadores:“Compartilhar recursos: todos os programas, dados e equipamentosda rede devem estar disponíveis a todos os usuários, independentemente de sualocalização física. Como exemplo de compartilhamento, pode-se citar a utilização deuma impressora por vários usuários;Economia: a substituição gradativa dos antigos mainframes para asredes de computadores de pequeno porte significou uma redução muito grande noscustos de manutenção dos sistemas de informação, possibilitando uma verdadeira
  14. 14. revolução nos CPDs. Esse fenômeno ficou conhecido mundialmente como downsizing.”Essas redes de computadores de pequeno porte possibilitam um aumento da capacidadede processamento à medida que a demanda cresce, ao contrário dos grandesmainframes, onde a sobrecarga só poderia ser solucionada com a substituição do mesmopor um mainframe de maior capacidade, a um custo geralmente muito elevado;Ainda, segundo TANEMBAUM (1997, p. 05): “meios decomunicação: as redes de computadores também são um poderoso meio decomunicação entre pessoas, possibilitando inclusive o trabalho em conjunto mesmoestando a quilômetros de distância.”Segundo Torres (2001, p. 4) “É praticamente impossível hoje em dianão pensar em redes quando o assunto é informática. Basta lembrar uq egrande partedas pessoas compra computadores hoje para ter acesso à maior das redes existentes –a Internet.”Mas quais as maiores vantagens de uma rede de computadores? Torres(2001, p.5) ainda conclui “Além da facilidade de se trocar dados – seja como arquivosou informações -, há ainda a vantagem de se compartilhar periféricos”, conformevimos acima.”Ainda Torres (2001, p.5) cita: “Quando falamos em troca de dados,essa troca não está relacionada somente com arquivos, mas de qualquer dado geradono computador, podemos citar como exemplos, sites de comércio eletrônico na Internet,agendas corporativas e o próprio correio eletrônico como meios de comunicação dedados.”Com a facilidade da troca de dados entre vários computadores e o
  15. 15. surgimento de novos nichos de tecnologia de comunicação de dados emergentes, surgea necessidade de pensar em como protegê-los, de que forma aplicar a segurança nasinformações.
  16. 16. SEGURANÇA DA INFORMAÇÃODevido ao aumento do valor agregado, as organizações passaram aapostar mais de suas fichas nas informações e tecnologias, afinal como já visto, todo oprocesso de uma organização atualmente é automatizado e digitalizado, estando eles amercê da disponibilidade e confiabilidade da informação que trabalham.Agregado a esse pensamento, Gonçalves (2005, p.1) diz “Desde osprimórdios da humanidade sempre foi possível perceber uma constante preocupaçãocom as informações e com o conhecimento que geram. No Egito antigo por exemplo,somente as castas dominantes tinham acesso à escrita e à leitura, visto a complexidadee o seu valor agregado.”A revolução tecnologia e o mundo globalizado permitiu então quehouvesse um grande aumento na capacidade tanto de processamento quanto dedistribuição das informações geradas. Porém, como bem sabemos, aliado a esse boomda informação que é muito benéfico para as pessoas e organizações atualmente, surgiutambém um lado não tão bom que é a permissão de que pessoas tivessem capacidade emaior facilidade de acesso a informações sigilosas.No ínterim, definimos que a evolução da tecnologia da informação fezcom que houvesse a necessidade do surgimento da segurança da informação, e estaevolução é descrita da seguinte forma segundo O’BRIEN (2001, p. 43), e resumidacomo a seguir:“Primeira geração: envolvia computadores enormes utilizandocentenas ou milhares de tubos a vácuo para os seus circuitos de processamento ememória. Esses enormes computadores geravam enormes quantidades de calor e seus
  17. 17. tubos a vácuo tinham de ser freqüentemente substituídos. Dessa forma, exigiam grandequantidade de energia elétrica, ar condicionado e manutenção. Os computadores deprimeira geração possuíam memórias principais de apenas alguns milhares decaracteres e velocidades de processamento de milissegundos. Utilizavam tamboresmagnéticos ou fitas para armazenamento secundário e cartões ou fita de papelperfurado como mídia de entrada e saída.Segunda geração: utilizava transistores e outros dispositivos semicondutores sólidos que eram cabeados a painéis de circuitos nos computadores. Oscircuitos transistorizados eram muito menores e muito mais confiáveis, geravam poucocalor, eram mais baratos e exigiam menos energia elétrica que os tubos a vácuo. Eramutilizados minúsculos núcleos magnéticos para a memória do computador ou paraarmazenamento interno. Muitos computadores de segunda geração tinham capacidadesde memória principal de menos de 100 kilobytes e velocidades de processamento emmicrossegundos. Pacotes de disco magnético removível foram introduzidos e a fitamagnética surgiu como principal meio de entrada, saída e armazenamento secundáriopara instalações de grandes computadores.Terceira geração: esta geração assistiu ao desenvolvimento decomputadores que utilizavam circuitos integrados, nos quais milhares de elementos decircuito são engastados em minúsculos chips de silício. As capacidades de memóriaprincipal aumentaram para vários megabytes e as velocidades de processamentosaltaram para milhares de instruções por segundo, à medida que se tornavam comunsas capacidades de telecomunicações. Isto possibilitou que os programas de sistemasoperacionais passassem a entrar em uso generalizado e supervisionassem as atividadesde muitos tipos de dispositivos periféricos e processamento de diversos programas aomesmo tempo pelos Mainframes (definir o que significa mainframe) A tecnologia do
  18. 18. circuito integrado também possibilitou o desenvolvimento e uso generalizado depequenos computadores chamados minicomputadores na terceira geração decomputadores.Quarta geração: esta geração recorreu ao uso de tecnologias LSI(integração de larga escala) e VLSI (integração de escala muito larga) que comprimemcentenas de milhares 11 ou milhões de transistores e outros elementos de circuito emcada chip. Isto permitiu o desenvolvimento de microprocessadores, nos quais todos oscircuitos de uma CPU estão contidos em um único chip com velocidade deprocessamento de milhões de instruções por segundo. As capacidades de memóriaprincipal, que se estenderam de alguns megabytes a vários gigabytes, também puderamser obtidas por chips de memória que substituíram as memórias de núcleo magnético.Os microcomputadores que utilizaram CPUs microprocessadoras e uma série dedispositivos periféricos e pacotes fáceis de usar para formar pequenos sistemas decomputador pessoal (PC) ou redes cliente/servidor de PCs e servidores conectados, sãoum marco da quarta geração de computadores, que acelerou o downsizing dos sistemasde computadores.Quinta geração: ainda se discute se estamos ou não passando parauma quinta geração de computadores, já que o conceito de gerações pode não mais seadequar às mudanças contínuas e rápidas nas tecnologias de hardware, software,dados e rede de computadores. Em todo o caso, porém, podemos estar certos de que oprogresso nos computadores continuará a acelerar-se e de que o desenvolvimento detecnologias e aplicações baseadas na internet será uma das maiores forças quedirigirão a computação no século XXI.”Para BEAL (2001, p. 3), “a tecnologia da informação vem atualmentesendo utilizada com o objetivo de melhorar os processos internos, de reduzir custos, de
  19. 19. melhorar a qualidade e disponibilidade das informações importantes interna eexternamente à organização e agregar valor aos serviços e produtos ofertados por umaorganização.”Neste mesmo sentido, a Norma NBR ISO/IEC 17799 (2001, p. 2)destaca que “confidencialidade, integridade e disponibilidade da informação podem seressenciais para preservar a competitividade, o faturamento, a lucratividade, oatendimento aos requisitos legais e a imagem da organização no mercado” .Para que as informações tenham esses atributos notáveis,acompanhando com isso a evolução da Tecnologia da Informação, a segurança dessasinformação deve ser um fator de intensa preocupação.A segurança de informação tem sido grandemente influenciada atravésdos anos em inúmeras áreas. O quadro 2.1 ilustra os estudos realizados por SOLMS(1996, p. 282).Áreas onde a Segurança da Informação vem sendo influenciadaEscopoAtualmente a maioria das empresas necessita embarcar no comércioeletrônico e interligar suas facilidades de tecnologia de informaçãocom seus parceiros. De forma resumida, o escopo de acessoautorizado aos sistemas de informação evoluiu de dentro da sala decomputação, para dentro dos limites da empresa, e finalmente parafora dos limites da empresa (através de seus parceiros). No primeiroestágio, a segurança de informação foi de responsabilidade dopessoal da operação que tiveram de introduzir controles desegurança físico, garantir que o back-up fosse realizado, etc. No
  20. 20. segundo estágio, controles foram instalados para minimizar aschances das ameaças causarem efeitos adversos nos serviços dascompanhias, ou para minimizar os impactos se algo acontecesse. Oobjetivo maior é o de garantir confiabilidade nas informações. Como advento do comércio eletrônico, as empresas têm necessidade deinterligar seus computadores com os dos parceiros. Todas asempresas desejam Ter algum tipo de garantia das práticas desegurança de informação de seus parceiros de negócios.ResponsabilidadeNo passado, a segurança da informação ficou limitada a segurançafísica em sua extensão. O gerente de operações era o maiorresponsável, e esta atividade tinha um orçamento bastante pequeno.Apesar da transferência da computação da área central (Mainframe)para as diversas áreas de negócios, não ocorreu a equivalentealteração no que concerne a assuntos relativos à segurança. Gerentesde negócio, de uma maneira geral, não queriam aceitar aresponsabilidade pela segurança de informação, e procuraram deixaresta preocupação aos encargos do gerente de informática.Infelizmente na maioria das empresas - apesar de a informação serconsiderado como o ativo mais precioso de qualquer organização - aAlta Administração não se envolve com problemas relativos àsegurança de informação. Esta ausência de envolvimento tem sidovista como um dos maiores empecilhos para a obtenção de umaeficiente Política de Segurança de informação nas empresas.Quadro 2.1 – Áreas aonde a segurança de informação vem sendo influenciadaFonte: SOLMS, 1996, p. 281-288Nota: adaptado pelo autor em 2008.
  21. 21. Ainda, SÊMOLA (2002, p. 2) cita entre suas previsões para a área deTecnologia de Informação a seguinte relevância “a complexidade crescente dosprocessos de negócio, a heterogeneidade de tecnologias, o alto grau de conectividade ecompartilhamento de informações, e ainda os novos planos de negócio da empresaserão fatores ainda mais relevantes para a gestão da Segurança.”Mas de que forma atua a Segurança da Informação?A San Francisco State University (1991, p. 2) define o propósito daSegurança de Computadores “como sendo a proteção do local onde está o computador,seu hardware, software e dados nele armazenados. A responsabilidade desta tarefadeve ser compartilhada por todos os usuários que utilizam a rede de computadores.”Segundo esta universidade, “a segurança perfeita é algo inatingível. Assim sendo, ameta da segurança de informação é prevenir ou reduzir a probabilidade de dano aohardware, software e aos dados. Esses danos podem ser provenientes de mau uso, danoacidental ou proposital, vandalismo, invasão intencional, fraude e sabotagem, bemcomo desastres por fogo, água, terremotos e furacões.”Para o CIT (2000, p. 3), a segurança de computadores serve para“proteger contra invasores externos que estejam com a intenção de penetrar nossistemas para roubar informações sensíveis, e que existem inúmeros outros perigosimediatos – tais como partilhar com amigos a mídia ou deixar de fazer cópia desegurança de um disco importante – que são mais prováveis de causar problemas nodia-a-dia.”Segundo a NBR ISO/IEC 17799 (2001, p. 2), a segurança dainformação é caracterizada pela preservação de:
  22. 22. • “Confidencialidade: garantia de que a informação é acessível somente porpessoas autorizadas a terem acesso”;• “Integridade: salvaguarda da exatidão e completeza da informação e dosmétodos de processamento”;• “Disponibilidade: garantia de que os usuários autorizados obtenham acesso àinformação e aos ativos correspondentes sempre que necessário”.Em consonância com a NBR ISO/IEC 17799, MOREIRA (2001, p. 9)cita que “o objetivo da segurança da informação é a busca da disponibilidade,confidencialidade e integridade dos seus recursos e da própria informação. Adisponibilidade dos recursos consiste em disponibilizar os sistemas e informações paraa pessoa certa e no momento certo em que ela precisar”. A integridade então consisteem proteger a informação contra qualquer tipo de alteração sem a autorização explícitado autor da mesma.Em relação à integridade, o mesmo autor cita que “a perda deintegridade pode ser intencional ou não. Quando uma empresa perde uma informação,além do valor desta, a empresa deverá levar em conta o custo de sua recriação,substituição ou até mesmo de sua restauração. Independente da forma ou motivo surgea questão: qual o custo financeiro para recuperar ou reconstruir os dados alterados?”Em relação a confidencialidade, ainda MOREIRA (2001, p. 10) definecomo sendo “a propriedade que visa manter o sigilo, o segredo ou a privacidade dasinformações evitando que pessoas, entidades ou programas não-autorizados tenhamacesso às mesmas”. A perda de confidencialidade existe quando pessoas não-autorizadas obtém acessos às informações confidenciais e passam a revelar a terceiros.
  23. 23. GIL (1995, p. 33) cita ser sempre importante destacar os seguintesaspectos de segurança:• “a segurança da informação é responsabilidade de todos os profissionais daempresa”;• “a análise de segurança em informática implica correlacionar as medidas desegurança com as ameaças e situações de insegurança em cada local físico quecompõe o ambiente de informática”;• “é imprescindível se obter a participação e a cumplicidade de todas as áreas,para a busca de consenso quanto à autenticidade do Plano de Segurança eContingência, garantindo desta forma o comprometimento de todos”;• “a insegurança ocorrida em uma área produtiva pode ocorrer em outras áreasempresariais”.SZUBA (1998, p. 7) alerta: retirar e colocar em baixo“ ... a finalidade da segurança de sistemas não é colocartodos os dados confidenciais da organização em umsistema impenetrável, de tal forma que até mesmo osusuários autorizados tenham dificuldade de acessá-los. Areal finalidade da segurança da informação é proteger asinformações e os sistemas sem desnecessariamente limitarsua utilidade. Os sistemas não devem ser tão seguros detal forma que os usuários autorizados não possam acessaros dados necessários para a execução de suas tarefas:afinal de contas, o único propósito para manter as
  24. 24. informações em ambientes seguros, é a plena utilizaçãopelos usuários autorizados” . SZUBA (1998, p. 7)Complementando a idéia, a empresa BR DATA Network Security(2003, p. 2) detalha os objetivos da segurança da informação como a seguir:1. “manter a confiança de clientes, parceiros e acionistas da organização”;2. “proteger a confidencialidade, integridade e a disponibilidade das informaçõesda organização”;3. “evitar responsabilizações por ações ilegais ou maliciosas cometidas atravésdos sistemas da organização”;4. “evitar fraudes”;5. “evitar incidentes custosos ou que causem interrupção nos negócios daempresa; evitar abusos na utilização dos recursos de informaçãodisponibilizados pela organização”.No entanto, há várias ameaças à Segurança da Informação, que sãodenominadas segundo a RFC 2828 (2002, p. 101) define ameaça como sendo “umpotencial para violação da segurança, o qual existe quando se tem uma circunstância,capacidade, ação, ou evento, que pode quebrar a segurança e causar prejuízos” .Vários mecanismos são utilizados para dar embasamento à Segurançada Informação e fazer com ela se torna mais confiável e robusta segundo NBR ISO/IEC17799 (2001, p. 3), entre ela estão: “O profissional de segurança, a análise de riscos, ocontrole de acesso aliado à segurança física, e as políticas de segurança. O Objetivodeste estudo, a partir de agora, é tentar detalhar um pouco mais este último
  25. 25. mecanismo, as Políticas de Segurança.”POLÍTICAS DA SEGURANÇA – O QUE SÃO?Política de Segurança da Informação é um conceito de idéias definidase estudadas, transcritas para o papel a fim de efetuar a conscientização dos funcionáriosda organização, ou melhor, de todos os usuários da informação, para que esta não sejaexposta indevidamente por falta de conhecimento e evitando fraudes.As fraudes tendem a explorar o que conhecemos por vulnerabilidades,criadas por brechas em sistemas de informações, mau uso das informações por parteNossa atual realidade presa à informação como sendo o bem de maiorvalia para as organizações independentemente do ramo de atuação desta, sendo elacomércio, indústria ou financeira, a informação nos abre novos horizontes e mercadospara que possamos expandir nossos anseios em busca de maiores lucros e perspectivas.As respostas a essas questões são fundamentais ao bom funcionamento dasorganizações, independente do seu ramo de atividade e a falta dessas respostas nosmomentos adequados, ou a obtenção de respostas incorretas, certamente influenciaránegativamente o desenvolvimento dos negócios e poderá gerar prejuízos financeiros oude imagem.A globalização que transforma a informação recente em ultrapassadaapresenta à sociedade um novo momento em que os profissionais devem buscar seatualizar para não serem ultrapassados no mercado e ao mesmo tempo desenvolverprocedimento de segurança para as informações vitais, em que as organizações setransformaram. Visto que atualmente não existe mais a empresa que valoriza seuimobilizado e toda a sua estrutura física e sim a organização que valoriza a informação
  26. 26. de que é constituída toda a sua riqueza, lucro e potencialidade de desenvolvimentofuturo e atual. Alguns conceitos relacionados a segurança da informação devem serestabelecidos, tais como a importância da informação.As organizações contemporâneas são entidades dinâmicas,interligadas ao meio em que atuam por uma rede de relações, sejam com clientes,fornecedores ou outros segmentos da própria organização. O rápido desenvolvimento devárias tecnologias modernas tem feito com que essas relações na atualidade, tenhamuma abrangência muito ampla, podendo atingir todo o planeta. Para garantir suasobrevivência, essas organizações necessitam essencialmente de informações.Aos administradores dessas novas organizações, integradas aosmercados em que atuam, são apresentadas com freqüência, questões semelhantes as queaparecem abaixo:• Qual o perfil dos nossos clientes?• Quanto faturamos, por produto ou serviço?• Quanto aplicamos em investimentos financeiros?• Como anda a execução do orçamento da organização?• Quem são nossos fornecedores e qual o valor dos seus créditos?• Quem são nossos devedores e quanto devemos cobrar?• Como anda a concorrência? Os nossos produtos ou serviços são competitivos?• Quanto devemos de tributos e impostos?
  27. 27. • Quais os nossos objetivos estratégicos?• Qual o valor da nossa folha de pagamentos?Muitos são os motivos que levam uma organização a proteger as suasinformações. Em primeiro lugar devesse considerar que criar, encontrar ou armazenarinformações custa dinheiro, portanto a sua perda resulta em prejuízo. Por outro lado, ainformação é importante para a organização e seus negócios, assim como também éimportante para os seus concorrentes, o que a torna alvo preferido para sabotadores,espiões industriais e vários tipos de golpistas e ou hackers.Considerando que, cada vez mais, a realização de transaçõeseconômicas depende da informação, fica claro que a sua indisponibilidade acarretaprejuízo financeiro e faz dela, talvez, o bem mais valioso da organização e, por issomesmo, precisa ser preservado, garantido e bem gerenciado.Atentando para que, um ambiente sem padrão, organização oucontrole de suas informações e, principalmente com usuários não comprometidos com osigilo e a segurança, é altamente propício à perda de informações e fraudes. Mesmo quenão sejam anunciadas em jornais, fraudes acontecem a dão prejuízos! Quandoeventualmente vêm a público, desacreditam a organização vitimada perante seusclientes e parceiros comerciais.Desta forma, apresenta-se este estudo sobre Política de Segurança daInformação, que tem como objetivo identificar padrões de segurança existentes nomercado e seguidas pelas organizações de acordo com a sua atuação no mercado e seuporte, atentando para medidas de proteção no acesso às informações.As políticas de Segurança são normas que definem as melhores
  28. 28. práticas para o manuseio, armazenamento, transporte e descarte das informações, sendoa Política de Segurança da Informação uma ferramenta para a prevenção e proteção dainformação, de forma a restringir acessos e salva-guardar a sua manipulação por pessoasnão autorizadas.A definição de Segurança da Informação pode ser analisada, comouma fonte de poder, pois no mundo moderno quem possui a informação, possui o poder.Se não, vejamos:“A segurança da informação é, sem dúvida, uma dasgrandes preocupações das empresas sintonizadas com oseu tempo.Na medida em que os diversos mercados mundiais seaproximam com extrema rapidez, o significado daexpressão Informação é Poder, tem adquirido novasdimensões no ambiente econômico.” (Loss Control, 2001).As organizações investem em tecnologia, na maioria das vezesbuscando emparelhar com a tecnologia da concorrência, mas atualmente nossa realidadeespelha segurança, para a tomada de decisão das organizações o que implica em suasobrevivência e na minimização de riscos, como podemos observar abaixo:“Há algum tempo, era comum o departamento de TI usarcomo argumento para justificar o investimento emtecnologia a necessidade de acompanhar o ritmo daconcorrência. Hoje a tarefa é ainda mais árdua. A taxa deretorno dos investimentos (ROI) passou a ser a métricapara executivos e empresários nos processos de tomada
  29. 29. de decisões. Baseando-se em variáveis de redução decustos, prejuízos, viabilidade de aplicações e projeções, aferramenta é apontada como o caminho mais indicado nomomento de decidir por um investimento, principalmenteos de grande soma.” (Haical, 2001, www.modulo.com.br)Contudo as organizações se questionam com relação ao custo a serinvestido em tecnologia das informações, para o melhor desenvolvimento e alcance daeficiência e eficácia, pela qual as empresas buscam, como podemos analisar abaixo:“Custo ou Investimento? Esse sempre foi o dilema dequem gasta com tecnologia da informação. Pergunte aosdiretores de informática e todos garantirão que éimpossível viver sem computadores no mundo moderno. Eterão razão. Mas, se o computador é um conforto, eletambém custa dinheiro. E saber quanto se gasta paramanter a estrutura tecnológica é apenas o primeiro passopara avaliar sua eficácia e sua eficiência. Sem isso, ficaimpossível dimensionar se o computador traz ou não oretorno desejado.” (Gurovitz, 2001, pg. 40).A Política de Segurança deve ser vista, como um ponto de forteimportância e impacto, como podemos observar:“Não se deve encarar uma política de segurança comomais um modismo passageiro que freqüentemente apareceem todas as áreas de atividades. Antes de mais nada,política de segurança é um conjunto de diretrizes gerais
  30. 30. destinadas a governar a proteção a ser dada a ativos deinformação.” (Caruso, Steffen, 1991, pg 15)A compreensão da tecnologia da informação abrange três pilaresprincipais, sendo: segurança lógica, segurança física e segurança técnica. A segurançafísica desempenha tão importante quanto a demais, devido ser a base para a proteção detodo e qualquer investimento feito pela empresa. Atentando para o fato de que investirem diferentes aspectos de segurança sem apreciar suas prioridades, pode ocasionar emperda de recursos em conseqüência de falhas nos sistemas mais vulneráveis. “Em nossaatual realidade, as organizações realizam projetos de continuidade de negócios a fimde analisar seus investimentos de uma forma mais abrangente e planejar seusinvestimentos em segurança física, lógica e técnica, com o objetivo de garantirintegridade, disponibilidade e confidencialidade de suas informações”. (Barbosa, 2001,www.modulo.com.br)Além dos elementos citados acima, dois atributos devem estarpresentes. “Primeiramente a transparência, devendo-se demonstrar claramente osmecanismos adotados para garantir o nível de segurança do sistema. E segundamente ocontrole que permite a aditabilidade por meio dos registros de utilização dainformação, identificando quem fez – o que e quando”. (Nery, 2001,www.modulo.com.br)PELISSARI (2002, p. 23) define ainda que a Política de Segurança deuma Empresa deve conter itens como:• “Responsabilidades do uso de recursos computacionais”;• “Preparar o Plano de Continuidade de Negócios”;
  31. 31. • “Elaborar as normas de uso de e-mail e de uso da internet”;• “Distinguir entre informação pública e privada”;• “Gerenciar acesso e contas de usuários”;• “Prever o combate a ameaças aos sistemas de informação como fogo, enchente,etc”.;• “Definir a política de privacidade do site da empresa na internet se houver”.Conforme Geus & Nakamura (2003), algumas orientações devem serseguidas para a elaboração de uma boa Política de Segurança, são elas: “• A política deve representar o pensamento da organização e ter o apoio detodos;• Nesse documento não devem conter definições técnicas, também não deve serum manual de implementações, pelo contrário, deve ser simples o bastante paraque todos possam entender e utilizar;• A responsabilidade de cada membro envolvido, inclusive a do gestor da política,deve ser defina;• Adoção de medidas disciplinares caso ocorra o descumprimento da política;• Avaliação dos custos para implantação de tal política;• Avaliação de serviços que são estritamente necessários, aquilo que não forexpressamente permitido será proibido.”Outro ponto a se levar em consideração é sobre os aspectos humanos.
  32. 32. Todo investimento em segurança pode se perder se o usuário não estiver preparado paraseguir as normas da política. De nada adianta senhas difíceis se elas estão afixadas aoteclado servindo como lembrete. Seria importante que todo usuário fosse conscientizadoda importância da segurança através de um treinamento, o que minimizaria as chancesde falhas no processo e também possíveis ataques que usam a engenharia social.Assim como questões sobre controle de acesso lógico, é importanteque a política também abranja questões sobre a segurança física. É preciso proibir oacesso aos equipamentos por parte de pessoas não autorizadas. Um outro fator que podeocorrer é catástrofes naturais, por isso, é de fundamental importância que o plano decontingência faça parte da Política de Segurança.
  33. 33. CRIANDO AS POLÍTICAS DE SEGURANÇAUma vez que identificamos a importância das políticas de segurançapara a proteção das informações, analisaremos agora que criá-las, embora pareça seruma tarefa até razoavelmente simples, envolve alguns assuntos que as podem tornarcomplexas, merecendo assim atenção.“Para criarmos as políticas de segurança, precisamossaber exatamente o que precisa ser protegido, onde, issoenvolve tanto o hardware quanto o software necessáriospara a execução do processo. É muito importanteentender o processo do negócio suportado pelatecnologia. A política acumularia pó na prateleira, casoimpeça o bom andamento dos negócios da empresa.”BARMAN (2001, p.19)E para identificar os ativos a ser protegidos, BARMAN (2001, p.19)ainda conclui “Precisamos entender que os computadores representam ferramentaspara suportar os negócios da empresa, assim como os discos servem paraarmazenamento e a rede para permitir que a informação interaja entre os diversosprocessos do negócio.”O próximo passo, constitui identificar de quem as informações serãoprotegidas. Veja o que BARMAN (2001, p.22) fala a respeito: “Para definir acessos, éimportante entender como cada sistema e componente de rede é acessado. Sua redepoderá ter sistemas de autenticação e ainda serviços de intranet, mas todos os seussistemas têm essa tecnologia? Como os dados são distribuídos e interagem entre os
  34. 34. sistemas? Entendo a forma como os recursos de informação são acessados, ficará maisfácil identificar em quem as informações deverão estar concentradas. Certasconsiderações sobre acesso aos dados também podem ser:• Acessos permitidos e negados aos recursos;• Divulgação indevida e/ou não autorizada da informação;• Bugs e erros de usuários.”Na prática, contudo as políticas tomam como passo inicial a realizaçãode uma análise de riscos no ambiente organizacional, passando pela definição do planode contingência e culminando com a proteção de informação contra roubos, fraudes eerros humanos.ANÁLISE DE RISCOSA Análise de Riscos tem por objetivo identificar os riscos desegurança presentes na sua Empresa, fornecendo conhecimento para que sejamimplementados controles eficazes de Segurança.Fazem parte de uma Análise de Risco:• Processos de Negócio: Identificar junto aos gestores e colaboradores osProcessos de Negócio existentes na Empresa;• Ativos: Identificar os ativos que serão considerados na Análise de Risco:Pessoas, Infra-estrutura, Aplicações, Tecnologia e informações;• Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos quepossam causar indisponibilidade dos serviços ou serem utilizadas para roubo das
  35. 35. suas informações;• Ameaças: Identificar os agentes que podem vir a ameaçar a Empresa;• Impacto: Tendo identificado as vulnerabilidades e ameaças - identificamos oimpacto que estes podem causar na Empresa. Como roubo de informação,paralisação de serviços, perdas financeiras entre outros.Uma Análise de Risco bem realizada dará informações à sua Empresapara garantir a Confidencialidade, disponibilidade e Integridade da suas informações.• Confidencialidade: Garantir que apenas pessoas autorizadas tenham acesso àsinformações.• Disponibilidade: Garantir que a sua Empresa tenha acesso a informação sempreque necessário.• Integridade: Garantir que haja controle quanto a alteração das informações.• Autenticidade: garantia de que a informação é de fato originária da procedênciaalegada;ALGUNS BENEFÍCIOS• Conhecimento dos riscos da Empresa.• Otimização de recursos• Ter subsídios para um Plano de AçãoDesta forma, a Análise de Risco possibilita enquadrar sua Empresa emuma das situações abaixo.
  36. 36. Nível de segurança bemimplementado paraalgumas situações,porém outrasextremamente fracas,vindo a prejudicaraquelas já emfuncionamento.Nível de segurançafraco em todas assituações. Empresanão protegidaNível de segurança bemimplementado,homogêneo por todos oslados.Fonte: http://www.focosecurity.com.br/servicos/analise_risco.aspComo parte fundamental ainda há o desenvolvimento do plano decontingência.PLANO DE CONTINGÊNCIAEste tem como objetivo minimizar ou levar a zero as interrupções dasatividades de seus colaboradores, protegendo também a perda das informações causadaspor possíveis ameaças.(Dave Ross, 2007) Cita que “em um desastre de grande magnitude, hámuito o que fazer para recuperar um negócio e manter serviços essenciais funcionando.Mas o plano certo de recuperação de desastre e os planos certos de contingênciapodem ajudar a manter os serviços de uma empresa funcionando até nas pioressituações”.CONTINGÊNCIA
  37. 37. Ainda (Dave Ross, 2007) define contingência “como a possibilidadede um fato acontecer ou não. É uma situação de risco existente, mas que envolve umgrau de incerteza quanto à sua efetiva ocorrência. As ações de contingenciamento sãoencadeadas, e por vezes sobrepostas, de acordo com procedimentos previamenteacordados no projeto da rede. O seqüenciamento das ações depende dosacontecimentos que precederam o evento (contingência) bem como das condiçõescontextuais que vão sendo construídas no próprio processo, ou seja, o processo decontingenciamento é construído e negociado à medida que a interação se processa”.Sucintamente, as condições necessárias para a existência de umacontingência são: possibilidade de um acontecimento futuro resultante de uma condiçãoexistente, incerteza sobre as condições operacionais envolvidas e a resolução destascondições dependerem de eventos futuros.OBJETIVOO objetivo do plano de continuidade de negócios é proteger asoperações da organização, e não somente seus sistemas computacionais - “afinal, sem opessoal, procedimentos em funcionamento e conectividade, não faz sentido restaurar ossistemas”, (MIORA, 2002a).Uma análise dos ativos indica o grau de criticidade de cada um dossistemas existentes, o que, associado ao número de dias durante os quais a organizaçãopode prosseguir sem o ativo considerado, gera a chamada matriz de análise de impactonos negócios. Esta matriz é então utilizada como índice para apontar os ativos críticos eo tempo máximo suportável de indisponibilidade, orientando prioridades einvestimentos.
  38. 38. Em suma, o plano de contingência, ou como também é conhecido,plano de continuidade dos negócios, visa fazer com que as organizações não sejampegas de surpresa em casos de desastres naturais ou atentados, e deve sim ter políticasbem definidas sobre como deve ser a atuação de cada envolvido, bem como seus papéisdelineados nas políticas de segurança da informação.Um outro enfoque quando se desenvolve um conjunto de políticas desegurança é realizar a classificação das informações.CLASSIFICANDO A INFORMAÇÃOComo já visto, a informação hoje é vista como senão o principal, umdos principais ativos de uma organização.Classificar a informação significa enquadrá-la em níveis tanto desigilo quanto de criticidade. Como exemplo, podemos citar que o nível de sigilo de umplano de aquisições de uma organização é bem mais sigiloso do que a informação sobrea metodologia de fabricação de uma peça da mesma organização, a qual também nãodeixa de ter o seu nível de sigilo. Na mesma situação, é bem mais crítico para umaorganização as informações sobre históricos de balanços contábeis e operações fiscaisdo que a informação sobre a quantidade de funcionários mulheres ou homens.Ainda, conforme (Caruso, Steffen, 1991, pg 29) “a informação deveser analisada cuidadosamente, pois as facilidades de cruzamento de dados nossistemas, podem gerar informações mais sensíveis que as originais, desta forma aclassificação das informações relacionadas ao grau de proteção contra destruição éimportante para a continuidade operacional dos negócios da organização, assim comoa classificação quanto ao grau de sigilo é de suma importância para a estratégia dos
  39. 39. negócios. Desta forma podemos classificar as informações através de uma questão degrau.”E além dos níveis de classificação, é necessário atribuir os papéis /responsabilidades sobre as informações.As responsabilidades sobre as informações, vão desde a criação, amanutenção até o uso da mesma.Alguns passos fazem parte do ciclo de vida da informação:• A necessidade – é nessa fase que se detecta que determinada informação deveser gerada com uma finalidade a suprir uma necessidade;• O desenvolvimento – uma informação pode ser derivada, surgir a partir doconjunto de outras informações já existentes, como também ser primária, sendonecessária a entrada de novos dados no sistema para compô-las;• A manutenção – são vários os casos em que a informação precisa ser atualizadae, a fase de manutenção é responsável por mantê-la útil e com valor;• A utilização – é nessa fase que a informação é visualizada e utilizada paratransações, consultas, análises, entre outras;• A exclusão – cuidar da eliminação segura de uma informação é aresponsabilidade que cabe a essa fase.Para cada uma das fases do ciclo de vida da informação, se faznecessária a atribuição de papéis, ou seja, definir os envolvidos e suas responsabilidadespara criação, acesso, manutenção ou exclusão das informações.
  40. 40. Resumindo, a criação das políticas de segurança envolve muita análisee levantamento de informações essenciais para seu sucesso e políticas bem criadas edefinidas são as grandes responsáveis para que as informações que estão debaixo delascompreendam os requisitos confidencialidade, integridade, disponibilidade eautenticidade.
  41. 41. IMPLANTAÇÃO DAS POLÍTICAS DE SEGURANÇAPassada a difícil fase de criação das políticas, é chegada então à fasede implantação das políticas nas diversas áreas em que elas irão atuar.Não há dúvida de que horas e horas de planejamentos, reuniões,discussões e até mesmo perda de sono foram necessárias para que então as políticasficassem disponíveis e prontas para então entrar em ação. Não há dúvidas também queoutras longas horas então serão necessárias para que as políticas possam ser aplicadas,ajustadas e aceitas, tornando assim eficaz a sua existência.Segundo CRC Press (2000, p.197) “A publicação de políticas eprocedimentos não é garantia de que todos os envolvidos as leiam, sendo necessárioum programa de implantação de segurança para que as informações cheguem a todosos funcionários. Antes dos envolvidos aceitarem a Segurança da Informação e suaspolíticas, eles devem antes entender por que a implantação é necessária e quais osbenefícios que poderão usufruir dela.”Obviamente, por se tratar de um programa de coordenação deimplantação, é muito importante que haja a criação de uma estrutura que suporte a suaimplantação, inutilizando assim o risco de as políticas de segurança não serem bemsucedidas pelo insucesso desse programa.Ainda, CRC Press (2000, p. 198) sugere a criação de um comitê desegurança da informação: “Este comitê, estaria capacitado para gerir o programa deimplantação de modo a capitalizar, avaliar e disponibilizar a tecnologia da informaçãode modo a aumentar sua eficiência e eficácia para cumprir os desafios competitivos que
  42. 42. têm pela frente.” Além do mais, podemos dizer que esse comitê será o responsável porprovidenciar métodos, guias e meios para suportar a implantação da segurança dainformação e suas políticas. A estrutura organizacional, ou seja, o organograma docomitê de Segurança da Informação é o primeiro item que deve ser levado emconsideração. Quem e quais áreas deverão participar dessa equipe?A resposta a essa pergunta é algo que deve ser levado em estritaconsideração. Através de análises de mercado, porém, CRC Press (2000, p. 120) sugereque “haja além de um gerente, também um coordenador de segurança em cada áreaenvolvida, incentivando assim os demais a agirem de acordo com as diretrizes,procedimentos e políticas definidas.”CRC Press (2000, p. 198) ainda mostra a importância que há em“cada gerente ser responsável pela implantação das políticas de segurança envolvendoas informações que estão sob sua delegação. Sendo isso uma grande vantagem tanto naetapa da criação, administração como também na conscientização dos funcionários.”Para auxiliar na implantação das políticas de segurança, nos valemostambém da utilização de outro artefato importante que há na área da segurança dainformação, os procedimentos.PROCEDIMENTOSA definição de procedimentos, segundo ISMH (2007, p. 425) : “Osprocedimentos definem especificamente como políticas de segurança serãoimplementadas em uma determinada situação. Procedimentos são dependentes tanto detecnologia quanto de processos. Eles são usados para definir os passos que umdepartamento deve seguir para implementar a segurança em seus sistemas e processos.
  43. 43. Normalmente, quem é responsável pela criação, implementação e gerenciamento dosprocedimentos é o próprio custodiante da informação.Falando ainda sobre procedimentos CRC Press (2000, p. 113) cita:“Os procedimentos são únicos para cada organização. Não há uma “receita de bolo”informando como escrever procedimentos eficazes.”Embora não haja um padrão lógico a ser utilizado, CRC Press (200, p.114) mostra alguns estilos que tornam a leitura dos procedimentos e conseqüentementea aceitação das políticas mais fáceis:”Criar para o público: O propósito de um procedimento ser criado é para serutilizado pelo público. Por isso, antes de criar um procedimento é importantesempre levar em consideração quem é o público alvo, e o nível de conhecimentoque esse público tem a respeito do assunto abordado;Organizar o texto: Os procedimentos, embora tenham uma ordem lógica,precisam ser “digestivos” para aqueles que o lêem. Sendo assim, é importanteque embora o seu texto tenha uma lógica, ele não deve ter um conteúdoexagerado e deve ser quebrado em partes que deixem a sua interpretação bementendível;Leia e corrija seu texto: Não confie em seu senso de edição, antes deencaminhar um procedimento pronto, releia-o e se precisar corrija pontos emque não ficou muito bem ininteligível.Consulte especialistas no assunto: Embora os especialistas em determinadoassunto possam não conhecer o processo para criação de um procedimento desegurança, é de grande valia tomar conhecimento de como determinado assunto
  44. 44. interage e suas principais características, tonando o autor do procedimentomais eficaz em sua criação;Use palavras simples: É bom lembrarmos que o procedimento é escrito muitasveze para um público leigo e a escolha de palavras de fácil entendimento é umgrande passo para o sucesso do procedimento. Caso seja necessário usarjargões, e/ou abreviaturas, tenha no procedimento uma seção de definições,explicando-os;Use sentenças curtas e simples: Longas sentenças aumentam a frustração doleitor e diminuem o nível de entendimento, tornando mais difícil a aceitação dotexto. Por isso crie sentenças que possuam até, no máximo, cerca de 15palavras;Use ilustrações: A expressão uma imagem vale mais do que mil palavras servemuito bem para embasar esse estilo. Quando possível, use gráficos que ilustremaquilo que está sendo explicado. Talvez cópias de telas também poderão serutilizadas para avivar o texto;Se certifique de que a gramática e pontuações estão corretos: Textos que estãoeditados com erros de gramática, pontuação perdem a credibilidade, fazendocom que o seu conteúdo também acabe sofrendo do mesmo mal;Use estilo conversante: Será bem mais fácil para o público ler, entender eaceitar o texto de um procedimento quando eles sentem prazer na leitura, e umtexto mecânico com certeza não atrairá a atenção de muitas pessoas;”Com já mencionado, não há uma forma padronizada que podemosutilizar para a escrita de um procedimento, no entanto, esse conjunto de condutas
  45. 45. descrito nos ajuda a termos uma melhor chance se sermos bem-sucedidos com aelaboração de nossos procedimentos.Elementos de um procedimentoNem todos os procedimentos necessitam de todos os elementos, noentanto, abaixo segue um lista sugerida por CRC Press (2000, p. 117) de itens quecompõem um procedimento:”Título: Determina o tópico ao qual o procedimento abrangerá;Intenção: Em termos gerais, informa o que o procedimento está tentandorealizar;Escopo: Emite uma breve descrição do processo ao qual o procedimento estáabrangendo;Responsabilidades: Identifica quem irá realizar quais passos do procedimento.Nesse ponto é importante colocar as descrições de cargo ao invés de nomes;Seqüência de eventos: Visa informar ao usuário o tempo e as condições em queas tarefas de um procedimento são executadas;Homologações: Identifica qualquer aprovação ou homologação necessáriapara a realização da tarefa, além de informar os caminhos para se obter taisaprovações;Pré-requisitos: Lista as condições que deverão ser satisfeitas antes do início doprocesso;Definições: Coloca em foca e tenta explicar os termos, abreviaturas e jargõesque foram utilizados no texto do procedimento e que precisam ser explicados na
  46. 46. língua do usuário;Equipamentos necessários: Lista todos os equipamentos, ferramentas,documentos, entre outros que são necessários para realizar quaisquer tarefasdo processo do procedimento;Advertências: Algumas tarefas executadas em ordem errada podem causardanos graves à organização. Este item deve listar essas tarefas chaves e frisar aimportância de serem executadas de forma correta;Precauções: Lista detalhadamente os passos que devem ser tomados comocautela, para evitar problemas;Corpo do procedimento: Aqui vai o processo, com os passos a ser executadospelo procedimento.”Enfim, não é válido afirmar que o desenvolvimento de umprocedimento seja algo simples ou complexo. Isso depende muito do processo ou ainda,da política que ele irá abrigar. O que temos de fazer é nos basear na experiência dequem já teve a necessidade de desenvolvê-los e procurar montar a nossa receita decomo criar um procedimento de qualidade e com eficácia.O PAPEL HUMANOÉ fundamental que o fator humano tenha sua parcela de preocupaçãono planejamento da implementação das políticas de segurança da informação. O Autorda dissertação Treina Macacos Educa Pessoas (2004, p.28), através de suas pesquisascita os fatores humanos que podem influenciar na implantação de um projeto desegurança, inclusive de um conjunto de políticas de segurança:
  47. 47. “1. Como as pessoas percebem os riscos“As pessoas não entendem riscos (...) O problema não é apenas denão ter informações suficientes; as pessoas têm problemas para avaliar riscos mesmocom as informações adequadas.”2. Como as pessoas lidam com coisas que acontecem muito raramente“Um perigo dos sistemas computadorizados é que eles cometam errostão raramente que as pessoas não saibam como lidar com eles (...) ‘Eu nunca vi aquelaluz vermelha piscando antes, queria saber o que significa...’ (...) Infelizmente, se houvermuitos alarmes aleatórios, os operadores aprenderão a ignorá-los (...) ‘Aquela luzvermelha está sempre piscando e nunca há um problema. Eu simplesmente vou ignorá-lo de novo...’”3. O problema de usuários confiando em computadores e porque issopode ser tão perigoso“O problema fundamental é que você pode não ter idéia algumaquanto ao que o computador está realmente fazendo quando você lhe diz para fazeralgo (...) Se você estiver trabalhando em um computador inseguro – o que aconteceráquase todo o tempo –, não haverá certeza de que aquilo que você vê é o que vocêobtém, ou que aquilo que você obtém realmente funciona como você espera.”4. A futilidade de pedir às pessoas para tomar decisões de segurançainteligentes“As pessoas querem segurança, mas não querem vê-la funcionando(...) Quando se aproxima um prazo e você precisa terminar o serviço, as pessoas nempensam duas vezes antes de contornar a segurança. Elas deixarão a porta de incêndio
  48. 48. aberta para que alguém possa entrar no prédio com mais facilidade, e passarão a suasenha ou desativarão um firewall porque o trabalho precisa ser feito (...) Não se podeconfiar que as pessoas implementarão diretrizes de segurança de computador,trancarão sues carros, não perderão suas carteiras e não contarão a ninguém sobre onome de solteira de sua mãe.”5. Os perigos dos internos maliciosos“A pessoa que escreve um programa de segurança pode colocar umaporta dos fundos nele. A pessoa que instala um firewall pode deixar uma aberturasecreta. A pessoa cujo trabalho é realizar a auditoria de um sistema de segurança podedeliberadamente se esquecer de algumas coisas (...) No fim (...) uma organização está àmercê de seu pessoal.”6. Engenharia social e por que é tão fácil para um hackersimplesmente pedir informações secretas“A engenharia social (...) é muito eficiente (...) Ela evita acriptografia, segurança de computador, segurança de rede e tudo o mais que fortecnológico. Ela vai diretamente para o elo mais fraco de qualquer sistema desegurança: o pobre ser humano (...) E é por isso que a engenharia social funciona. Aspessoas são basicamente prestativas. E elas são facilmente enganadas (...) No fim,engenharia social provavelmente sempre funcionará.”Todos os fatores acima mostram que o fator humano tem uma enormecapacidade de provocar o insucesso de uma operação, por isso, novamente é reforçada aimportância de jamais desconsiderá-lo na elaboração de um projeto de implantação desegurança da informação.
  49. 49. A implantação de políticas de segurança em uma organização semostra um processo trabalhoso, e, assim como a criação dessas, que merece todocuidado, essa fase não é diferente e deve receber toda a atenção por parte do comitêdesignado.É imprescindível que todos os envolvidos estejam comprometidoscom o sucesso do projeto e que esse espírito seja contagiante chegando até os usuáriosfinais, que embora leigos no assunto, não somenos importantes.
  50. 50. CONCLUSÃOO assunto segurança é algo fascinante, pois observamos que, damesma forma que há as ameaças à integridade, seja das pessoas, dos bens materiais,como também da informação, há também métodos de coibir etais ameaças, métodospara agir com pró-atividade contra elas, adiantando-se a possíveis acontecimentosmaléficos e impedindo-os.Falando do foco desse trabalho, a segurança da informação, percebe-se que com o avanço da tecnologia, com o aumento da importância que ela vem tendo,mais visada fica, sendo um alvo cada vez maior da curiosidade, da sede que muitos têmem quebrar regras, barreiras, ou mesmo se aproveitar da situação, através de enganos,roubos e artimanhas.É claro que seria interessante uma matéria onde falasse dos benefíciosda tecnologia nas nossas vidas, mas infelizmente junto com os benefícios há de virtambém os malefícios, “Alfred Nobel jamais imaginaria que a dinamite, a qual crioucom o intuito de utilizá-la em explosões de construção civil, fosse hoje uma armautilizada em larga escala com o intuito de tirar vidas em confrontos” (Wikipedia,Alfred Nobel). Na área de segurança da informação, há muitas raízes, mas uma que éfascinante é a criação das políticas, não só isso, mas fazê-las seguir o seu rumo pré-determinado, ou seja, fazer o que realmente elas foram criadas para fazer, vencendobarreiras, rejeições humanas, enfim, fazendo com que os envolvidos aceitem-nas, alémdisso, que os processos estejam adaptados a elas.Esse trabalho se mostrou primordial para aumentar meuconhecimento, além disso, minha sensibilidade quanto a como desenvolver uma
  51. 51. pesquisa. Falando em pesquisas, quantos artigos, livros, sites e outros meios deinformação foram necessários ser consultados para ter essa compilação.Não sei até onde esse trabalho agradará seus leitores, mas digo quetentei fazer o meu melhor no espaço curto de tempo que temos, sabendo que este podeser base para muitos outros.
  52. 52. BIBLIOGRAFIAALVIM, Paulo. Enterprise Information Portals: integrando Aplicaçõesna Web. – Developers’. Ano 5 - n° 56. Abril/2001.COZER, Alberto. Existem Soluções Viáveis para um MundoPequeno. – Developers’. Ano 5 - n° 56. Abril/2001.ERNSBERGER, Richard. EMERSON, Tony. The Shadowy World ofSOFTWARE PIRACY. – Newsweek. April 9, 2001.GUROVITZ, Helio. Falta de medida. – Exame. 18 de abril de 2001.JAMIL, George Leal. Auditor de Segurança/Sistemas: Xerife emCena. – Developers’. Ano 5 - n° 56. Abril/2001.LOSS CONTROL Consultoria e Assessoria Ltda – Autotreinamentoem Segurança da Informação em CD-ROM da LOSS CONTROLMEIRELES, Andrei. PEDROSA, Mino. O painel do senado confirmaSÓ FALTA CASSAR. – ISTO É. 25 de Abril/2001 n° 1647.MOLINARI, Leonardo. Security & Network Testing: a FronteiraFinal de uma Rede. – Developers’. Ano 5 - n° 56. Abril/2001.SANTOS, Manoel Antônio dos. Combate ao software pirata chega aousuário doméstico. – PC WORLD. Abril 2001. n° 106.TEIXEIRA JR, Sérgio. Dá para se defender do desperdício? NegóciosExame. Ano 2 – Nº 9 – Edição 12.
  53. 53. VERGARA, Sylvia Constant. Relatório de Projetos de Pesquisa emAdministração. São Paulo: Atlas, 1999.BRASIL, Decreto-Lei n° 3.505, de 13 de junho de 2000.Institui a Política de Segurança da Informação nos órgãos eentidades da administração Pública Federal. Diário Oficial [da República Federativa doBrasil], 14 jun. 2000.BRASIL, Lei n° 9.609, de 19 de fevereiro de 1998.Dispõe sobre a proteção da propriedade intelectual de programade computador, sua comercialização no país e dá outras providências. Organizador:Luiz Flávio Gomes. São Paulo: editora Revista dos Tribunais, 1999 – (RT – minicódigos).FOINA, P. R. Tecnologia da Informação: planejamento e gestão. SãoPaulo, Atlas, 2001.STAIR, Ralph M. Princípios de Sistemas de Informação: Umaabordagem gerencial. – 8. Ed. Rio de Janeiro, LTC, 2001.TANENBAUM, Andrew S. (1997) “Redes de computadores”. Rio deJaneiro, Campus.BEAL, Adriana. A Importância da TI para as organizações. 2001.BARMAN, Scott. Writing Information Security Policies.. SAMS,2001Naqvi, S. J. (2000), "An Information Systems Approach for TeachingBasic IT Skills used in Business." Computer Education. Vol. 95, pp. 23-28.
  54. 54. LAUDON, K.C., LAUDON, J. P. Essentials of ManagementInformation Systems: transforming business and management. 3. ed., Upper SaddleRiver, NJ : Prentice-Hall, 1999. 318 p.O’BRIEN, J. Sistemas de informação – as decisões gerenciais na erada internet. 9.Ed. São Paulo: Saraiva, 2001.TUDOR, Jan Killmeyer. Information Security Architecture: AnIntegrated Approach to Security in the Organization: CRC Press, 2000SEGURANÇA EM INFORMÁTICA E DE INFORMAÇÕES, CarlosAlberto Antônio Caruso & Flávio Deny Steffen, Editora Senac, São Paulo

×