Escolar Documentos
Profissional Documentos
Cultura Documentos
Politica de Segurança Nas Empresas
Politica de Segurança Nas Empresas
EMPRESAS
Fabio Eder Cardoso 1
Paulo Cesar de Oliveira 2
Faculdade de Tecnologia de Ourinhos - FATEC
1. INTRODUO
A informao o elemento bsico para que a evoluo acontea e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,
(2007, p. 21) A informao elemento essencial para todos os processos de negcio
da organizao, sendo, portanto, um bem ou ativo de grande valor. Logo pode se dizer
que a informao se tornou o ativo mais valioso das organizaes, podendo ser alvo de
uma srie de ameaas com a finalidade de explorar as vulnerabilidades e causar
prejuzos considerveis. Portanto, faz necessrio a implementao de polticas de se
segurana da informao que busque reduzir as chances de fraude ou perda de
informaes.
A Poltica de Segurana da Informao (PSI) um documento que deve conter um
conjunto de normas, mtodos e procedimentos, os quais devem ser comunicado a
todos os funcionrios, bem como analisado e revisado criticamente, em intervalos
A informao um ativo que deve ser protegido e cuidado por meio de regras e
procedimentos das polticas de segurana, do mesmo modo que protegemos nossos
recursos financeiros e patrimoniais. Segundo Campos (2077, p. 17), um sistema de
segurana da informao baseia-se em trs princpios bsicos: confidencialidade,
integridade e disponibilidade.
Ao se falar em segurana da informao, deve-se levar em considerao estes
trs princpios bsicos, pois
toda
Confidencialidade
Integridade
A integridade a garantia da exatido e completeza da informao e dos
mtodos de processamento (NBR ISO/IEC 27002:2005). Garantir a integridade
permitir que a informao no seja modificada, alterada ou destruda sem autorizao,
que ela seja legtima e permanea consistente. (DANTAS, 2011, p11). Quando a
informao alterada, falsificada ou furtada, ocorre quebra da integridade. A
integridade garantida quando se mantm a informao no seu formato original.
Disponibilidade
A disponibilidade a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que necessrio (NBR ISO/IEC
27002:2005). Quando a informao est indisponvel para o acesso, ou seja, quando os
servidores esto inoperantes por conta de ataques e invases, considera-se um
incidente de segurana da informao por quebra de disponibilidade. Mesmo as
Essas sees
informao de suma importncia, e que deve ser bem guardada. Para poder classificar
uma informao, importante saber quais as conseqncias que ela trar para a
organizao caso seja divulgada, alterada ou eliminada sem autorizao. Somente
atravs da interao com as pessoas diretamente responsveis pela informao da
empresa ser possvel estabelecer estas conseqncias e criar graus apropriados de
classificao.
Antes de se iniciar o processo de classificao, necessrio conhecer o
processo de negcio da organizao, compreender as atividades
realizadas e, a partir disso, iniciar as respectivas classificaes. As
informaes podem ser classificadas em informaes pblicas, quando
no necessita de sigilo algum; informaes internas, quando o acesso
externo as informaes deve, ser negado; e informaes confidencias,
as informaes devem ser confidencias dentro da empresa e protegida
contra tentativas de acesso externo. (Freitas e Araujo, 2008)
2.2.3 ATIVOS
2.2.4 AMEAA
2.2.5 VULNERABILIDADE
2.2.6 RISCO
cada vez mais importante para uma organizao, mesmo em sua fase
inicial, formalizar um documento com a sua anlise de risco, o que prov
alta administrao um indicador sobre o futuro da prpria empresa, em
que sero relacionados os ativos que sero protegidos com
investimentos adequados ao seu valor ao seu risco (LAUREANO, 2005).
2.2.7 BAKUP
A ISO/IEC 27002 (2005) recomenda que backup dos sistemas seja armazenado
em outro local, o mais longe possvel do ambiente atual, como em outro prdio. Um
dos maiores erros cometidos em questo de segurana de backup, foi o atentado de 11
de setembro, onde foram derrubadas as torres gmeas nos EUA, onde empresas
localizadas na torre A tinham backups na torre B, e empresas da torre B tinham backup
na torre A, depois da queda das duas torres, varias empresas simplesmente sumiram,
deixando de existir, um erro que poderia ser controlado caso o backup estivesse
localizado em outro lado da cidade. evidente que o procedimento de backup um
dos recursos mais efetivos para assegurar a continuidade das operaes em caso de
paralisao na ocorrncia de um sinistro. (FFREITAS E ARAUJO, 2008, p. 133)
A NBR ISO/IEC 27002 (2005) recomenda que seja feito um projeto para a
implementao de reas de segurana com salas fechadas e com vrios ambientes
seguros de ameaas como fogo, vazamento de gua, poeira, fumaa, vibraes,
desastres naturais, e manifestaes. Os locais escolhidos para a instalao dos
equipamentos devem estar em boas condies de uso, com boas instalaes eltricas,
sadas de emergncia, alarme contra incndio, devem conter extintores de incndios,
entre outros aspectos que devem ser levados em considerao.
estabelece
princpios,
valores,
compromissos,
requisitos,
orientaes
responsabilidades sobre o que deve ser feito par alcanar um padro desejvel de
proteo para as informaes. Ela basicamente um manual de procedimentos que
descreve como os recursos de TI da empresa devem ser protegidos e utilizados e o
pilar da eficcia da segurana da informao. Sem regras pr-estabelecidas, ela tornase inconsistentes e vulnerabilidades podem surgir. A poltica tende a estabelecer regras
e normas de conduta com o objetivo de diminuir a probabilidade da ocorrncia de
incidentes que provoquem, por, exemplo a indisponibilidade do servio, furto ou at
mesmo a perda de informaes. As polticas de segurana geralmente so construdas
a partir das necessidades do negcio e eventualmente aperfeioadas pele experincia
do gestor.
O intervalo mdio utilizado para a reviso da poltica de seis meses ou um ano,
porem deve ser realizada uma reviso sempre que forem identificados fatos novos, no
previstos na verso atual que possam ter impacto na segurana das informaes da
organizao. (FREITAS e ARAUJO, 2008).
Segundo a NBR ISSO/IEC27002(2005), recomendado que a poltica de segurana da
informao seja revisada periodicamente e de forma planejada ou quando ocorrerem
mudanas significativas, para assegurar a sua continua pertinncia, adequao e
eficcia.
Atualmente, a PSI adotada em grande parte das organizaes em todo o
mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda no tem uma poltica
efetiva, reconhecem a necessidade de elaborar e implementar uma. (CAMPOS, 2007,
P. 131). A poltica de segurana da informao deve estabelecer como ser efetuado o
acesso as informaes de todas as formas possveis, seja ela internamente ou
externamente, e quais os tipos de mdias podero transportar e ter acesso a esta
informao. A poltica deve especificar os mecanismos atravs dos quais estes
requisitos podem ser alocados.
3. CONSIDERAOES FINAIS
No cenrio atual, em que as empresas dependem cada vez mais da tecnologia e
da informao, vital garantir a segurana adequada deste ativo, considerado
estratgico em sua misso de prestar servios de qualidade. A soluo mais adequada
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISSO/IEC 27002:2005
tecnologia da informao - tcnicas de segurana - cdigo de pratica para gesto da
informao. Rio de janeiro: 2005, Disponvel
em: http://search.4shared.com/postDownload/M0vePGU6/ISO-IEC_27002-2005.html>,
Acessado em 02 de novembro de 20012