Escolar Documentos
Profissional Documentos
Cultura Documentos
PEQUENAS EMPRESAS1
Luiz Henrique Ferreira
1 INTRODUÇÃO.
Conforme indica o IDC Brasil, com o aumento nas vendas de computadores ele tem
se tornado comum nas empresas e as informações contidas neles estão sendo cada vez mais
necessárias e importantes para a gerencia do negócio, o planejamento das ações, o controle e a
operacionalização das tarefas, sejam informações hospedadas localmente, remotas ou
compartilhadas de algum parceiro, através de um simples arquivo ou de um poderoso banco de
dados. Conforme cita a WIKIPÉDIA “a segurança da informação está diretamente relacionada
com proteção de um conjunto de informações, no sentido de preservar o valor que possuem
para um indivíduo ou uma organização. São propriedades básicas da segurança da informação:
confidencialidade, integridade, disponibilidade, autenticidade e legalidade”. Esses são os
princípios básicos para a segurança da informação que se tornou um assunto constantemente
discutido devido à grande importância dessas informações para as empresas e que segundo o
1
Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gerencia de Projetos de
Tecnologia da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do
título de Especialista em Gerente de Projetos de Tecnologia da Informação.
blog LUMIUN em 2018 foi marcado por diversos acontecimentos em relação a segurança da
informação.
Algumas empresas não possuem ideia do que seja segurança em TI, pois
começaram seus trabalhos de qualquer forma, através de um computador que veio de casa ou
mesmo que o amigo do conhecido do dono acabou instalando os sistemas, ou talvez possa ter
sido instalado quando precisaram de um sistema de gestão, de controle de ponto ou outro tipo
de sistema e o fornecedor que foi contratado sugeriu um mínimo de recursos. Aí, para o dono
da empresa que não possui conhecimentos em segurança em TI, pensa que está tudo correto, e
que não necessita procurar pessoas ou empresas qualificadas e capacitadas para auxiliar com os
processos, com isso acabam instalando de qualquer forma e só se preocupam com os problemas
que podem ser gerados depois de algum incidente ocorrido.
Esse trabalho foi desenvolvido através de uma pesquisa aplicada, pois foi procurado
responder questões especificas, tendo como objetivo buscar resultados e soluções concretas,
também foram utilizadas as pesquisas teóricas e empíricas, através de normas estudadas e
difundidas em todo o mundo e também das boas práticas já publicadas. Além da coleta de dados
através do roteiro de observação na empresa a qual se dará o nome de ContábilXY, que segundo
o critério adotado pelo Serviço Brasileiro de Apoio às Micros e Pequenas Empresa (SEBRAE)
a empresa possui 20 funcionários com isso se enquadra como uma empresa de pequeno porte
que está situada em Florianópolis (SC). Com o resultado desse trabalho se montará o processo
de implantação de Segurança em TI.
Nesse artigo segue com a seção 2 com o entendimento das normas e conceitos em
segurança de TI, na seção 3 as conclusões decorrente dos estudos e análises e na sessão 4 as
referências utilizadas.
Conforme cita o blog LUMIUN Existe uma crescente preocupação e que a cada dia
se torna mais importante nas empresas que é o aumento no número de casos de roubos de dados
e ataques a infraestrutura de TI e também garantir que as informações das empresas sejam
confiáveis, estejam integras e disponíveis e conforme cita NAKAMURA (2007, p31) que “a
confiabilidade, integridade e disponibilidade dessa estrutura de rede passam a ser essenciais
para o bom andamento das organizações”.
Criar uma política de segurança pode ser tornar inviável para pequenas empresas,
porém é um passo que deve ser tomado para administração segura das informações e estas são
base para uma efetiva garantia que os dados estão íntegros. Segundo OLIVEIRA (2015), “a
implantação de políticas de segurança da informação é primordial para a criação de um Sistema
de Gestão de Segurança da Informação (SGSI) ”.
A partir das normas apresentadas será possível montar um plano de ação para
criação do modelo que poderá ser implantando, sendo necessária a definição dos passos que são
sugeridos:
1 – Definição do Escopo;
2 – Classificação da Informação
3 – Análise de Riscos;
4 – Definição de Controles
Conforme cita o PMBOK, o escopo é “o trabalho que precisa ser realizado para
entregar um produto, serviço ou resultado com as características e funções especificadas” e
Segundo DEBASTIANI diz que “sem uma definição precisa e abrangente do escopo de
funcionalidades, corre-se o risco de produzir um resultado deficiente ou incompleto para o
projeto, frustrando as expectativas de seus patrocinadores, usuários e até mesmo de toda a
corporação”. Na definição de escopo, para iniciar definiu-se juntamente com a Diretoria em
quais ambientes da empresa serão executados os trabalhos e foi definido e executado no setor
administrativo/financeiro onde se encontra grande parte dos equipamentos, sendo servidores,
estações de trabalho e periféricos. As demais áreas da empresa são denominadas setor contábil,
fiscal, pessoal e atendimento.
- Público: informações que podem ser divulgadas para todos, esse tipo de
informação não compromete em nada a empresa.
Provável
Possível
Pouco Provável
Raro
Fonte: Autor (2019)
Na definição de controles, que foi uma das fases mais cansativas do projeto, pois
foram necessárias inúmeras reuniões com diretoria e responsáveis por cada área, normalmente
os colaboradores entendiam esse tipo de controle como burocracia, muitas vezes pensavam que
a empresa estava duvidando de sua idoneidade, nesse momento foi necessário um trabalho de
conscientização juntos aos colaboradores para explicar e exemplificar os controles e benefícios
de os aplicar. Os controles são extraídos da norma ABNT NBR ISO/IEC 27002 através dos
requisitos da norma ABNT NBR ISO/IEC 27001. Também foram considerados nesse momento
a classificação da informação, análise de risco, custos de implantação de controles e a real
necessidade da empresa.
Na criação da política, a parte da elaboração dos textos não foi fácil, foi colocar de
forma clara e simples para que não houvesse falha na interpretação, equivoco ou lacunas no seu
texto, para que qualquer pessoa conseguisse entender o que o autor queria transmitir, não
deveria haver erros. Para desenvolvimento da política foi levado em conta todas as normas,
bibliográficas, classificação das informações, análise de riscos e definição de controles, pois
isso que norteou todo o texto. Nesse momento foram definidos alguns colaboradores que são
parte do comitê de segurança da informação, juntamente com a Diretoria, para construir,
manter, monitorar, analisar e melhorar essa política. Nessa fase usamos o ciclo PDCA para dar
continuidade na política de segurança. Após a fase melhoria a política de segurança é
comunicada a todos os colaboradores.
É de ciência que são nas pessoas que se tem início e fim a segurança das empresas,
para isso foi primordial realizar treinamentos e conscientizar colaboradores da importância de
se manter o ambiente da empresa seguro, instruindo de forma clara e mostrando como podem
ocorrer falhas de segurança através de ataques de engenharia social e uso inadequado dos
recursos, sempre mostrando quais os possíveis impactos de simples incidentes que podem se
tornar catastróficos.
Nessas visitas também foram solicitados algum tipo de documento que existisse
referente a políticas de segurança, documentações de estrutura, de backup, de plano de
continuidade, contato das pessoas responsáveis por cada sistema e as respostas normalmente
foram não temos, nunca fizemos, nunca precisamos, quem tem o contato é o responsável pela
empresa. Tudo sem uma estrutura de documentos criada e atualizada, para que fosse possível
agilizar qualquer contato, suporte, recuperação em caso de incidentes.
Com isso foi sugerido iniciar o processo pelo levantamento da estrutura de TI para
entender o que se tinha ali dentro, conhecer quais os prestadores de serviço dessa empresa e
como são feitos os controles de acessos desses prestadores e por fim montar uma matriz
qualitativas dos riscos e com isso documentar quais as possíveis melhorias possíveis para
implantação de uma política de segurança.
Nesse momento identificou-se que, como não sabiam o que é realmente importante,
definiu-se que tudo o que se possui de informação tornou-se importante e que mesmo que a
consequência de perder alguma informação ou repassar informações indevidamente fosse
desprezível e a probabilidade rara de acontecer, seria um problema sério. Após um momento
de discussão, chegou-se ao consenso que dentro da matriz de risco utilizaríamos o que fosse
considerado moderado, relevante e intolerável seriam nossas prioridades nesse primeiro
momento. E se iniciou o processo de organização de estrutura por aí, sendo elas elencadas como
principais, regras de backup e restore que não existia e a falta se indicou que como poderia
acontecer um problema a perda de um dado qualquer teria consequências extremas, o controle
de acesso as informações por setor e pessoas, pois uma pessoa que não precisa acessar aquela
informação possui a probabilidade de acesso possivelmente e acaba usando ela de forma errada
possui uma risco médio/critico, controle de acessos externos de parceiros e fornecedores, que
sem esse controle não se sabia o que eles faziam é quase certo de se ter um problema e como
não se tinha controle a consequência pode ser tornar crítica/extrema dependendo da situação.
Observou-se que não possuíam um ambiente confiável, pois todos tinham acesso a
tudo, sem nenhum controle, em questão da integralidade até aquele momento estava integro,
pois “estava funcionando” corretamente, mas não era 100% disponível, ou seja, qualquer falha
em um equipamento simples ou sistema parava-se a empresa, pois não se sabia a quem recorrer
ou o que precisa ser feito para voltar a funcionar.
4 CONCLUSÕES
Observa-se que tantas coisas que segundo as normas e as boas práticas não
poderiam serem feitas e utilizadas, mas realmente não podem, não devem? Se naquela empresa
em si, você chegar a mostrar tudo ao dono do que está certo e errado e ele mesmo assim, falar
que o que está errado segundo as normas, mas para mim está funcionando e correto, ele afirma,
vou manter assim e pronto. O que você vai poder fazer, sugere-se através de sua expertise que
é montar um plano de como exemplificar, detalhar e fazer de tudo para que ele concorde em
mudar para o que norma exemplifica e mostra como correto, mas se mesmo assim ele não
aceitar, o que você irá fazer? Vai de seu bom senso assumir esse cliente ou não, se aceitar é
claro documentando o que está errado e o que está certo, para que em um momento de incidentes
você esteja respaldado que você o alertou que sua estrutura estava errada e mesmo assim em
muitos casos esse dono da empresa quando ocorrer um problema vai virar pra você e dizer a
culpa é sua por não ter alertado e não ter insistido para que ele mudasse de opinião e você não
o fez, como abordado anteriormente é um processo de entendimento complexo porem está
mudando e ficando mais claro.
Mesmo assim esse processo vem se tornando mais amigável e entendível, com custo
de implantação menor e que está abrindo um campo enorme para consultores e empresas
especializadas nessa área a realizar a implantação de segurança em TI em todos os tipos de
empresas, os próprios usuários estão começando a se conscientizar de que esse processo é bom
para o desenvolvimento das suas atividades e que isso tornara o seu dia a dia menos perigoso
em relação a segurança da informação.
REFERÊNCIAS
ENDEAVOR: Sabe o que acontece quando sua empresa não cuida da segurança da informação?
Disponível em: https://endeavor.org.br/tecnologia/seguranca-da-informacao/ acessado em 07
de Julho de 2019
IDC: Mercado de PCs mantém crescimento em 2018, segundo IDC Brasil: Disponível em
http://br.idclatin.com/releases/news.aspx?id=2481 acessado em 07 de Julho de 2019
OLIVEIRA, M. S. et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR
ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas de Informação e Gestão
Tecnológica. Vol. 06, Nr. 02, p. 37-49, 2015.