Princípios de Segurança da Informação - FATEC São Caetano - SI/Noturno: Novembro/2022

SI: Aplicabilidade da ISO 27000 em ambientes corporativos

Virgílio Oliveira, Caio Costa, Márcio Ângelo, João Pedro e Renato Sandre.

RESUMO KEYWORDS - Information Security, ISO

Esse trabalho tem por finalidade
demonstrar a importância, bem como a
aplicabilidade das normas de segurança
informacional (SI) para empresas e organizações
ISO 27000. Para que o funcionamento das ações
de segurança sejam efetivas, essa precisa ser
prioridade e deve estar presente em todos os
setores. Torna-se também necessário mostrar sua
utilização em Políticas de Segurança Interna,
pois é cada vez mais comum identificar ataques
que partem de dentro das organizações e como
algumas ameaças estão dentro da própria
empresa. Este artigo tem por objetivo expor
algumas noções básicas de segurança em
ambientes corporativos.
PALAVRA CHAVE - Segurança da Informação,
ISO 27000, Ambiente corporativo.
27000, Corporate Environment.
I - INTRODUÇÃO
Com a Internet se popularizando e os
crimes no ambiente tecnológico aumentando, a
preocupação com a Segurança da Informação
aumentou, levando os países a criarem normas e
padrões, no intuito de organizar a segurança e
proteger as organizações.
A SI é a responsável pela proteção da
informação. Esta deve garantir a continuidade
das atividades, a integridade da informação e a
disponibilidade da informação e dos serviços da
organização. Conheça a tríade da Segurança da
Informação que se fundamenta pelos seguintes
aspectos:

ABSTRACT
This article aims to demonstrate the importance,
as well as the applicability of information
security standards for companies and
organizations ISO 27000. For the functioning of
security actions to be effective, this needs to be a
priority and must be present in all sectors of the
organization. It is also necessary to show its use
in Internal Security Policies, as it is increasingly
common to identify attacks that come from
within organizations and how some threats are
within the company itself. This article aims to
expose some security basics in corporate
environments.
• Confidencialidade: Referente ao sigilo. Tem
por objetivo garantir que somente pessoas com
autorização de acesso cheguem a determinadas
informações;
• Integridade: Trata de preservar e proteger a
completa integridade das informações e que
alterações não aconteçam sem autorizações;
• Disponibilidade: Tem por objetivo garantir a
disponibilidade das informações aos autorizados.
A International Organization of
Standardization (ISO) é o setor responsável pela
elaboração de diversas diretrizes internacionais
que fiscalizam áreas informacionais e setores
industriais. Uma das normas criadas e
fiscalizadas por esta instituição, é a ISO/IEC
27000 pertencente a família ISO, que se trata de
um conjunto de normas voltados para segurança
da informação (SI), apresentando termos,
sistemas de controle, exigências e diretrizes, com
as quais as instituições podem atingir e
normatizar sua segurança.
Esse grupo de normas podem ser
utilizadas para diferentes portes e perfis
organizacionais, como por exemplo empresas
comerciais, agências governamentais e
organizações sem fins lucrativos. No Brasil, a
Associação Brasileira de Normas Técnicas
(ABNT) adota os padrões desta família de
normas, ajustando e traduzindo para o português,
se juntando, então, a família ABNT NBR ISO
27000. Visando a adaptabilidade e o
desenvolvimento em diferentes tipos de
ambientes, essas normas denotam uma visão
generalizada de como garantir a segurança da
informação.
As Políticas de Segurança da Informação
(PSI) são o tipo de documentação a serem
desenvolvidas neste caso, elas devem capturar a
realidade organizacional do ambiente,
juntamente com os requerimentos definidos em
normas a serem consideradas. Considerando a
importância de se garantir a segurança da
informação, e o uso de normas e políticas de
segurança da informação para atingir esse
objetivo, o presente trabalho visa realizar um
estudo mais aprofundado referente à conceitos e
à usabilidade de normas e políticas, e aplicar este
estudo no desenvolvimento de PSI para um
ambiente real, tendo em vista que o mesmo
carece de uma PSI em vigor atualmente.
II - IMPORTÂNCIA DA SI NO AMBIENTE
CORPORATIVO
É de conhecimento de todos que a
internet se tornou o maior aliado das empresas
em todo processo produtivo, de comunicação,
gestão da informação, análise da concorrência,
gerenciamento de dados e muitos outros
controles das organizações. É praticamente
impossível imaginar as empresas de hoje sem o
uso da internet, o seu uso proporciona a
integração de todos os setores corporativos
através dos ERPs (Enterprise Resource
Planning), que são Sistemas Integrados de
Gestão Empresarial que possibilitam o
armazenamento de dados e informações
compartilhadas entre todos os departamentos
facilitando a tomada de decisão e
proporcionando informações necessárias para o
direcionamento da empresa, além de documentos
e projetos que são mantidos na intranet.
Porém muitas informações nestes ERPs,
documentos e projetos armazenados na rede
interna da organização são sigilosas e de alta
confidencialidade, precisam ser mantidos em
segurança, longe de ataques maliciosos de
malwares que podem se apoderar dessas
informações causando grandes danos para a
empresa e seus stakeholders; como vazamento
de dados de clientes, informações sobre projetos
em andamento e futuros projetos, invasão as
contas da empresa e muitos outros malefícios
capazes de fragilizar a credibilidade das
organizações.
A Segurança da Informação (SI) entra
como grande protagonista nesse processo,
minimizando os riscos de ataques contra a
segurança da empresa tais como:
 • Port Scanning Attack - busca
vulnerabilidades no sistema a fim de
roubar informações e sequestrar
dados.
• Ransomware - Bloqueio do acesso
aos arquivos do servidor.
• Phishing - páginas "iscas'' capazes
de roubar informações de acessos e
dados bancários.
Tendo em vista que os ataques
cibernéticos contra empresas cresceram 31% no
ano passado e que 11% desses ataques foram
bem sucedidos, fica evidente a necessidade da
SI no ambiente corporativo. A mesma pesquisa
aponta que 55% das empresas atacadas não
possuem um sistema de combate a ataques
cibernéticos, deixando seus sistemas mais
vulneráveis como nos ataques as empresas
Americanas, Submarino e Shoptime em
fevereiro de 2021, causando grandes prejuízos
ao grupo, deixando os sites fora do ar por 3 dias
consecutivos.
É perceptível o aumento de investimento
das empresas em 2021 comparado a 2020,
porém ainda pouco expressivo como apontam os
dados da Accenture:
III - CONCLUSÃO
A internet tem evoluído cada vez mais
com o passar dos anos, em especial na última
década. Um dos fatores dessa evolução está
relacionado à popularização dos aparelhos
celulares e ao uso extensivo das redes de
internet. A velocidade do acesso também
acompanha essa evolução, se a 20 anos atrás nos
contentamos com a internet discada e seus 600
kbps de conexão, hoje em dia nos deparamos
com tecnologias 3g e 4g à nossa disposição. Para
ser sincero, a tecnologia invadiu nossas casas e
nossas vidas. Tudo se concentra em dados e
processos de informações. Mas você já parou pra
pensar onde tudo isso fica armazenado? E quem
tem acesso a essas informações? Como elas são
usadas e distribuídas? Sem dúvidas esse é um
ponto que também precisa ser discutido e
analisado.
A segurança da informação é o setor
responsável por criar métodos e seguir
procedimentos, a fim de encontrar e excluir as
vulnerabilidades que um equipamento físico
pode ter, como computadores e celulares. Esse
tipo de segurança protege a base de dados e
arquivos e garante que suas informações não
caiam em mãos erradas.
IV - REFERÊNCIAS
ISTEM - Journal of Information Systems and
Technology Management Revista de Gestão da
Tecnologia e Sistemas de Informação Vol. 13, No. 3,
Set/Dez., 2016 pp. 533-552
Aplicação das normas ABNT NBR ISO/IEC 27001 e
ABNT NBR ISO/IEC 27002 em uma média empresa.
file:///C:/Users/Dell%20i7/Downloads/1065-3139-1-
PB.pdf. Acesso em outubro de 2022.
Tríade da Segurança da Informação.
https://www.artbackup.com.br/protecao-de-dados/a-tr
iade-da-seguranca-confidencialidade-integridade-e-di
sponibilidade-2/. Acesso em novembro de 2022.
The ISO 27000 Directory. (2013). A Short History of
the ISO 27000 Standards.
http://www.27000.org/thepast.htm. Acesso em
novembro de 2022.