1. FACULDADE DE TECNOLOGIA DE AMERICANA
TECNOLOGIA EM PROCESSAMENTO DE DADOS
ESTANAL
SEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,
IMPLEMENTANDO E GERENCIANDO AS POLÍTICAS
DA SEGURANÇA.
Erick Barban Toledo
2. SEGURANÇA DA INFORMAÇÃO: DESENVOLVENDO,
IMPLEMENTANDO E GERENCIANDO AS POLÍTICAS
DA SEGURANÇA.
Erick Barban Toledo
R.A.: 041350-t
INTRODUÇÃO
Os principais agentes de mudança nas empresas, atualmente, têm sido
a globalização e a tecnologia, que são responsáveis por inovações. A globalização
aumenta o número de concorrentes, dando mais opções para o cliente e oferecendo
várias oportunidades. A tecnologia faz da velocidade a base da competição, obrigando
as instituições a repensarem processos que um dia já foram eficientes. Segundo Rezende
& Abreu (2001, p.59), “A ação da Tecnologia da Informação e seus recursos, sem
organização antecipada, não atinge seu principal objetivo de auxiliar a empresa em
todos os seus processos e níveis de ação”.
Nas últimas décadas, houve um desenvolvimento considerável das
organizações em nível mundial, bem como das atividades econômicas. A
competitividade crescente exige das instituições redução de custos, desenvolvimento e
organização de seus sistemas, bem como benefícios externos, como aumento de
produtividade e satisfação do usuário.
Dessa forma se faz necessário repensar a segurança dessas
informações, uma vez as organizações estão sujeitas a enfrentar problemas graves com
relação à perda e roubo de dados. Sabe-se também que as informações estão sendo cada
3. vez mais valorizadas e bem vistas dentro das organizações e que sem elas hoje é
impossível que o fluxo de trabalho ocorra de forma normal e auto-sustentável.
Estudos e mais estudos levaram a necessidade de se definir padrões
mundialmente aceitos e que trouxessem técnicas de como manter tais informações em
um grau aceitável e seguro. No entanto, não adiantaria esses vários padrões e regras sem
que houvesse um bom plano de implantação nos processos existentes nas organizações.
Contudo, como parte fundamental desse plano de implantação, as regras devem estar
presentes de uma forma marcante e objetiva.
As regras definidas para a implantação de um plano de segurança de
informação são comumente denominadas políticas de segurança, deve-se portanto
abranger a todos os envolvidos direta e indiretamente no plano de segurança da
informação.
Tentar utilizar-se de métodos corretos para que as políticas de
segurança sejam bem explicitadas e seguidas. Agregar os princípios fundamentais:
integridade, confidencialidade, disponibilidade e confiança à informação. Fazer com
que, ao invés de se promover uma aculturação, promova-se uma transculturação, que
segundo (Aurélio Séc XXI) é o processo de transformação cultural caracterizado pela
influência de elementos de outra cultura, com a perda ou alteração dos já existentes, faz
parte de todo o processo envolvido no estabelecimento de políticas de segurança.
É claro, que quando se teoriza algo não há o pleno sentimento de quão
complexo é o assunto, e com a implantação das políticas de segurança não é diferente.
Mediante isso, é necessário que este processo seja disposto em partes porém com uma
lógica seqüencial.
OBJETIVO
4. Pretende-se ao longo desta monografia demonstrar de uma forma
simples, prática e embasada em literaturas sobre o assunto que devem ser seguidas com
a finalidade de desenvolver as políticas de segurança de uma organização, e é claro que
não basta defini-las, sendo assim, a fase de implementação também deverá ser
abrangida utilizando-se da proposta de simplicidade e objetividade.
É muito importante que não paremos apenas nas fases criação e
implementação. Se fizermos uma comparação simples veremos a importância de uma
outra fase desse processo: Um automóvel é projetado e colocado à disposição dos
consumidores. O que aconteceria caso o seu consumidor não desse a devida
manutenção?
A resposta a esta pergunta nos mostra que precisamos também de uma
fase que é de extrema importância para a vitalidade das políticas e que muitas vezes se
torna ignorada ou administrada com poucos esforços: a fase de manutenção
das políticas. É nessa fase que temos as melhorias e conseguimos ter um retorno de
como elas estão aceitas pelos seus envolvidos.
5. JUSTIFICATIVA
Não é aconselhável aplicar as políticas de segurança sem antes ter as
respostas as seguintes perguntas básicas: o que devo proteger? De quem irei proteger?
Como devo proteger? Além disso, como garantir os princípios da informação quando do
desenvolvimento das políticas deve ser também tratado como base.
A utilização desta literatura faz com que seu leitor consiga ter uma
visão mais realista dos fatos e consiga com isso além de achar as respostas às perguntas
acima, também desenvolver políticas em conformidade com os princípios garantindo
assim que as informações regidas por tais políticas possam merecer a devida confiança e
as pessoas envolvidas também sejam dignas da mesma confiança.
Segundo BARMAN (2002, p 5), “embora as políticas não discutam
como fazer para que aquilo que está sendo protegido funcione corretamente. As
políticas dizem quais as restrições e limitações devem ser postas sobre aqueles
controles que devem ser protegidos. Embora os ciclos da seleção e de desenvolvimento
do produto não sejam discutidos, as políticas ajudarão a direcionar na seleção do
produto e às melhores práticas durante o desenvolvimento. Implantar estas práticas
deve conduzir a um sistema mais seguro.”
6. RESUMO
Desde a criação da informação eletrônica, ou ainda, automatizada, a
evolução da tecnologia se mostrou numa curva com uma ascendência impressionante,
logo, não foi difícil chegar a um momento em que os computadores, responsáveis pelo
processamento das informações se difundissem para o mundo todo, chegando em um
grau em que é impossível que uma organização sobreviva sem tê-los para controlar seus
processos e dados.
Junto com eles, há os sistemas de processamento das informações, os
quais são responsáveis por receber dados até então sem muita valia, e transformá-los em
informações valiosíssimas tanto para a vida de uma organização como também para
aqueles que são seus detentores, inclusive os que a detêm sem autorização.
Pensando nesse valor, no desejo que criminosos possam ter em obtê-
las e nas vulnerabilidades existentes nos processos, surgiu então a necessidade de
proteção dessas informações, e como conseqüência a criação da área de segurança da
informação.
Um dos pontos mais fascinantes dessa área são as políticas de
seguranças, responsáveis então por ditar as normas de como agir para que as
vulnerabilidades sejam então reduzidas e até mesmo eliminadas.
Como criar, implementar e mantê-las, é o objetivo desse trabalho,
mantendo um foco macro do assunto, sem entrar em muitos méritos técnicos ou ainda
de áreas específicas, tomando como fronteira a área dos sistemas de informação.
7. SUBSTRACT
Since the electronic information's establishment, or automated
information, the technology’s evolution increased very fast, then, it was not difficult to
arrive at a time that the computers, the responsible for the information processment, is
broadcast to the world, reaching at a level where it is impossible for organizations
survive without them to check their files an data.
Along with the computers, there are the information processing's
systems, wich are responsible for receiving data so far without much added value, an
after turn them into valuable information both for the continuation of an organization as
either for those who are holders, including that the holding without permission.
Thinking that amount, in the hope that criminals may have to get the
information and vulnerabilities in the processes, it arose the need to protect this
information, and as a consequence the creation of the information security area.
One of the most fascinating attribute of the information security area
are security policies. They are responsible for dictating the rules to act to reduce
vulnerabilities and even eliminate them.
How to create, deploy and keep them, is the purpose of this work,
maintaining a macro focus of the subject, without going into many technical merits or
on specific areas, taking as border the area of information systems.
8. CAPÍTULOS
SISTEMAS DE INFORMAÇÕES
Este capítulo abordará um conceito macro sobre o que são os sistemas
de informações e qual a importância que eles possuem para o bom desempenho das
organizações diante dos
COMUNICAÇÃO DE DADOS
Após o advento das redes de computadores, hoje em dia é
praticamente impossível a sobrevivência de um computador sem estar conectado a
outros. Tudo que se fala em termos de Tecnologia da Informação engloba a
comunicação entre as estações sejam de trabalho ou servidoras. A proposta desse
capítulo é uma demonstração de como é feita a comunicação dos dados espalhados em
várias partes inclusive do mundo, mostrando como eles podem interagir entre si.
SEGURANÇA DA INFORMAÇÃO
Não é novidade que toda tecnologia traga os dois lados à tona, o bom
e o mal. Para combater o lado escuro, a Tecnologia da Informação necessitou ter
também uma área que respaldasse os dados que seriam gerados e administrados por ela.
Essa área é a segurança da informação, e esse capítulo mostrará no que consiste a
segurança da informação, através de uma visão geral do assunto.
POLÍTICAS DA SEGURANÇA – O QUE SÃO?
Este capítulo procurará mostrar uma área específica da segurança da
informação, as políticas da segurança. O que são? Para que servem? Qual a importância
9. de tê-las? São algumas das perguntas que esse capítulo tentará responder.
CRIANDO AS POLÍTICAS DA SEGURANÇA
Uma vez conhecidas as políticas da segurança, chegou a hora de
passar da teoria à prática. Esse capítulo abordará os primeiros passos, mostrando como
desenvolver as políticas, o que é necessário para que isso seja possível?
IMPLANTAÇÃO E GERENCIAMENTO DAS POLÍTICAS DA SEGURANÇA
Depois que as políticas são criadas, vem a fase mais crítica e que
provavelmente decidirá o sucesso da implantação das práticas de segurança da
informação na organização. Essa fase é a fase de implantação das políticas. Como fazer
para que a implantação ocorra com sucesso? Quem deve estar incluído nessa fase? São
perguntas abordadas nesse capítulo. E depois de implantadas, as políticas não poderão
ser deixadas de lado como se conseguissem sobreviver por si próprias. Há a necessidade
de que elas sejam sempre revistas, ajustadas e aperfeiçoadas a fim de que todo o
trabalho de análise e implementação não seja desperdiçado. No capítulo em referência,
será abordado como podemos manter e gerenciar as políticas da segurança.
10.
11. SISTEMAS DE INFORMAÇÕES
Nas últimas décadas, as organizações passaram por um grande
desenvolvimento em todo o mundo, uma verdadeira revolução tecnológica tem sido
vista. Com a globalização e a competitividade crescente, as empresas passaram a ter
como meta a maximização de seus resultados e a redução de seus custos, sendo dessa
forma necessário organizar de maneira mais eficiente suas informações.
“Enquanto as organizações dependem cada vez mais dos
sistemas de informação computadorizados, a construção,
o uso, a gerência e a manutenção desses sistemas tornam-
se essenciais ao bem-estar ou à sobrevivência uniforme de
muitas organizações.” Segundo Naqvi (2004, p. 79)
Falando em sistemas de informação, Laudon & Laudon (1999, p. 4),
nos dá uma idéia do fluxo e do mecanismo por trás dessa tecnologia e classifica-os da
seguinte forma “Um sistema de informação consiste em três atividades básicas –
entrada, processamento e saída que transformam dados originais em informação útil”.
É bem percebido com isso que a busca das organizações nos efetivos
meios de armazenamento de dados tem sido cada vez maior, uma vez que esses dados
tendem a gerar informações cada vez mais valiosas para elas.
É digno de nota também que embora os sistemas de informação
tenham surgido com a principal finalidade de automatizar tarefas e processos, tanto
Laudon & Laudon (1999, p.5) como O’ Brien (2002, p.20) expressam que “Sistemas de
Informação são compostos por um conjunto de cinco componentes: recursos humanos,
hardware, software, dados e redes, que executam atividades de entrada,
12. processamento, produção, armazenamento e controle, com a finalidade de converter
recursos de dados em produtos de informação”.
Dessa forma o que se vê é a necessidade da interação humana para
que as informações geradas por esses sistemas possam ter as devidas consistências para
as finalidades cuja elas são determinadas. Além disso, a informação só é importante
para as organizações se existir alguém que a utilize, sendo inútil efetuar gastos com o
planejamento e implementação de Sistema de Informação se não forem utilizadas pelo
gestor e/ou as informações disponíveis não possibilitem tomada de decisões. Com tal
propósito, observa-se que Gates (2000, p.32) entende que, para fazer a informação
funcionar “As pessoas da empresa precisam ter acesso fácil às informações”. Portanto,
para que um Sistema de Informação seja implementado nas organizações, “é importante
respeitar a cultura organizacional adotada pelas empresas, além de levar em
consideração que a flexibilidade do acesso depende e muito das formas como essa
informação ficará disponível a seus utilizadores.”
Os Sistemas de Informação computadorizados desempenham papel
extremamente importante para as organizações e seus negócios, devendo-se ressaltar
que, para atingir os resultados esperados esses dependem muito da tecnologia da
informação utilizada pelas organizações. Para O’ Brien (2002, p.8), é importante
perceber “que a Tecnologia da Informação e os Sistemas de Informação podem ser mal
administrados, mal aplicados, de forma que criam fracasso tecnológico e também,
comercial.”
Ainda Rezende & Abreu (2001, p. 76) definem Tecnologia da
Informação “Como recursos tecnológicos e computacionais para a geração e uso da
informação”, enquanto Foina (2001, p.31) entende que Tecnologia da Informação é
“Um conjunto de métodos e ferramentas, mecanizadas ou não, que se propõe a garantir
13. a qualidade e pontualidade das informações dentro da malha empresarial”.
Dentre os recursos de Tecnologia da Informação é importante
destacar:
• O hardware, que compreende todos os equipamentos computacionais, de
computadores a equipamentos de segurança ou mesmo de conexão de rede;
• O software, que são todos programas e que vão desde o Sistema Operacional
até as ferramentas de produtividade, ou mesmo ferramentas de Banco de Dados;
• A rede, que compreende toda estrutura de interligação entre computadores e
equipamentos, como gerenciadores e concentradores de rede, bem como sua
própria arquitetura;
• O dado, que Laudon & Laudon (2001, p.4) definem como sendo “Sucessões de
fatos brutos que representam eventos que acontecem em organizações ou no
ambiente físico antes de serem organizados e arrumados de uma forma que as
pessoas podem entender e usar”.
• Ainda, STAIR (1998, p. 20) destaca que “na sociedade atual, os sistemas de
informação tem um papel importante nos negócios e na sociedade atual, e que
sistemas eficazes podem ter um impacto enorme na estratégia corporativa e no
sucesso organizacional das empresas” .
• Finalizando, O’BRIEN (2001, p. 13) cita que “atualmente a tecnologia da
informação pode apoiar a globalização da empresa por possibilitar as
operações mundiais das empresas e as alianças entre empreendimentos globais
interconectados” .
14. COMUNICAÇÃO DE DADOS
A RFC 2828 (2002, p. 25) define Rede de Computadores como sendo
“uma coleção de hosts interligados para troca de dados” . Host é definido pela mesma
RFC 2828 (2002, p. 49) como sendo “um computador ligado a uma rede de
comunicação que possa usar os serviços providos pela rede para trocar dados com
outros sistemas interligados” . A definição de rede de computadores é utilizada para
sistemas de todos os tamanhos e tipos, indo desde a complexa internet até a um simples
computador pessoal interligado remotamente como um terminal de outro computador.
Igualmente, TANENBAUM (1997, p. 02) define Rede de
Computadores como “um conjunto de computadores autônomos, interconectados,
sendo capazes de trocar informações. Essa interconexão pode ser feita através de fios
de cobre, lasers, microondas, satélites de comunicação e também por fibras óticas” .
As Redes de Computadores possuem inúmeros objetivos.
TANEMBAUM (1997, p. 05) define os seguintes objetivos da interconexão de
computadores:
“Compartilhar recursos: todos os programas, dados e equipamentos
da rede devem estar disponíveis a todos os usuários, independentemente de sua
localização física. Como exemplo de compartilhamento, pode-se citar a utilização de
uma impressora por vários usuários;
Economia: a substituição gradativa dos antigos mainframes para as
redes de computadores de pequeno porte significou uma redução muito grande nos
custos de manutenção dos sistemas de informação, possibilitando uma verdadeira
15. revolução nos CPDs. Esse fenômeno ficou conhecido mundialmente como downsizing.”
Essas redes de computadores de pequeno porte possibilitam um aumento da capacidade
de processamento à medida que a demanda cresce, ao contrário dos grandes
mainframes, onde a sobrecarga só poderia ser solucionada com a substituição do mesmo
por um mainframe de maior capacidade, a um custo geralmente muito elevado;
Ainda, segundo TANEMBAUM (1997, p. 05): “meios de
comunicação: as redes de computadores também são um poderoso meio de
comunicação entre pessoas, possibilitando inclusive o trabalho em conjunto mesmo
estando a quilômetros de distância.”
Segundo Torres (2001, p. 4) “É praticamente impossível hoje em dia
não pensar em redes quando o assunto é informática. Basta lembrar uq egrande parte
das pessoas compra computadores hoje para ter acesso à maior das redes existentes –
a Internet.”
Mas quais as maiores vantagens de uma rede de computadores? Torres
(2001, p.5) ainda conclui “Além da facilidade de se trocar dados – seja como arquivos
ou informações -, há ainda a vantagem de se compartilhar periféricos”, conforme
vimos acima.”
Ainda Torres (2001, p.5) cita: “Quando falamos em troca de dados,
essa troca não está relacionada somente com arquivos, mas de qualquer dado gerado
no computador, podemos citar como exemplos, sites de comércio eletrônico na Internet,
agendas corporativas e o próprio correio eletrônico como meios de comunicação de
dados.”
Com a facilidade da troca de dados entre vários computadores e o
16. surgimento de novos nichos de tecnologia de comunicação de dados emergentes, surge
a necessidade de pensar em como protegê-los, de que forma aplicar a segurança nas
informações.
17. SEGURANÇA DA INFORMAÇÃO
Devido ao aumento do valor agregado, as organizações passaram a
apostar mais de suas fichas nas informações e tecnologias, afinal como já visto, todo o
processo de uma organização atualmente é automatizado e digitalizado, estando eles a
mercê da disponibilidade e confiabilidade da informação que trabalham.
Agregado a esse pensamento, Gonçalves (2005, p.1) diz “Desde os
primórdios da humanidade sempre foi possível perceber uma constante preocupação
com as informações e com o conhecimento que geram. No Egito antigo por exemplo,
somente as castas dominantes tinham acesso à escrita e à leitura, visto a complexidade
e o seu valor agregado.”
A revolução tecnologia e o mundo globalizado permitiu então que
houvesse um grande aumento na capacidade tanto de processamento quanto de
distribuição das informações geradas. Porém, como bem sabemos, aliado a esse boom
da informação que é muito benéfico para as pessoas e organizações atualmente, surgiu
também um lado não tão bom que é a permissão de que pessoas tivessem capacidade e
maior facilidade de acesso a informações sigilosas.
No ínterim, definimos que a evolução da tecnologia da informação fez
com que houvesse a necessidade do surgimento da segurança da informação, e esta
evolução é descrita da seguinte forma segundo O’BRIEN (2001, p. 43), e resumida
como a seguir:
“Primeira geração: envolvia computadores enormes utilizando
centenas ou milhares de tubos a vácuo para os seus circuitos de processamento e
memória. Esses enormes computadores geravam enormes quantidades de calor e seus
18. tubos a vácuo tinham de ser freqüentemente substituídos. Dessa forma, exigiam grande
quantidade de energia elétrica, ar condicionado e manutenção. Os computadores de
primeira geração possuíam memórias principais de apenas alguns milhares de
caracteres e velocidades de processamento de milissegundos. Utilizavam tambores
magnéticos ou fitas para armazenamento secundário e cartões ou fita de papel
perfurado como mídia de entrada e saída.
Segunda geração: utilizava transistores e outros dispositivos semi
condutores sólidos que eram cabeados a painéis de circuitos nos computadores. Os
circuitos transistorizados eram muito menores e muito mais confiáveis, geravam pouco
calor, eram mais baratos e exigiam menos energia elétrica que os tubos a vácuo. Eram
utilizados minúsculos núcleos magnéticos para a memória do computador ou para
armazenamento interno. Muitos computadores de segunda geração tinham capacidades
de memória principal de menos de 100 kilobytes e velocidades de processamento em
microssegundos. Pacotes de disco magnético removível foram introduzidos e a fita
magnética surgiu como principal meio de entrada, saída e armazenamento secundário
para instalações de grandes computadores.
Terceira geração: esta geração assistiu ao desenvolvimento de
computadores que utilizavam circuitos integrados, nos quais milhares de elementos de
circuito são engastados em minúsculos chips de silício. As capacidades de memória
principal aumentaram para vários megabytes e as velocidades de processamento
saltaram para milhares de instruções por segundo, à medida que se tornavam comuns
as capacidades de telecomunicações. Isto possibilitou que os programas de sistemas
operacionais passassem a entrar em uso generalizado e supervisionassem as atividades
de muitos tipos de dispositivos periféricos e processamento de diversos programas ao
mesmo tempo pelos Mainframes (definir o que significa mainframe) A tecnologia do
19. circuito integrado também possibilitou o desenvolvimento e uso generalizado de
pequenos computadores chamados minicomputadores na terceira geração de
computadores.
Quarta geração: esta geração recorreu ao uso de tecnologias LSI
(integração de larga escala) e VLSI (integração de escala muito larga) que comprimem
centenas de milhares 11 ou milhões de transistores e outros elementos de circuito em
cada chip. Isto permitiu o desenvolvimento de microprocessadores, nos quais todos os
circuitos de uma CPU estão contidos em um único chip com velocidade de
processamento de milhões de instruções por segundo. As capacidades de memória
principal, que se estenderam de alguns megabytes a vários gigabytes, também puderam
ser obtidas por chips de memória que substituíram as memórias de núcleo magnético.
Os microcomputadores que utilizaram CPUs microprocessadoras e uma série de
dispositivos periféricos e pacotes fáceis de usar para formar pequenos sistemas de
computador pessoal (PC) ou redes cliente/servidor de PCs e servidores conectados, são
um marco da quarta geração de computadores, que acelerou o downsizing dos sistemas
de computadores.
Quinta geração: ainda se discute se estamos ou não passando para
uma quinta geração de computadores, já que o conceito de gerações pode não mais se
adequar às mudanças contínuas e rápidas nas tecnologias de hardware, software,
dados e rede de computadores. Em todo o caso, porém, podemos estar certos de que o
progresso nos computadores continuará a acelerar-se e de que o desenvolvimento de
tecnologias e aplicações baseadas na internet será uma das maiores forças que
dirigirão a computação no século XXI.”
Para BEAL (2001, p. 3), “a tecnologia da informação vem atualmente
sendo utilizada com o objetivo de melhorar os processos internos, de reduzir custos, de
20. melhorar a qualidade e disponibilidade das informações importantes interna e
externamente à organização e agregar valor aos serviços e produtos ofertados por uma
organização.”
Neste mesmo sentido, a Norma NBR ISO/IEC 17799 (2001, p. 2)
destaca que “confidencialidade, integridade e disponibilidade da informação podem ser
essenciais para preservar a competitividade, o faturamento, a lucratividade, o
atendimento aos requisitos legais e a imagem da organização no mercado” .
Para que as informações tenham esses atributos notáveis,
acompanhando com isso a evolução da Tecnologia da Informação, a segurança dessas
informação deve ser um fator de intensa preocupação.
A segurança de informação tem sido grandemente influenciada através
dos anos em inúmeras áreas. O quadro 2.1 ilustra os estudos realizados por SOLMS
(1996, p. 282).
Áreas onde a Segurança da Informação vem sendo influenciada
Escopo
Atualmente a maioria das empresas necessita embarcar no comércio
eletrônico e interligar suas facilidades de tecnologia de informação
com seus parceiros. De forma resumida, o escopo de acesso
autorizado aos sistemas de informação evoluiu de dentro da sala de
computação, para dentro dos limites da empresa, e finalmente para
fora dos limites da empresa (através de seus parceiros). No primeiro
estágio, a segurança de informação foi de responsabilidade do
pessoal da operação que tiveram de introduzir controles de
segurança físico, garantir que o back-up fosse realizado, etc. No
21. segundo estágio, controles foram instalados para minimizar as
chances das ameaças causarem efeitos adversos nos serviços das
companhias, ou para minimizar os impactos se algo acontecesse. O
objetivo maior é o de garantir confiabilidade nas informações. Com
o advento do comércio eletrônico, as empresas têm necessidade de
interligar seus computadores com os dos parceiros. Todas as
empresas desejam Ter algum tipo de garantia das práticas de
segurança de informação de seus parceiros de negócios.
Responsabilidade
No passado, a segurança da informação ficou limitada a segurança
física em sua extensão. O gerente de operações era o maior
responsável, e esta atividade tinha um orçamento bastante pequeno.
Apesar da transferência da computação da área central (Mainframe)
para as diversas áreas de negócios, não ocorreu a equivalente
alteração no que concerne a assuntos relativos à segurança. Gerentes
de negócio, de uma maneira geral, não queriam aceitar a
responsabilidade pela segurança de informação, e procuraram deixar
esta preocupação aos encargos do gerente de informática.
Infelizmente na maioria das empresas - apesar de a informação ser
considerado como o ativo mais precioso de qualquer organização - a
Alta Administração não se envolve com problemas relativos à
segurança de informação. Esta ausência de envolvimento tem sido
vista como um dos maiores empecilhos para a obtenção de uma
eficiente Política de Segurança de informação nas empresas.
Quadro 2.1 – Áreas aonde a segurança de informação vem sendo influenciada
Fonte: SOLMS, 1996, p. 281-288
Nota: adaptado pelo autor em 2008.
22. Ainda, SÊMOLA (2002, p. 2) cita entre suas previsões para a área de
Tecnologia de Informação a seguinte relevância “a complexidade crescente dos
processos de negócio, a heterogeneidade de tecnologias, o alto grau de conectividade e
compartilhamento de informações, e ainda os novos planos de negócio da empresa
serão fatores ainda mais relevantes para a gestão da Segurança.”
Mas de que forma atua a Segurança da Informação?
A San Francisco State University (1991, p. 2) define o propósito da
Segurança de Computadores “como sendo a proteção do local onde está o computador,
seu hardware, software e dados nele armazenados. A responsabilidade desta tarefa
deve ser compartilhada por todos os usuários que utilizam a rede de computadores.”
Segundo esta universidade, “a segurança perfeita é algo inatingível. Assim sendo, a
meta da segurança de informação é prevenir ou reduzir a probabilidade de dano ao
hardware, software e aos dados. Esses danos podem ser provenientes de mau uso, dano
acidental ou proposital, vandalismo, invasão intencional, fraude e sabotagem, bem
como desastres por fogo, água, terremotos e furacões.”
Para o CIT (2000, p. 3), a segurança de computadores serve para
“proteger contra invasores externos que estejam com a intenção de penetrar nos
sistemas para roubar informações sensíveis, e que existem inúmeros outros perigos
imediatos – tais como partilhar com amigos a mídia ou deixar de fazer cópia de
segurança de um disco importante – que são mais prováveis de causar problemas no
dia-a-dia.”
Segundo a NBR ISO/IEC 17799 (2001, p. 2), a segurança da
informação é caracterizada pela preservação de:
23. • “Confidencialidade: garantia de que a informação é acessível somente por
pessoas autorizadas a terem acesso”;
• “Integridade: salvaguarda da exatidão e completeza da informação e dos
métodos de processamento”;
• “Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário”.
Em consonância com a NBR ISO/IEC 17799, MOREIRA (2001, p. 9)
cita que “o objetivo da segurança da informação é a busca da disponibilidade,
confidencialidade e integridade dos seus recursos e da própria informação. A
disponibilidade dos recursos consiste em disponibilizar os sistemas e informações para
a pessoa certa e no momento certo em que ela precisar”. A integridade então consiste
em proteger a informação contra qualquer tipo de alteração sem a autorização explícita
do autor da mesma.
Em relação à integridade, o mesmo autor cita que “a perda de
integridade pode ser intencional ou não. Quando uma empresa perde uma informação,
além do valor desta, a empresa deverá levar em conta o custo de sua recriação,
substituição ou até mesmo de sua restauração. Independente da forma ou motivo surge
a questão: qual o custo financeiro para recuperar ou reconstruir os dados alterados?”
Em relação a confidencialidade, ainda MOREIRA (2001, p. 10) define
como sendo “a propriedade que visa manter o sigilo, o segredo ou a privacidade das
informações evitando que pessoas, entidades ou programas não-autorizados tenham
acesso às mesmas”. A perda de confidencialidade existe quando pessoas não-
autorizadas obtém acessos às informações confidenciais e passam a revelar a terceiros.
24. GIL (1995, p. 33) cita ser sempre importante destacar os seguintes
aspectos de segurança:
• “a segurança da informação é responsabilidade de todos os profissionais da
empresa”;
• “a análise de segurança em informática implica correlacionar as medidas de
segurança com as ameaças e situações de insegurança em cada local físico que
compõe o ambiente de informática”;
• “é imprescindível se obter a participação e a cumplicidade de todas as áreas,
para a busca de consenso quanto à autenticidade do Plano de Segurança e
Contingência, garantindo desta forma o comprometimento de todos”;
• “a insegurança ocorrida em uma área produtiva pode ocorrer em outras áreas
empresariais”.
SZUBA (1998, p. 7) alerta: retirar e colocar em baixo
“ ... a finalidade da segurança de sistemas não é colocar
todos os dados confidenciais da organização em um
sistema impenetrável, de tal forma que até mesmo os
usuários autorizados tenham dificuldade de acessá-los. A
real finalidade da segurança da informação é proteger as
informações e os sistemas sem desnecessariamente limitar
sua utilidade. Os sistemas não devem ser tão seguros de
tal forma que os usuários autorizados não possam acessar
os dados necessários para a execução de suas tarefas:
afinal de contas, o único propósito para manter as
25. informações em ambientes seguros, é a plena utilização
pelos usuários autorizados” . SZUBA (1998, p. 7)
Complementando a idéia, a empresa BR DATA Network Security
(2003, p. 2) detalha os objetivos da segurança da informação como a seguir:
1. “manter a confiança de clientes, parceiros e acionistas da organização”;
2. “proteger a confidencialidade, integridade e a disponibilidade das informações
da organização”;
3. “evitar responsabilizações por ações ilegais ou maliciosas cometidas através
dos sistemas da organização”;
4. “evitar fraudes”;
5. “evitar incidentes custosos ou que causem interrupção nos negócios da
empresa; evitar abusos na utilização dos recursos de informação
disponibilizados pela organização”.
No entanto, há várias ameaças à Segurança da Informação, que são
denominadas segundo a RFC 2828 (2002, p. 101) define ameaça como sendo “um
potencial para violação da segurança, o qual existe quando se tem uma circunstância,
capacidade, ação, ou evento, que pode quebrar a segurança e causar prejuízos” .
Vários mecanismos são utilizados para dar embasamento à Segurança
da Informação e fazer com ela se torna mais confiável e robusta segundo NBR ISO/IEC
17799 (2001, p. 3), entre ela estão: “O profissional de segurança, a análise de riscos, o
controle de acesso aliado à segurança física, e as políticas de segurança. O Objetivo
deste estudo, a partir de agora, é tentar detalhar um pouco mais este último
26. mecanismo, as Políticas de Segurança.”
POLÍTICAS DA SEGURANÇA – O QUE SÃO?
Política de Segurança da Informação é um conceito de idéias definidas
e estudadas, transcritas para o papel a fim de efetuar a conscientização dos funcionários
da organização, ou melhor, de todos os usuários da informação, para que esta não seja
exposta indevidamente por falta de conhecimento e evitando fraudes.
As fraudes tendem a explorar o que conhecemos por vulnerabilidades,
criadas por brechas em sistemas de informações, mau uso das informações por parte
Nossa atual realidade presa à informação como sendo o bem de maior
valia para as organizações independentemente do ramo de atuação desta, sendo ela
comércio, indústria ou financeira, a informação nos abre novos horizontes e mercados
para que possamos expandir nossos anseios em busca de maiores lucros e perspectivas.
As respostas a essas questões são fundamentais ao bom funcionamento das
organizações, independente do seu ramo de atividade e a falta dessas respostas nos
momentos adequados, ou a obtenção de respostas incorretas, certamente influenciará
negativamente o desenvolvimento dos negócios e poderá gerar prejuízos financeiros ou
de imagem.
A globalização que transforma a informação recente em ultrapassada
apresenta à sociedade um novo momento em que os profissionais devem buscar se
atualizar para não serem ultrapassados no mercado e ao mesmo tempo desenvolver
procedimento de segurança para as informações vitais, em que as organizações se
transformaram. Visto que atualmente não existe mais a empresa que valoriza seu
imobilizado e toda a sua estrutura física e sim a organização que valoriza a informação
27. de que é constituída toda a sua riqueza, lucro e potencialidade de desenvolvimento
futuro e atual. Alguns conceitos relacionados a segurança da informação devem ser
estabelecidos, tais como a importância da informação.
As organizações contemporâneas são entidades dinâmicas,
interligadas ao meio em que atuam por uma rede de relações, sejam com clientes,
fornecedores ou outros segmentos da própria organização. O rápido desenvolvimento de
várias tecnologias modernas tem feito com que essas relações na atualidade, tenham
uma abrangência muito ampla, podendo atingir todo o planeta. Para garantir sua
sobrevivência, essas organizações necessitam essencialmente de informações.
Aos administradores dessas novas organizações, integradas aos
mercados em que atuam, são apresentadas com freqüência, questões semelhantes as que
aparecem abaixo:
• Qual o perfil dos nossos clientes?
• Quanto faturamos, por produto ou serviço?
• Quanto aplicamos em investimentos financeiros?
• Como anda a execução do orçamento da organização?
• Quem são nossos fornecedores e qual o valor dos seus créditos?
• Quem são nossos devedores e quanto devemos cobrar?
• Como anda a concorrência? Os nossos produtos ou serviços são competitivos?
• Quanto devemos de tributos e impostos?
28. • Quais os nossos objetivos estratégicos?
• Qual o valor da nossa folha de pagamentos?
Muitos são os motivos que levam uma organização a proteger as suas
informações. Em primeiro lugar devesse considerar que criar, encontrar ou armazenar
informações custa dinheiro, portanto a sua perda resulta em prejuízo. Por outro lado, a
informação é importante para a organização e seus negócios, assim como também é
importante para os seus concorrentes, o que a torna alvo preferido para sabotadores,
espiões industriais e vários tipos de golpistas e ou hackers.
Considerando que, cada vez mais, a realização de transações
econômicas depende da informação, fica claro que a sua indisponibilidade acarreta
prejuízo financeiro e faz dela, talvez, o bem mais valioso da organização e, por isso
mesmo, precisa ser preservado, garantido e bem gerenciado.
Atentando para que, um ambiente sem padrão, organização ou
controle de suas informações e, principalmente com usuários não comprometidos com o
sigilo e a segurança, é altamente propício à perda de informações e fraudes. Mesmo que
não sejam anunciadas em jornais, fraudes acontecem a dão prejuízos! Quando
eventualmente vêm a público, desacreditam a organização vitimada perante seus
clientes e parceiros comerciais.
Desta forma, apresenta-se este estudo sobre Política de Segurança da
Informação, que tem como objetivo identificar padrões de segurança existentes no
mercado e seguidas pelas organizações de acordo com a sua atuação no mercado e seu
porte, atentando para medidas de proteção no acesso às informações.
As políticas de Segurança são normas que definem as melhores
29. práticas para o manuseio, armazenamento, transporte e descarte das informações, sendo
a Política de Segurança da Informação uma ferramenta para a prevenção e proteção da
informação, de forma a restringir acessos e salva-guardar a sua manipulação por pessoas
não autorizadas.
A definição de Segurança da Informação pode ser analisada, como
uma fonte de poder, pois no mundo moderno quem possui a informação, possui o poder.
Se não, vejamos:
“A segurança da informação é, sem dúvida, uma das
grandes preocupações das empresas sintonizadas com o
seu tempo.
Na medida em que os diversos mercados mundiais se
aproximam com extrema rapidez, o significado da
expressão Informação é Poder, tem adquirido novas
dimensões no ambiente econômico.” (Loss Control, 2001).
As organizações investem em tecnologia, na maioria das vezes
buscando emparelhar com a tecnologia da concorrência, mas atualmente nossa realidade
espelha segurança, para a tomada de decisão das organizações o que implica em sua
sobrevivência e na minimização de riscos, como podemos observar abaixo:
“Há algum tempo, era comum o departamento de TI usar
como argumento para justificar o investimento em
tecnologia a necessidade de acompanhar o ritmo da
concorrência. Hoje a tarefa é ainda mais árdua. A taxa de
retorno dos investimentos (ROI) passou a ser a métrica
para executivos e empresários nos processos de tomada
30. de decisões. Baseando-se em variáveis de redução de
custos, prejuízos, viabilidade de aplicações e projeções, a
ferramenta é apontada como o caminho mais indicado no
momento de decidir por um investimento, principalmente
os de grande soma.” (Haical, 2001, www.modulo.com.br)
Contudo as organizações se questionam com relação ao custo a ser
investido em tecnologia das informações, para o melhor desenvolvimento e alcance da
eficiência e eficácia, pela qual as empresas buscam, como podemos analisar abaixo:
“Custo ou Investimento? Esse sempre foi o dilema de
quem gasta com tecnologia da informação. Pergunte aos
diretores de informática e todos garantirão que é
impossível viver sem computadores no mundo moderno. E
terão razão. Mas, se o computador é um conforto, ele
também custa dinheiro. E saber quanto se gasta para
manter a estrutura tecnológica é apenas o primeiro passo
para avaliar sua eficácia e sua eficiência. Sem isso, fica
impossível dimensionar se o computador traz ou não o
retorno desejado.” (Gurovitz, 2001, pg. 40).
A Política de Segurança deve ser vista, como um ponto de forte
importância e impacto, como podemos observar:
“Não se deve encarar uma política de segurança como
mais um modismo passageiro que freqüentemente aparece
em todas as áreas de atividades. Antes de mais nada,
política de segurança é um conjunto de diretrizes gerais
31. destinadas a governar a proteção a ser dada a ativos de
informação.” (Caruso, Steffen, 1991, pg 15)
A compreensão da tecnologia da informação abrange três pilares
principais, sendo: segurança lógica, segurança física e segurança técnica. A segurança
física desempenha tão importante quanto a demais, devido ser a base para a proteção de
todo e qualquer investimento feito pela empresa. Atentando para o fato de que investir
em diferentes aspectos de segurança sem apreciar suas prioridades, pode ocasionar em
perda de recursos em conseqüência de falhas nos sistemas mais vulneráveis. “Em nossa
atual realidade, as organizações realizam projetos de continuidade de negócios a fim
de analisar seus investimentos de uma forma mais abrangente e planejar seus
investimentos em segurança física, lógica e técnica, com o objetivo de garantir
integridade, disponibilidade e confidencialidade de suas informações”. (Barbosa, 2001,
www.modulo.com.br)
Além dos elementos citados acima, dois atributos devem estar
presentes. “Primeiramente a transparência, devendo-se demonstrar claramente os
mecanismos adotados para garantir o nível de segurança do sistema. E segundamente o
controle que permite a aditabilidade por meio dos registros de utilização da
informação, identificando quem fez – o que e quando”. (Nery, 2001,
www.modulo.com.br)
PELISSARI (2002, p. 23) define ainda que a Política de Segurança de
uma Empresa deve conter itens como:
• “Responsabilidades do uso de recursos computacionais”;
• “Preparar o Plano de Continuidade de Negócios”;
32. • “Elaborar as normas de uso de e-mail e de uso da internet”;
• “Distinguir entre informação pública e privada”;
• “Gerenciar acesso e contas de usuários”;
• “Prever o combate a ameaças aos sistemas de informação como fogo, enchente,
etc”.;
• “Definir a política de privacidade do site da empresa na internet se houver”.
Conforme Geus & Nakamura (2003), algumas orientações devem ser
seguidas para a elaboração de uma boa Política de Segurança, são elas: “
• A política deve representar o pensamento da organização e ter o apoio de
todos;
• Nesse documento não devem conter definições técnicas, também não deve ser
um manual de implementações, pelo contrário, deve ser simples o bastante para
que todos possam entender e utilizar;
• A responsabilidade de cada membro envolvido, inclusive a do gestor da política,
deve ser defina;
• Adoção de medidas disciplinares caso ocorra o descumprimento da política;
• Avaliação dos custos para implantação de tal política;
• Avaliação de serviços que são estritamente necessários, aquilo que não for
expressamente permitido será proibido.”
Outro ponto a se levar em consideração é sobre os aspectos humanos.
33. Todo investimento em segurança pode se perder se o usuário não estiver preparado para
seguir as normas da política. De nada adianta senhas difíceis se elas estão afixadas ao
teclado servindo como lembrete. Seria importante que todo usuário fosse conscientizado
da importância da segurança através de um treinamento, o que minimizaria as chances
de falhas no processo e também possíveis ataques que usam a engenharia social.
Assim como questões sobre controle de acesso lógico, é importante
que a política também abranja questões sobre a segurança física. É preciso proibir o
acesso aos equipamentos por parte de pessoas não autorizadas. Um outro fator que pode
ocorrer é catástrofes naturais, por isso, é de fundamental importância que o plano de
contingência faça parte da Política de Segurança.
34. CRIANDO AS POLÍTICAS DE SEGURANÇA
Uma vez que identificamos a importância das políticas de segurança
para a proteção das informações, analisaremos agora que criá-las, embora pareça ser
uma tarefa até razoavelmente simples, envolve alguns assuntos que as podem tornar
complexas, merecendo assim atenção.
“Para criarmos as políticas de segurança, precisamos
saber exatamente o que precisa ser protegido, onde, isso
envolve tanto o hardware quanto o software necessários
para a execução do processo. É muito importante
entender o processo do negócio suportado pela
tecnologia. A política acumularia pó na prateleira, caso
impeça o bom andamento dos negócios da empresa.”
BARMAN (2001, p.19)
E para identificar os ativos a ser protegidos, BARMAN (2001, p.19)
ainda conclui “Precisamos entender que os computadores representam ferramentas
para suportar os negócios da empresa, assim como os discos servem para
armazenamento e a rede para permitir que a informação interaja entre os diversos
processos do negócio.”
O próximo passo, constitui identificar de quem as informações serão
protegidas. Veja o que BARMAN (2001, p.22) fala a respeito: “Para definir acessos, é
importante entender como cada sistema e componente de rede é acessado. Sua rede
poderá ter sistemas de autenticação e ainda serviços de intranet, mas todos os seus
sistemas têm essa tecnologia? Como os dados são distribuídos e interagem entre os
35. sistemas? Entendo a forma como os recursos de informação são acessados, ficará mais
fácil identificar em quem as informações deverão estar concentradas. Certas
considerações sobre acesso aos dados também podem ser:
• Acessos permitidos e negados aos recursos;
• Divulgação indevida e/ou não autorizada da informação;
• Bugs e erros de usuários.”
Na prática, contudo as políticas tomam como passo inicial a realização
de uma análise de riscos no ambiente organizacional, passando pela definição do plano
de contingência e culminando com a proteção de informação contra roubos, fraudes e
erros humanos.
ANÁLISE DE RISCOS
A Análise de Riscos tem por objetivo identificar os riscos de
segurança presentes na sua Empresa, fornecendo conhecimento para que sejam
implementados controles eficazes de Segurança.
Fazem parte de uma Análise de Risco:
• Processos de Negócio: Identificar junto aos gestores e colaboradores os
Processos de Negócio existentes na Empresa;
• Ativos: Identificar os ativos que serão considerados na Análise de Risco:
Pessoas, Infra-estrutura, Aplicações, Tecnologia e informações;
• Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que
possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das
36. suas informações;
• Ameaças: Identificar os agentes que podem vir a ameaçar a Empresa;
• Impacto: Tendo identificado as vulnerabilidades e ameaças - identificamos o
impacto que estes podem causar na Empresa. Como roubo de informação,
paralisação de serviços, perdas financeiras entre outros.
Uma Análise de Risco bem realizada dará informações à sua Empresa
para garantir a Confidencialidade, disponibilidade e Integridade da suas informações.
• Confidencialidade: Garantir que apenas pessoas autorizadas tenham acesso às
informações.
• Disponibilidade: Garantir que a sua Empresa tenha acesso a informação sempre
que necessário.
• Integridade: Garantir que haja controle quanto a alteração das informações.
• Autenticidade: garantia de que a informação é de fato originária da procedência
alegada;
ALGUNS BENEFÍCIOS
• Conhecimento dos riscos da Empresa.
• Otimização de recursos
• Ter subsídios para um Plano de Ação
Desta forma, a Análise de Risco possibilita enquadrar sua Empresa em
uma das situações abaixo.
37. Nível de segurança bem
implementado para
algumas situações,
porém outras
extremamente fracas,
vindo a prejudicar
aquelas já em
funcionamento.
Nível de segurança
fraco em todas as
situações. Empresa
não protegida
Nível de segurança bem
implementado,
homogêneo por todos os
lados.
Fonte: http://www.focosecurity.com.br/servicos/analise_risco.asp
Como parte fundamental ainda há o desenvolvimento do plano de
contingência.
PLANO DE CONTINGÊNCIA
Este tem como objetivo minimizar ou levar a zero as interrupções das
atividades de seus colaboradores, protegendo também a perda das informações causadas
por possíveis ameaças.
(Dave Ross, 2007) Cita que “em um desastre de grande magnitude, há
muito o que fazer para recuperar um negócio e manter serviços essenciais funcionando.
Mas o plano certo de recuperação de desastre e os planos certos de contingência
podem ajudar a manter os serviços de uma empresa funcionando até nas piores
situações”.
CONTINGÊNCIA
38. Ainda (Dave Ross, 2007) define contingência “como a possibilidade
de um fato acontecer ou não. É uma situação de risco existente, mas que envolve um
grau de incerteza quanto à sua efetiva ocorrência. As ações de contingenciamento são
encadeadas, e por vezes sobrepostas, de acordo com procedimentos previamente
acordados no projeto da rede. O seqüenciamento das ações depende dos
acontecimentos que precederam o evento (contingência) bem como das condições
contextuais que vão sendo construídas no próprio processo, ou seja, o processo de
contingenciamento é construído e negociado à medida que a interação se processa”.
Sucintamente, as condições necessárias para a existência de uma
contingência são: possibilidade de um acontecimento futuro resultante de uma condição
existente, incerteza sobre as condições operacionais envolvidas e a resolução destas
condições dependerem de eventos futuros.
OBJETIVO
O objetivo do plano de continuidade de negócios é proteger as
operações da organização, e não somente seus sistemas computacionais - “afinal, sem o
pessoal, procedimentos em funcionamento e conectividade, não faz sentido restaurar os
sistemas”, (MIORA, 2002a).
Uma análise dos ativos indica o grau de criticidade de cada um dos
sistemas existentes, o que, associado ao número de dias durante os quais a organização
pode prosseguir sem o ativo considerado, gera a chamada matriz de análise de impacto
nos negócios. Esta matriz é então utilizada como índice para apontar os ativos críticos e
o tempo máximo suportável de indisponibilidade, orientando prioridades e
investimentos.
39. Em suma, o plano de contingência, ou como também é conhecido,
plano de continuidade dos negócios, visa fazer com que as organizações não sejam
pegas de surpresa em casos de desastres naturais ou atentados, e deve sim ter políticas
bem definidas sobre como deve ser a atuação de cada envolvido, bem como seus papéis
delineados nas políticas de segurança da informação.
Um outro enfoque quando se desenvolve um conjunto de políticas de
segurança é realizar a classificação das informações.
CLASSIFICANDO A INFORMAÇÃO
Como já visto, a informação hoje é vista como senão o principal, um
dos principais ativos de uma organização.
Classificar a informação significa enquadrá-la em níveis tanto de
sigilo quanto de criticidade. Como exemplo, podemos citar que o nível de sigilo de um
plano de aquisições de uma organização é bem mais sigiloso do que a informação sobre
a metodologia de fabricação de uma peça da mesma organização, a qual também não
deixa de ter o seu nível de sigilo. Na mesma situação, é bem mais crítico para uma
organização as informações sobre históricos de balanços contábeis e operações fiscais
do que a informação sobre a quantidade de funcionários mulheres ou homens.
Ainda, conforme (Caruso, Steffen, 1991, pg 29) “a informação deve
ser analisada cuidadosamente, pois as facilidades de cruzamento de dados nos
sistemas, podem gerar informações mais sensíveis que as originais, desta forma a
classificação das informações relacionadas ao grau de proteção contra destruição é
importante para a continuidade operacional dos negócios da organização, assim como
a classificação quanto ao grau de sigilo é de suma importância para a estratégia dos
40. negócios. Desta forma podemos classificar as informações através de uma questão de
grau.”
E além dos níveis de classificação, é necessário atribuir os papéis /
responsabilidades sobre as informações.
As responsabilidades sobre as informações, vão desde a criação, a
manutenção até o uso da mesma.
Alguns passos fazem parte do ciclo de vida da informação:
• A necessidade – é nessa fase que se detecta que determinada informação deve
ser gerada com uma finalidade a suprir uma necessidade;
• O desenvolvimento – uma informação pode ser derivada, surgir a partir do
conjunto de outras informações já existentes, como também ser primária, sendo
necessária a entrada de novos dados no sistema para compô-las;
• A manutenção – são vários os casos em que a informação precisa ser atualizada
e, a fase de manutenção é responsável por mantê-la útil e com valor;
• A utilização – é nessa fase que a informação é visualizada e utilizada para
transações, consultas, análises, entre outras;
• A exclusão – cuidar da eliminação segura de uma informação é a
responsabilidade que cabe a essa fase.
Para cada uma das fases do ciclo de vida da informação, se faz
necessária a atribuição de papéis, ou seja, definir os envolvidos e suas responsabilidades
para criação, acesso, manutenção ou exclusão das informações.
41. Resumindo, a criação das políticas de segurança envolve muita análise
e levantamento de informações essenciais para seu sucesso e políticas bem criadas e
definidas são as grandes responsáveis para que as informações que estão debaixo delas
compreendam os requisitos confidencialidade, integridade, disponibilidade e
autenticidade.
42. IMPLANTAÇÃO DAS POLÍTICAS DE SEGURANÇA
Passada a difícil fase de criação das políticas, é chegada então à fase
de implantação das políticas nas diversas áreas em que elas irão atuar.
Não há dúvida de que horas e horas de planejamentos, reuniões,
discussões e até mesmo perda de sono foram necessárias para que então as políticas
ficassem disponíveis e prontas para então entrar em ação. Não há dúvidas também que
outras longas horas então serão necessárias para que as políticas possam ser aplicadas,
ajustadas e aceitas, tornando assim eficaz a sua existência.
Segundo CRC Press (2000, p.197) “A publicação de políticas e
procedimentos não é garantia de que todos os envolvidos as leiam, sendo necessário
um programa de implantação de segurança para que as informações cheguem a todos
os funcionários. Antes dos envolvidos aceitarem a Segurança da Informação e suas
políticas, eles devem antes entender por que a implantação é necessária e quais os
benefícios que poderão usufruir dela.”
Obviamente, por se tratar de um programa de coordenação de
implantação, é muito importante que haja a criação de uma estrutura que suporte a sua
implantação, inutilizando assim o risco de as políticas de segurança não serem bem
sucedidas pelo insucesso desse programa.
Ainda, CRC Press (2000, p. 198) sugere a criação de um comitê de
segurança da informação: “Este comitê, estaria capacitado para gerir o programa de
implantação de modo a capitalizar, avaliar e disponibilizar a tecnologia da informação
de modo a aumentar sua eficiência e eficácia para cumprir os desafios competitivos que
43. têm pela frente.” Além do mais, podemos dizer que esse comitê será o responsável por
providenciar métodos, guias e meios para suportar a implantação da segurança da
informação e suas políticas. A estrutura organizacional, ou seja, o organograma do
comitê de Segurança da Informação é o primeiro item que deve ser levado em
consideração. Quem e quais áreas deverão participar dessa equipe?
A resposta a essa pergunta é algo que deve ser levado em estrita
consideração. Através de análises de mercado, porém, CRC Press (2000, p. 120) sugere
que “haja além de um gerente, também um coordenador de segurança em cada área
envolvida, incentivando assim os demais a agirem de acordo com as diretrizes,
procedimentos e políticas definidas.”
CRC Press (2000, p. 198) ainda mostra a importância que há em
“cada gerente ser responsável pela implantação das políticas de segurança envolvendo
as informações que estão sob sua delegação. Sendo isso uma grande vantagem tanto na
etapa da criação, administração como também na conscientização dos funcionários.”
Para auxiliar na implantação das políticas de segurança, nos valemos
também da utilização de outro artefato importante que há na área da segurança da
informação, os procedimentos.
PROCEDIMENTOS
A definição de procedimentos, segundo ISMH (2007, p. 425) : “Os
procedimentos definem especificamente como políticas de segurança serão
implementadas em uma determinada situação. Procedimentos são dependentes tanto de
tecnologia quanto de processos. Eles são usados para definir os passos que um
departamento deve seguir para implementar a segurança em seus sistemas e processos.
44. Normalmente, quem é responsável pela criação, implementação e gerenciamento dos
procedimentos é o próprio custodiante da informação.
Falando ainda sobre procedimentos CRC Press (2000, p. 113) cita:
“Os procedimentos são únicos para cada organização. Não há uma “receita de bolo”
informando como escrever procedimentos eficazes.”
Embora não haja um padrão lógico a ser utilizado, CRC Press (200, p.
114) mostra alguns estilos que tornam a leitura dos procedimentos e conseqüentemente
a aceitação das políticas mais fáceis:”
Criar para o público: O propósito de um procedimento ser criado é para ser
utilizado pelo público. Por isso, antes de criar um procedimento é importante
sempre levar em consideração quem é o público alvo, e o nível de conhecimento
que esse público tem a respeito do assunto abordado;
Organizar o texto: Os procedimentos, embora tenham uma ordem lógica,
precisam ser “digestivos” para aqueles que o lêem. Sendo assim, é importante
que embora o seu texto tenha uma lógica, ele não deve ter um conteúdo
exagerado e deve ser quebrado em partes que deixem a sua interpretação bem
entendível;
Leia e corrija seu texto: Não confie em seu senso de edição, antes de
encaminhar um procedimento pronto, releia-o e se precisar corrija pontos em
que não ficou muito bem ininteligível.
Consulte especialistas no assunto: Embora os especialistas em determinado
assunto possam não conhecer o processo para criação de um procedimento de
segurança, é de grande valia tomar conhecimento de como determinado assunto
45. interage e suas principais características, tonando o autor do procedimento
mais eficaz em sua criação;
Use palavras simples: É bom lembrarmos que o procedimento é escrito muitas
veze para um público leigo e a escolha de palavras de fácil entendimento é um
grande passo para o sucesso do procedimento. Caso seja necessário usar
jargões, e/ou abreviaturas, tenha no procedimento uma seção de definições,
explicando-os;
Use sentenças curtas e simples: Longas sentenças aumentam a frustração do
leitor e diminuem o nível de entendimento, tornando mais difícil a aceitação do
texto. Por isso crie sentenças que possuam até, no máximo, cerca de 15
palavras;
Use ilustrações: A expressão uma imagem vale mais do que mil palavras serve
muito bem para embasar esse estilo. Quando possível, use gráficos que ilustrem
aquilo que está sendo explicado. Talvez cópias de telas também poderão ser
utilizadas para avivar o texto;
Se certifique de que a gramática e pontuações estão corretos: Textos que estão
editados com erros de gramática, pontuação perdem a credibilidade, fazendo
com que o seu conteúdo também acabe sofrendo do mesmo mal;
Use estilo conversante: Será bem mais fácil para o público ler, entender e
aceitar o texto de um procedimento quando eles sentem prazer na leitura, e um
texto mecânico com certeza não atrairá a atenção de muitas pessoas;”
Com já mencionado, não há uma forma padronizada que podemos
utilizar para a escrita de um procedimento, no entanto, esse conjunto de condutas
46. descrito nos ajuda a termos uma melhor chance se sermos bem-sucedidos com a
elaboração de nossos procedimentos.
Elementos de um procedimento
Nem todos os procedimentos necessitam de todos os elementos, no
entanto, abaixo segue um lista sugerida por CRC Press (2000, p. 117) de itens que
compõem um procedimento:”
Título: Determina o tópico ao qual o procedimento abrangerá;
Intenção: Em termos gerais, informa o que o procedimento está tentando
realizar;
Escopo: Emite uma breve descrição do processo ao qual o procedimento está
abrangendo;
Responsabilidades: Identifica quem irá realizar quais passos do procedimento.
Nesse ponto é importante colocar as descrições de cargo ao invés de nomes;
Seqüência de eventos: Visa informar ao usuário o tempo e as condições em que
as tarefas de um procedimento são executadas;
Homologações: Identifica qualquer aprovação ou homologação necessária
para a realização da tarefa, além de informar os caminhos para se obter tais
aprovações;
Pré-requisitos: Lista as condições que deverão ser satisfeitas antes do início do
processo;
Definições: Coloca em foca e tenta explicar os termos, abreviaturas e jargões
que foram utilizados no texto do procedimento e que precisam ser explicados na
47. língua do usuário;
Equipamentos necessários: Lista todos os equipamentos, ferramentas,
documentos, entre outros que são necessários para realizar quaisquer tarefas
do processo do procedimento;
Advertências: Algumas tarefas executadas em ordem errada podem causar
danos graves à organização. Este item deve listar essas tarefas chaves e frisar a
importância de serem executadas de forma correta;
Precauções: Lista detalhadamente os passos que devem ser tomados como
cautela, para evitar problemas;
Corpo do procedimento: Aqui vai o processo, com os passos a ser executados
pelo procedimento.”
Enfim, não é válido afirmar que o desenvolvimento de um
procedimento seja algo simples ou complexo. Isso depende muito do processo ou ainda,
da política que ele irá abrigar. O que temos de fazer é nos basear na experiência de
quem já teve a necessidade de desenvolvê-los e procurar montar a nossa receita de
como criar um procedimento de qualidade e com eficácia.
O PAPEL HUMANO
É fundamental que o fator humano tenha sua parcela de preocupação
no planejamento da implementação das políticas de segurança da informação. O Autor
da dissertação Treina Macacos Educa Pessoas (2004, p.28), através de suas pesquisas
cita os fatores humanos que podem influenciar na implantação de um projeto de
segurança, inclusive de um conjunto de políticas de segurança:
48. “1. Como as pessoas percebem os riscos
“As pessoas não entendem riscos (...) O problema não é apenas de
não ter informações suficientes; as pessoas têm problemas para avaliar riscos mesmo
com as informações adequadas.”
2. Como as pessoas lidam com coisas que acontecem muito raramente
“Um perigo dos sistemas computadorizados é que eles cometam erros
tão raramente que as pessoas não saibam como lidar com eles (...) ‘Eu nunca vi aquela
luz vermelha piscando antes, queria saber o que significa...’ (...) Infelizmente, se houver
muitos alarmes aleatórios, os operadores aprenderão a ignorá-los (...) ‘Aquela luz
vermelha está sempre piscando e nunca há um problema. Eu simplesmente vou ignorá-
lo de novo...’”
3. O problema de usuários confiando em computadores e porque isso
pode ser tão perigoso
“O problema fundamental é que você pode não ter idéia alguma
quanto ao que o computador está realmente fazendo quando você lhe diz para fazer
algo (...) Se você estiver trabalhando em um computador inseguro – o que acontecerá
quase todo o tempo –, não haverá certeza de que aquilo que você vê é o que você
obtém, ou que aquilo que você obtém realmente funciona como você espera.”
4. A futilidade de pedir às pessoas para tomar decisões de segurança
inteligentes
“As pessoas querem segurança, mas não querem vê-la funcionando
(...) Quando se aproxima um prazo e você precisa terminar o serviço, as pessoas nem
pensam duas vezes antes de contornar a segurança. Elas deixarão a porta de incêndio
49. aberta para que alguém possa entrar no prédio com mais facilidade, e passarão a sua
senha ou desativarão um firewall porque o trabalho precisa ser feito (...) Não se pode
confiar que as pessoas implementarão diretrizes de segurança de computador,
trancarão sues carros, não perderão suas carteiras e não contarão a ninguém sobre o
nome de solteira de sua mãe.”
5. Os perigos dos internos maliciosos
“A pessoa que escreve um programa de segurança pode colocar uma
porta dos fundos nele. A pessoa que instala um firewall pode deixar uma abertura
secreta. A pessoa cujo trabalho é realizar a auditoria de um sistema de segurança pode
deliberadamente se esquecer de algumas coisas (...) No fim (...) uma organização está à
mercê de seu pessoal.”
6. Engenharia social e por que é tão fácil para um hacker
simplesmente pedir informações secretas
“A engenharia social (...) é muito eficiente (...) Ela evita a
criptografia, segurança de computador, segurança de rede e tudo o mais que for
tecnológico. Ela vai diretamente para o elo mais fraco de qualquer sistema de
segurança: o pobre ser humano (...) E é por isso que a engenharia social funciona. As
pessoas são basicamente prestativas. E elas são facilmente enganadas (...) No fim,
engenharia social provavelmente sempre funcionará.”
Todos os fatores acima mostram que o fator humano tem uma enorme
capacidade de provocar o insucesso de uma operação, por isso, novamente é reforçada a
importância de jamais desconsiderá-lo na elaboração de um projeto de implantação de
segurança da informação.
50. A implantação de políticas de segurança em uma organização se
mostra um processo trabalhoso, e, assim como a criação dessas, que merece todo
cuidado, essa fase não é diferente e deve receber toda a atenção por parte do comitê
designado.
É imprescindível que todos os envolvidos estejam comprometidos
com o sucesso do projeto e que esse espírito seja contagiante chegando até os usuários
finais, que embora leigos no assunto, não somenos importantes.
51. CONCLUSÃO
O assunto segurança é algo fascinante, pois observamos que, da
mesma forma que há as ameaças à integridade, seja das pessoas, dos bens materiais,
como também da informação, há também métodos de coibir etais ameaças, métodos
para agir com pró-atividade contra elas, adiantando-se a possíveis acontecimentos
maléficos e impedindo-os.
Falando do foco desse trabalho, a segurança da informação, percebe-
se que com o avanço da tecnologia, com o aumento da importância que ela vem tendo,
mais visada fica, sendo um alvo cada vez maior da curiosidade, da sede que muitos têm
em quebrar regras, barreiras, ou mesmo se aproveitar da situação, através de enganos,
roubos e artimanhas.
É claro que seria interessante uma matéria onde falasse dos benefícios
da tecnologia nas nossas vidas, mas infelizmente junto com os benefícios há de vir
também os malefícios, “Alfred Nobel jamais imaginaria que a dinamite, a qual criou
com o intuito de utilizá-la em explosões de construção civil, fosse hoje uma arma
utilizada em larga escala com o intuito de tirar vidas em confrontos” (Wikipedia,
Alfred Nobel). Na área de segurança da informação, há muitas raízes, mas uma que é
fascinante é a criação das políticas, não só isso, mas fazê-las seguir o seu rumo pré-
determinado, ou seja, fazer o que realmente elas foram criadas para fazer, vencendo
barreiras, rejeições humanas, enfim, fazendo com que os envolvidos aceitem-nas, além
disso, que os processos estejam adaptados a elas.
Esse trabalho se mostrou primordial para aumentar meu
conhecimento, além disso, minha sensibilidade quanto a como desenvolver uma
52. pesquisa. Falando em pesquisas, quantos artigos, livros, sites e outros meios de
informação foram necessários ser consultados para ter essa compilação.
Não sei até onde esse trabalho agradará seus leitores, mas digo que
tentei fazer o meu melhor no espaço curto de tempo que temos, sabendo que este pode
ser base para muitos outros.
53. BIBLIOGRAFIA
ALVIM, Paulo. Enterprise Information Portals: integrando Aplicações
na Web. – Developers’. Ano 5 - n° 56. Abril/2001.
COZER, Alberto. Existem Soluções Viáveis para um Mundo
Pequeno. – Developers’. Ano 5 - n° 56. Abril/2001.
ERNSBERGER, Richard. EMERSON, Tony. The Shadowy World of
SOFTWARE PIRACY. – Newsweek. April 9, 2001.
GUROVITZ, Helio. Falta de medida. – Exame. 18 de abril de 2001.
JAMIL, George Leal. Auditor de Segurança/Sistemas: Xerife em
Cena. – Developers’. Ano 5 - n° 56. Abril/2001.
LOSS CONTROL Consultoria e Assessoria Ltda – Autotreinamento
em Segurança da Informação em CD-ROM da LOSS CONTROL
MEIRELES, Andrei. PEDROSA, Mino. O painel do senado confirma
SÓ FALTA CASSAR. – ISTO É. 25 de Abril/2001 n° 1647.
MOLINARI, Leonardo. Security & Network Testing: a Fronteira
Final de uma Rede. – Developers’. Ano 5 - n° 56. Abril/2001.
SANTOS, Manoel Antônio dos. Combate ao software pirata chega ao
usuário doméstico. – PC WORLD. Abril 2001. n° 106.
TEIXEIRA JR, Sérgio. Dá para se defender do desperdício? Negócios
Exame. Ano 2 – Nº 9 – Edição 12.
54. VERGARA, Sylvia Constant. Relatório de Projetos de Pesquisa em
Administração. São Paulo: Atlas, 1999.
BRASIL, Decreto-Lei n° 3.505, de 13 de junho de 2000.
Institui a Política de Segurança da Informação nos órgãos e
entidades da administração Pública Federal. Diário Oficial [da República Federativa do
Brasil], 14 jun. 2000.
BRASIL, Lei n° 9.609, de 19 de fevereiro de 1998.
Dispõe sobre a proteção da propriedade intelectual de programa
de computador, sua comercialização no país e dá outras providências. Organizador:
Luiz Flávio Gomes. São Paulo: editora Revista dos Tribunais, 1999 – (RT – mini
códigos).
FOINA, P. R. Tecnologia da Informação: planejamento e gestão. São
Paulo, Atlas, 2001.
STAIR, Ralph M. Princípios de Sistemas de Informação: Uma
abordagem gerencial. – 8. Ed. Rio de Janeiro, LTC, 2001.
TANENBAUM, Andrew S. (1997) “Redes de computadores”. Rio de
Janeiro, Campus.
BEAL, Adriana. A Importância da TI para as organizações. 2001.
BARMAN, Scott. Writing Information Security Policies.. SAMS,
2001
Naqvi, S. J. (2000), "An Information Systems Approach for Teaching
Basic IT Skills used in Business." Computer Education. Vol. 95, pp. 23-28.
55. LAUDON, K.C., LAUDON, J. P. Essentials of Management
Information Systems: transforming business and management. 3. ed., Upper Saddle
River, NJ : Prentice-Hall, 1999. 318 p.
O’BRIEN, J. Sistemas de informação – as decisões gerenciais na era
da internet. 9.Ed. São Paulo: Saraiva, 2001.
TUDOR, Jan Killmeyer. Information Security Architecture: An
Integrated Approach to Security in the Organization: CRC Press, 2000
SEGURANÇA EM INFORMÁTICA E DE INFORMAÇÕES, Carlos
Alberto Antônio Caruso & Flávio Deny Steffen, Editora Senac, São Paulo