E CONTINUIDADE
Crditos
Centro Universitrio Senac So Paulo Educao Superior a Distncia
Diretor Regional
Luiz Francisco de Assis Salgado
Superintendente Universitrio
e de Desenvolvimento
Luiz Carlos Dourado
Reitor
Sidney Zaganin Latorre
Diretor de Graduao
Eduardo Mazzaferro Ehlers
Diretor de Ps-Graduao e Extenso
Daniel Garcia Correa
Gerentes de Desenvolvimento
Claudio Luiz de Souza Silva
Luciana Bon Duarte
Roland Anton Zottele
Sandra Regina Mattos Abreu de Freitas
Coordenadora de Desenvolvimento
Tecnologias Aplicadas Educao
Regina Helena Ribeiro
Coordenador de Operao
Educao a Distncia
Alcir Vilela Junior
Professor Autor
William Alevate
Tcnico de Desenvolvimento
Ozas Vieira Santana Filho
Coordenadoras Pedaggicas
Aridiny Carolina Brasileiro Silva
Izabella Saadi Cerutti Leal Reis
Nivia Pereira Maseri de Moraes
Equipe de Design Educacional
Alexsandra Cristiane Santos da Silva
Anglica Lcia Kan
Cristina Yurie Takahashi
Diogo Maxwell Santos Felizardo
Elisangela Almeida de Souza
Flaviana Neri
Francisco Shoiti Tanaka
Gizele Laranjeira de Oliveira Sepulvida
Joo Francisco Correia de Souza
Juliana Quitrio Lopez Salvaia
Jussara Cristina Cubbo
Kamila Harumi Sakurai Simes
Karen Helena Bueno Lanfranchi
Katya Martinez Almeida
Lilian Brito Santos
Luciana Marcheze Miguel
Luciana Saito
Objetivos Especficos
Identificar os elementos chave da ISO27000 e apresentar o conceito de
Poltica de Segurana da Informao.
Temas
Introduo
1 Segurana
2 Aspectos da segurana da informao
3 Premissa bsica da segurana de informao
4 Poltica de segurana da informao
Consideraes finais
Referncias
Professor
William Alevate
Introduo
Os adventos da internet no campo tecnolgico e os efeitos da globalizao no
campo socioeconmico transformaram completamente o mundo em que vivemos. Essas
transformaes afetaram em cheio as organizaes nas quais trabalhamos, quebrando
diversos paradigmas e promovendo uma profunda reavaliao das prioridades por parte
daqueles que esto no comando.
E se fssemos elaborar uma lista dos principais problemas que as organizaes
enfrentam neste sculo, considerando o que vemos diariamente na pauta da grande mdia,
provavelmente incluiramos o terrorismo religioso, os altos ndices de criminalidade, a exploso
de crimes eletrnicos, a guerra ciberntica, entre muitos outros. Todas essas situaes, alm
de provocarem muita dor de cabea para empresas e Estados, geralmente trazem grandes
prejuzos financeiros e uma srie de problemas de segurana.
Diariamente somos bombardeados com notcias nas quais a palavra segurana est
inserida. De conflitos de guerra a fraudes bancrias, passando por crimes e desastres,
podemos v-la sendo aplicada a diferentes contextos. Afinal, o que significa segurana?
1 Segurana
Conforme Silva (2000), segurana pode ser definida como um estado no qual estamos
livres de perigos e incertezas. No contexto organizacional, o estado de segurana
representado pelos ativos, que de acordo com o Security Officer (2006), ativo tudo aquilo
que possui valor e, consequentemente, demanda proteo.
1.1 Ativos
A determinao e classificao de ativos em grupos se d por meio das diversas
propriedades e semelhanas de necessidades, estratgias e ferramentas de proteo. Nesse
conceito mais abrangente, os ativos normalmente acabam sendo divididos em reas. Um
exemplo comum so empresas que possuem departamentos de segurana patrimonial que
cuidam da segurana fsica enquanto outro departamento de segurana lgica responsvel
pela segurana dos sistemas de TI.
Se de um lado, esta estruturao traz benefcios de especializao tcnica das equipes
envolvidas, por outro lado, cria uma grande dificuldade na hora de implementar a segurana
de maneira uniforme, focada em prioridades previamente definidas e compartilhadas por
toda a organizao.
A tabela 1 apresenta alguns tipos de exemplos de ativos.
Senac So Paulo- Todos os Direitos Reservados
Categoria de ativos
Exemplo
Tangveis
Intangveis
Imagem da empresa.
Confiabilidade de um rgo pblico.
Marca de um produto.
Lgicos
Fsicos
Estaes de trabalho.
Ar-condicionado.
Fbrica.
Sala de aula.
Humanos
Empregados.
Prestadores de servio.
Estagirios.
Tipo de proteo
Exemplo
Lgicas
Fsicas
Portas.
Fechaduras.
Guardas.
Administrativas
Polticas.
Normas.
Procedimentos.
Tipo de proteo
Descrio
Preventiva
Desencorajadora
Limitadora
Monitoradora
Detectora
Reativa
Corretiva
Recuperadora
Especificamente no caso da SI, quando nos debruamos sobre aspectos que devemos
observar em nossos ativos de informao para os quais tais situaes no ocorram, veremos
que eles formam aquilo que chamamos de pirmide ou trade de SI:
Para Gonzlez Jnior (apud SMOLA, 2011, p. 33):
[...] um sistema de informao baseado na trade CIA (Confidentiality, Integrity
and Availability) Confidencialidade, Integridade e Disponibilidade. Ela representa
as principais propriedades que, atualmente, orientam a anlise, o planejamento e
a implementao da segurana para um determinado grupo de informaes que se
deseja proteger.
Fonte: do autor.
Por isso, essa tica de superproteo no adequada dentro das empresas, nas quais
as concesses so feitas objetivando as estratgias da empresa como um fim e no a
segurana puramente. Toda empresa possui um oramento determinado para solues em
SI, considerando suas necessidades. Algumas solues so desejveis, porm no entram na
mbito da necessidade e podem ser deixadas de lado.
Com isso, considera-se a premissa de que segurana custa dinheiro e deve ser executada
onde e quando for necessria. A SI deve ser implantada e adequada ao longo do tempo para
proteger o que existe de mais til dentro e fora das organizaes, estudando continuamente
e adequando o oramento com a realidade da segurana.
Partindo deste pressuposto, podemos concluir que h uma srie de fatores e componentes
a serem gerenciados. necessrio garantir que a segurana dos ativos esteja dentro de nveis
adequados para a organizao e, tambm, que os recursos gastos para atingir tais nveis
sigam as premissas bsicas da relao entre custo e benefcio.
poca
Ambiente
Proteo
Foco principal
Posio da
informtica
1970 a 1980
Mainframe
Dados
Confidencialidade
Retaguarda
1980 a 1990
Mainframe +
Redes
Dados +
Informao
Confidencialidade
+ Integridade
Retaguarda +
Administrao e
Operao
1990 a 2000
Mainframe +
Redes + IP
Dados +
Informao +
Conhecimento
Confidencialidade
+ Integridade +
Disponibilidade
Negcio
A partir de 2000
Interativo
(nuvem e
elementos
conectveis)
Dados+
Informao
+Conhecimento
+Monitoramento
Confidencialidade
+ Integridade +
Disponibilidade +
Autenticidade +
Legalidade
Negcio +
Comunidade +
Sociedade Civil
organizada
10
11
que serviu como pretexto, deve-se tomar cuidado para no focar de forma excessiva no ndice
recente. Exemplos de outras situaes:
reduo de riscos: incidentes de segurana comprometem, em ltima instncia, a
capacidade das organizaes de atingir seus objetivos. Desenvolver polticas uma
forma de conhecer esses riscos e traz-los a patamares gerenciveis;
conformidade: o processo de conformidade com aspectos legais e regulatrios pode,
muitas vezes, exigir o desenvolvimento total ou parcial de polticas. Essa situao pode
permitir que os custos possam ser incorporados ao projeto que origina tal demanda.
12
apoio especializado, trabalhos de grande porte podem estar fadados ao fracasso. Na ausncia
de profissionais j gabaritados e experientes, o conhecimento e a partilha dos escopos pode
ser o foco para atingir os objetivos. Cortar o escopo e determinar limites faz com que o
trabalho alcance seu fim e, ao trmino, pode-se revisar a poltica daquele escopo e, com isso,
ampliar o processo para outros escopos e assim por diante.
Figura 2 - Exemplo de modelo de poltica de segurana
Fonte: do autor.
Tabela 5 Comportamento dos nveis da poltica de segurana
Tipo de documento
Nvel de atuao
Diretriz
Estratgico
Norma
Ttico
Procedimentos e Instrues
Operacional
Fonte: Guia oficial para formao de gestores em segurana da informao (2006, p. 93).
Cada nvel, com cada especificidade, determina o que se espera dele e complementa
uma poltica em uma pirmide que faz sentido e d as expectativas especficas a cada nvel
e cada termo.
13
Consideraes finais
A segurana da informao tangvel tanto quanto suas polticas permitam esta fase
de lapidamendo e deve ser encarada da forma mais absoluta possvel. Se a empresa no tiver
uma poltica que embase o seu processo de segurana, no ser um projeto tangvel.
Tambm temos a certeza que no h caminho certo para uma organizao, no momento
presente, se no for desenvolvido, implementado e realizado um adequado projeto de
segurana da informao. Ento, os projetos de segurana so mandatrios e, para que
existam e se concretizem, eles dependem de polticas bem escritas e implementadas.
Mas do que realmente precisamos?
De vontade poltica e principalmente de conhecimento. Esta singela palavra que estrutura
cabeas e que cria uma comunidade mais preparada e estabelecida para que haja aes efetivas
e bem estruturadas. Empresas com esta disposio tero sucesso e formaro o que se chama
de conscincia coletiva, pois quando um colaborador sai da empresa e se destina a outra,
levar consigo o conhecimento. Isto ocorre repetidamente e faz com que todos venham, em
algum tempo, a ter o mesmo conhecimento, difundi-lo, divulg-lo e viv-lo.
Referncias
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR/ISO/IEC 17799: Tecnologia da Informao
Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005.
______________. NBR ISSO/IEC 27002: Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para controles de segurana da informao. Rio de Janeiro, 2013.
FONTES, E. Polticas e normas para segurana da informao. So Paulo: Brasport, 2012.
GONZLEZ JNIOR, I. P. Avaliao dos sistemas de informao nas organizaes: um estudo
de caso em empresas do comrcio varejista da cidade de Cruz das Almas BA. Dissertao
(Mestrado em Administrao Estratgica) Universidade de Salvador UNIFACS. Disponvel
em: <http://tede.unifacs.br/tde_busca/arquivo.php?codArquivo=668>. Acesso em: 28 mar.
2014.
RAMOS, A. (org.) Guia oficial para formao de gestores em segurana da informao. Porto
Alegre, RS: Zouk, 2006.
SILVA, P. Vocabulrio jurdico. Rio de Janeiro: Forense, v. IV, 2000.
14