Mais sobre Segurança da Informação
Há um mundo globalizado, onde a informação independentemente de seu formato, seja ela escrita, impressa ou em papel, é um ativo de suma importância para uma organização atualizada. Dessa forma trata-se da sobrevivência da organização, pois sem a informação correta e segura a empresa deixa de ser competitiva, correndo grande risco de ser extinta do mercado (MOREIRA, 2008).
Até recentemente, a questão com SI era tratada de forma mais simples, onde as informações eram trancadas em cofres e arquivos e estava resolvida grande parte da segurança. Nos dias de hoje devemos ter muito mais cuidado com a questão de SI, pois as mesmas estão localizadas em computadores que acessam a internet, e de fácil acesso para cópias através de mídias sem removíveis ou não, enviadas por e-mail, e de grande importância para hackers que buscam estas informações para benefícios próprios (MOREIRA, 2008).
Conforme o documento 17799:2005, da ISO/IEC, Segurança da Informação “é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio” (ISO/IEC 17799:2005 p. ix).
Porém não vemos todas as organizações dando o devido valor a este assunto, e acabam pagando alto preço, pois podemos citar no caso a cidade de São Paulo onde constantemente há alagamentos, fortes tempestades e podem comprometer a continuidade do negócio entre outros riscos como incêndio, problemas elétricos etc (MOREIRA, 2008, SÊMOLA, 2003).
A SI é obtida a partir de implementação de vários controles, sendo eles: políticas, processos, procedimentos, estruturas. Estes devem sempre ser analisados e melhorados constantemente, conforme ciclo PDCA, ou melhoria contínua e que pode ser visualizado conforme a figura 1 (ZAPATER, SUZUKI, 2005).
Figura 1: Ciclo PDCA para SI (ISO/IEC 27001, 2006).
Vamos explicar cada uma das etapas deste ciclo (ZAPATER, SUZUKI, 2005):
- Plan (Planejar) è fazer um planejamento de SI de acordo com cada negócio;
- DO (Fazer) è fazer a implementação deste planejamento, seja com ferramentas específicas, treinamentos, conscientização, procedimentos;
- Check (Checar) è fazer o monitoramento das ações, verificando se o executado está de acordo com as expectativas do planejado;
- Act (Agir) è manter e fazer melhorias, definindo novos objetivos.
Lembrando que este processo é contínuo, pois segurança é um assunto que não se pode ignorar (ISO/IEC 27001:2006 p. vi).
A informação é importante para qualquer tipo de negócio, seja ele no setor público ou privado, ambos é necessário deixar a informação segura para que esta de suporte ao negócio e evitando fraudes, espionagem, sabotagem, invasão por hackers (ISO/IEC 17799:2005 p. ix).
A SI é suportada por três pilares de acordo a figura 2:
Figura 2: Pilares da SI
De acordo com o dicionário online Priberam a palavra íntegra é definida como “1 Estado de são, de inalterável. 2 Retidão, honradez; pureza intacta” (DICIONÁRIO PRIBERAM).
Entende-se como uma informação íntegra aquela que não foi alterada de forma indevida ou sem autorização, isso que dizer que, a informação manipulada deve manter todas as características originais estabelecidas pelo dono da informação, incluindo dessa forma o controle de mudança e o ciclo de vida da mesma (MÓDULO, 2006; ARAUJO, 2008).
Segundo o dicionário online Michaelis, confidencial é definida como “1 Secreto. 2 Que se diz ou que se escreve em confidência” (DICIONÁRIO MICHAELIS).
Informações confidenciais são definidas como, aquelas acessadas apenas por quem tem direito de usufruir as mesmas, ou seja, apenas por pessoas autorizadas pelo proprietário da informação (MÓDULO, 2006; ARAUJO, 2008).
O significado da palavra disponibilidade cedido pelo dicionário online Michaelis é “1 Qualidade daquele ou daquilo que é ou está disponível. 2 Coisa ou coisas disponíveis” (DICIONÁRIO MICHAELIS).
Disponibilidade é ter a informação sempre disponível quando requisitada e deve ser entregue ao destinatário ou usuário correto.
Para que a organização consiga manter-se competitiva é necessário que suas informações estejam seguras, ou seja, atendendo os requisitos dos três pilares já que a informação é o ativo mais importante da mesma (MÓDULO, 2006).
Para atender os requisitos dos três pilares a informação deve ser classificada para indicar a necessidade, prioridade e o nível esperado de proteção quando do tratamento da informação, esta por sua vez deve ser classificada inicialmente e sofrer reclassificação ao longo do tempo, pois hoje ela pode ser uma informação de alta criticidade e amanhã poderá ser de baixa criticidade para a saúde da organização (ISO/IEC 17799:2005 p. 23).
Usualmente a informação comercial é classificada de acordo com as categorias (ALMEIDA, 2009):
- Pública – disponível a todos, pois estão não afeta a competitividade da organização;
- Interna – disponível apenas para os colaboradores da organização, podendo ser manuseada, transmitida e descartada dentro da mesma;
- Restrita – está possui um grau de sensibilidade médio, sendo assim o acesso é permitido apenas por alguns setores e pessoas;
- Confidencial ou secreta – alto grau de sensibilidade, geralmente está contido dentro dos planejamentos estratégicos, novos produtos/projetos.
Para que essa classificação seja feita de forma correta é necessário saber qual o valor de cada informação, ou seja, se um concorrente busca esta informação, então o valor desta é alto, por um determinado período, e se pode ficar indisponível por algum motivo (REIS. Et al, 2005).
Podemos definir com de acordo com a tabela 1:
Tabela 1: Níveis de Segurança adaptada. (Peltier)
O nível de segurança pode se elevar tanto pela necessidade de disponibilidade quanto pela confidencialidade. Quando a informação necessita estar sempre disponível deve ter um serviço robusto para dar este suporte (REIS. Et al, 2005).
Para que seja definido o nível de segurança de cada setor a melhor opção é escolher a pessoa que melhor conhece as informações deste e o quanto é valioso para a organização, sendo assim o mais indicado é a pessoa responsável pelo setor em questão, conhecendo a necessidade de disponibilidade, integridade e confidencialidade (REIS. Et al, 2005).
Após esta classificação é necessário que alguém de nível superior verifique se a classificação está garantindo que as informações transitem da maneira desejável, ou seja, que esteja disponível para todos que tem direto de vê-las (REIS. Et al, 2005).
Além de existir este responsável pela classificação é importante estabelecer responsáveis pela manutenção dos níveis de segurança definido, onde todos os funcionários devem ser envolvidos, constará um plano com regime de responsabilidades claro e disponível a todos (REIS. Et al, 2005).
Para obter sucesso nesta etapa é necessário que haja controles conforme as políticas de segurança, a figura 3 ilustra de forma clara (FONTES, 2009):
Figura 3: Acesso à Informação (FONTES, 2009)
As políticas de segurança por sua vez devem ser patrocinadas e assinadas por executivo da organização, assim como a exigência de seu cumprimento (FONTES, 2009).
A política de segurança tem como objetivo orientar os envolvidos sobre a postura a seguir de acordo com os requisitos do negócio e com as leis vigentes. Esta deve ser clara e de fácil entendimento de todos, alinhada ao negócio. A política de segurança deverá sofrer revisões, ser analisada criticamente e publicada de tempos e tempos de acordo com a necessidade (ISO/IEC 17799:2005 p. 8).
Esta política deverá abranger todos os pontos onde há informação, seja ela por meio físico ou lógico conforme a figura 4 (FONTES, 2009):
Figura 4: Estrutura Políticas e Normas de Segurança da Informação (FONTES, 2009)
A política de segurança define o que precisa ser protegido, porém são os procedimentos de segurança que irão relatar como este serão protegidos. A política de segurança deve ser minuciosamente detalhada para poder dar direção para os procedimentos. Dessa forma, ao implementar qualquer dispositivo tecnológico este deverá ser incluso na política de segurança da empresa. Até o planejamento de uso e migração de uma plataforma deve estar respaldada previamente pelo menos por uma diretriz alterando a política de segurança (CALHEIROS, 2004).
Até a próxima pessoal…