A política de segurança da informação nada mais é que um conjunto de práticas e controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e violações de qualquer bem. Se aplicada de forma correta ajudam a proteger as informações que são consideradas como um ativo importante dentro da organização.
INFORMAÇÃO
Informação é um conjunto de dados, que processados ganham significado e tornam possível sua compreensão e interpretação. As informações constituem um dos objetos de grande valor para as empresas.
A ISO/IEC 13335-1/2004 caracteriza como ativo qualquer coisa que tenha valor para a organização. É considerado como ativo de informação todo bem da empresa que se relaciona com informação e que tenha valor para a organização, pode ser um componente humano, tecnológico, físico ou lógico que realize processos de negócio dentro da empresa.
Classificação da informação
A classificação das informações norteia-se mediante ao impacto que causaria a sua perda, alteração ou uso sem permissão. Ferreira afirma que “quanto mais estratégica e decisiva para a manutenção ou sucesso da organização maior será sua importância”. (FERREIRA, 2008, p. 78)
Entre os níveis mais utilizados na classificação de informação estão: informação pública, informação interna e informação confidencial.
Segurança da Informação
Os princípios da segurança da informação abrangem basicamente os seguintes aspectos: confidencialidade, integridade e disponibilidade (CID), toda ação que possa comprometer um desses princípios pode ser tratada como atentado a sua segurança.
- Confidencialidade: É a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.
- Integridade: É a preservação da exatidão da informação e dos métodos de processamento
- Disponibilidade: É a Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
As informações estão sujeitas a ameaças e riscos devido suas vulnerabilidades. A ABNT ISSO/IEC 27002,2005 define risco como a combinação da probabilidade de um evento e de suas consequências.
Moreira (2001) aponta a vulnerabilidade como sendo o ponto onde qualquer sistema é suscetível a um ataque, condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção.
Adachi (2004), que estudou a gestão da segurança em Internet Banking, agrupou os aspectos envolvidos na segurança da informação em três camadas: física, lógica e humana. Logo, se torna essencial que haja segurança em cada uma das três camadas.
A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados e prevenção de danos por causas naturais.
A segurança lógica aplica-se em casos onde um usuário ou processo da rede tenta obter acesso a um objeto que pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora, etc.), sendo assim, um conjunto de medida e procedimentos, adotados com objetivo de proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.
Todos colaboradores da empresa fazem parte do fator humano, principalmente os que têm acesso direto aos recursos de T.I. Trata-se do fator mais difícil de se gerenciar e avaliar riscos.
POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas que lidam com essa informação, para garantir o controle e a segurança da informação na empresa. É formalmente o documento que dita quais são as regras aplicadas dentro da empresa para uso de recursos tecnológicos e descarte de informações.
A grosso modo, pode-se afirmar que com a implantação de uma política de segurança da informação é significativa a redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade e da disponibilidade da informação, tal como a redução de danos causados por eventuais ocorrências.
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade. (FERREIRA;FERNANDO, 2008, p.36)
Características e Benefícios
Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser verdadeira, ser válida para todos, ser simples, contar com o comprometimento dos gestores da empresa e outras. De nada adianta implantar uma política que não é coerente com as ações executadas pela empresa, pois isso impossibilita seu cumprimento.
Ferreira afirma que a curto prazo pode-se notar a prevenção de acessos não autorizados, danos ou interferências no andamento do negócio, além de já se conseguir maior segurança nos processos do negócio. Em médio prazo surge a padronização dos procedimentos, a adaptação já de forma segura de novos processos e a qualificação e quantificação de respostas a incidentes. E, a longo prazo, obtém-se o retorno do investimento, por meio da diminuição de problemas relacionados a incidentes de segurança da informação.
CONSIDERAÇÕES FINAIS
Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco.
Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, são elas que nortearão os colaboradores a como agir baseados em procedimentos pré-estabelecidos.
Orientador: Ms. Daniel Paulo Ferreira – FATEC – Campus Ourinhos/SP
Artigo acadêmico completo aqui.
5 Comentários
Prezados,
Esse artigo, pelo menos o trecho aqui exposto, não trata de “reduzir vulnerabilidades para minimizar riscos”.
Desde o início até o final, o Sr. Rodrigo discorre sobre conceitos de informação, segurança, política de segurança e lançando mão de citações, mas que apenas reforçam o que já foi dito ou o que já sabemos. Para um artigo publicado na Universidade ele é válido. Lá ele deve ter várias páginas, que possibilitam o desenvolvimento do texto. Aqui, deve ser mais dinâmico e prático. Quase 90% do artigo é composto por conceitos.
Para quem entende de Segurança da Informação, esses são conceitos básicos.
Para quem é leigo no assunto, não deixa claro e não indica como reduzir a vulnerabilidade para minimizar riscos, com a aplicação/implantação de uma PSI.
Além disso, há erros de acentuação. Palavras como “práticas” e “política” não foram acentuadas.
Seguem os trechos de exemplo: “…conjunto de praticas e controles…” e “A politica, preferencialmente, deve…”.
Não consegui acessar a íntegra do artigo, através do link “Artigo acadêmico completo aqui.”. Ele direciona para uma página de comentários do site Profissionais TI.
Creio que os leitores esperavam algo como exemplos práticos, ferramentas utilizadas para aplicação e gerenciamento da PSI, etc.
Abraço
Olá César,
Crítica perfeita. Revisamos o conteúdo por inteiro realizando ajustes de acentuação, links e título.
Por ser um artigo acadêmico, o mesmo realmente é composto basicamente por conceitos, por isso, realizamos também a mudança no título.
Agradeço por ajudar na manutenção da qualidade das publicações.
Abraço!
Parabéns pelo seu artigo Rodrigo, estou iniciando os estudos em T.I. e achei interessante a área de segurança da informação.
Muito bom artigo, parabéns. Gostaria de sugerir a ideia de especificar as referências bibliográficas.
Olá Bruno,
Como se trata de um artigo acadêmico, todas as informações adicionais podem ser encontradas em http://s.profissionaisti.com.br/wp-content/uploads/2013/07/politica-de-seguranca-da-informacao.pdf. No final do artigo há um link para o artigo acadêmico completo.
Obrigado. Abraço!