Observação: este foi o tema do meu trabalho de conclusão da pós. A partir do trabalho criei este artigo resumindo os principais assuntos.
A informação é um ativo muito importante, essencial ao funcionamento das organizações e consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenada eletronicamente em arquivos de som, imagem, vídeo, texto, entre outros. Independente de forma ou meio, a informação é compartilhada ou armazenada.
De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção da informação contra vários tipos de ameaças, com o intuito de garantir a continuidade do serviço, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades. São exemplos de ameaças: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulnerabilidades a incêndios, inundação, códigos maliciosos, entre outros.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados de acordo com as necessidades em questão, a fim de garantir a segurança da informação. A gestão da segurança da informação requer a participação de todos os funcionários e a criação de uma política – que deve ser documentada.
Um dos primeiros passos para a gestão da segurança da informação é a elaboração e aprovação de uma política de segurança da informação.
O que é uma política de segurança?
Uma política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos da organização. Uma política de segurança não é um documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante atualização e participação de gerentes, usuários e equipe de TI.
Objetivo da política: proteção do conhecimento e da infraestrutura, a fim de atender os requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças. Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação, prevenção de ameaças e a conscientização da responsabilidade dos funcionários. É conveniente que a gestão da segurança da informação esteja alinhada e em conjunto com os outros processos de gestão.
Princípios: integridade, confidencialidade e disponibilidade da informação.
Propósitos: informar aos usuários suas responsabilidades com relação à proteção da tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes.
A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurança da informação:
- Análise dos princípios, objetivos e requisitos dos serviços prestados.
- Legislação vigente, estatutos e regulamentos.
- Análise de riscos, ameaças e vulnerabilidades.
Além da análise de requisitos, é recomendável também que gerentes/supervisores de cada área estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificando as informações de acordo com a lista abaixo:
- pública;
- interna;
- confidencial e
- restrita.
A elaboração da política de segurança de cada empresa possui suas particularidades de acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo são sugeridos itens a serem estudados para a criação de regras:
- utilização da rede;
- administração de contas;
- política de senhas;
- utilização de correio eletrônico;
- acesso à Internet;
- uso das estações de trabalho;
- uso dispositivos de mídias removíveis;
- uso de impressoras;
- uso de equipamentos particulares;
- controle de acesso físico (controle de entrada e saída de pessoas);
- termo de compromisso (documento onde usuário se compromete a respeitar a política de segurança);
- verificação da utilização da política (supervisão realizada por gestores e equipe de TI) e
- Violação da política (definição de ações tomadas nos casos de desrespeito a política de segurança).
7 Comentários
Bom artigo.
Boa noite, gostei muito de seu artigo.
Estou iniciando meu trabalho de conclusão de curso e o tema que escolhi foi Segurança da Informação, você teria alguma recomendação para deixar meu trabalho mais completo.
Sem mais, obrigado e parabéns pelo artigo.
Obrigada pelos comentários.
Em meu trabalho sobre Segurança iniciei com uma base teoria semelhante ao artigo, porém mais extensa, incluindo também a legislação referente, depois desenvolvi uma política na prática com regras e recomendações que poderiam ser aplicadas em uma empresa.
Diana, muito bom o artigo. Abriu minha mente para um trabalho da Faculdade. Obrigado.
Diana, belíssimo artigo, dou aulas de segurança e auditoria em sistemas, gostaria de ler o mesmo na integra, se for possível, agradeço.
Ótimo artigo, parabéns! Esse tipo de informação sempre contribui para o nosso crescimento profissional!
Obrigado por compartilhar esse conhecimento!
Diana, parabéns pelo artigo.
Você poderia me enviar as referências que você utilizou para a elaboração do TCC, pois também estou realizando o meu e infelizmente os conteúdos relevantes somente encontro em livros pagos. Poderia me ajudar?!
O seu TCC completo está postado em algum lugar que possamos consultar ou até mesmo cita-lo.
Novamente a parabenizo pelo artigo!
Agradeço pela atenção!!!