Google logo  MAIS PARA BAIXO  Google logo

Ad Unit (Iklan) BIG


Página inicial  ›  Tecnologia

Política de segurança da informação

1 comentário
Segurança da informação, segundo a NBR ISO/IEC 27002:2005, é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
A mesma norma prevê ainda que a segurança da informação está diretamente relacionada com a preservação da confidencialidade, da integridade e da disponibilidade da informação.
Considerando que a maioria das informações do mundo atual circulam e estão armazenadas em sistemas de informação, depreende-se que a qualidade dos serviços prestados pelas organizações depende desses sistemas, uma vez que a informação é matéria-prima para a tomada de decisões, definição de estratégias e identificação das ameaças e oportunidades de negócio. Os sistemas de informação, por sua vez, dependem da segurança a eles oferecida, porquanto uma informação desatualizada, corrompida ou indisponível não atenderá às necessidades da organização.


As tecnologias da informação trouxeram a possibilidade real de gerenciamento da totalidade das informações, propiciando a gestão do conhecimento. Ao mesmo tempo, mudaram e aumentaram as formas de uso da informação, tornando-se importante a criação de mecanismos que garantam a integridade e privacidade das mesmas.

As vulnerabilidades estão presentes em todos os sistemas de informação e devem ser identificadas para a escolha correta de medidas de segurança. Em se tratando de redes de telecomunicação, as vulnerabilidades são ainda maiores e estão relacionadas a falhas de hardware, software e uso indevido. Como exemplo pode-se citar grampos em linhas, interceptação ilegal de dados e linhas cruzadas.
Em organizações que lidam com informações sensíveis, o estabelecimento de uma política de segurança da informação não é apenas importante, é absolutamente necessária para garantir sua probidade.

Segundo Dias apud Laureano (2010, p. 56), a política de segurança da informação é:
...um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais.
Para Santos (2005, p. 127), o estabelecimento da política de segurança da informação é uma ação estratégica das organizações:
...a política de segurança da informação deve fazer parte do planejamento estratégico da instituição e tem fundamental participação na continuidade de suas atividades, na segurança de seus empregados ou servidores e na preservação de seu patrimônio mobiliário e imobiliário.
Em outras palavras, a política de segurança consiste na formalização dos anseios da organização quanto à proteção de suas informações. Inicialmente deve abordar aspectos simples como identificação de usuários dos sistemas de informação, classificação das informações conforme sua prioridade, controle de acesso aos sistemas de informação, controle de uso das informações para fins institucionais, monitoramento do tráfego de informações na rede institucional, incluindo o acesso a Internet e o uso do correio eletrônico e normatização da política de segurança com aplicação de auditoria e sanções no caso de não observância da mesma. Com base em diagnósticos e análises de risco, a política deve evoluir para o estabelecimento de um sistema de segurança da informação.


Um sistema de segurança da informação é abrangente e envolve ações de segurança operacional (por ex.: análise de riscos, normas e procedimentos, plano de contingência, etc.), segurança física (por ex.: câmeras de vídeo, alarmes, roletas, detectores de metal, etc.) e segurança lógica (detectores de cartão magnético, senhas, certificados digitais, criptografia, firewall, etc.). A política de segurança e o sistema de segurança da informação devem ser formulados em conjunto pela Administração e pelos colaboradores com conhecimentos específicos na área de tecnologia e segurança da informação.

Entre os objetivos de um sistema de segurança deve estar:
  • Proteção das informações contra destruição e modificação não autorizadas, bem como contra vazamento;
  • Capacidade de prevenir violações, detectar invasões e interromper as ameaças, bem como avaliar e reparar danos mantendo a operacionalidade dos sistemas computacionais caso ocorra invasão;
  • Garantia da integridade, confidencialidade, autenticidade, disponibilidade e não-repúdio das informações.

São cinco os pilares da segurança da informação, segundo Silva Filho (2010):
  1. Integridade: qualidade de informação que não foi alterada;
  2. Confidencialidade: garante que a informação esteja disponível apenas a usuários autorizados;
  3. Autenticidade: garante a verificação da origem da informação;
  4. Disponibilidade: refere-se ao sistema estar pronto a responder requisições de usuários legítimos, disponibilizando a informação e os seus recursos.
  5. Não-repúdio: garante que o autor da informação ou de uma operação em sistemas de informação não negue sua ação.

O estabelecimento de um sistema de segurança da informação compreende as seguintes fases:

a) Planejamento (análise riscos/custos e estabelecimento de política)
Em primeiro lugar é necessário saber o que é necessário proteger. Para tanto, um levantamento é requerido a fim de identificar as necessidades de segurança da informação e as vulnerabilidades a que estão sujeitas. Conhecidas as necessidades, deve-se definir prioridades e custos. As prioridades devem levar em consideração aspectos como conformidade com a legislação aplicável e interesses da organização e dos parceiros, entre outros. Quanto aos custos, o prejuízo de uma possível perda ou indisponibilidade de informações relevantes deve ser considerada na avaliação do custo-benefício de implementar ações de segurança. A partir disso, será possível planejar as ações de segurança da informação de acordo com as necessidades e possibilidades da organização. A política de segurança das informações também deve estar integrada com as políticas institucionais, metas e planejamento estratégico da organização, uma vez que os procedimentos e padrões de segurança não podem impactar no funcionamento do ambiente de tecnologia da informação e nem tampouco na continuidade dos serviços ou negócios.

b) Execução (definição de normas e procedimentos e plano de contingência)
O próximo passo é a definição de normas e procedimentos para a efetiva execução do plano de ação. Segundo Dias apud Laureano (2010, p. 56), “as normas dirão como a organização irá proceder na proteção, controle e monitoramento de seus recursos computacionais”. Além disso, também é imprescindível que sejam definidas as responsabilidades pelas ações de segurança, delineando as principais ameaças, riscos e impactos envolvidos. Deve ser de responsabilidade geral, no mínimo, o conhecimento da política de segurança, a aplicação da política e a comunicação de suspeitas relativas a problemas com a política. Demais responsabilidades devem ser distribuídas entre administrador de sistema, administrador de segurança, colaboradores/usuários e convidados. A infringência à política de segurança deve prever consequências e penalidades aos responsáveis, sob pena de não ser levada a sério. O plano de contingência em tecnologia da informação visa definir as ações a serem tomadas em casos de crise ou desastres que prejudiquem o acesso às informações da organização. Sua definição é importante na medida em que auxilia no restabelecimento em tempo mínimo do processamento de informações, considerando a criticidade destas, de tal forma a minimizar eventuais prejuízos.

c) Acompanhamento (auditoria)
O objetivo do acompanhamento é verificar a conformidade dos procedimentos da organização com a política de segurança da informação previamente estabelecida. Por outro lado, visa também verificar se os procedimentos de segurança da informação continuam adequados à realidade da organização no que tange suas necessidades de uso e proteção da informação. A auditoria é uma forma de acompanhar a efetiva e correta aplicação das políticas de segurança, bem como a única forma de avaliação e proposição de melhorias.

Definidas as fases básicas para o estabelecimento de um sistema de segurança da informação, pode-se dizer que os requisitos indispensáveis para um sistema eficaz são: autenticação de usuários; detectores de ataque e invasão como firewall; detectores de intrusão, como IDS (intrusion detection system) e antivírus; criptografia; e backup.


Embora não seja abordada na literatura específica voltada para sistemas de segurança da informação, a migração periódica das informações vitais da organização para novos programas e suportes é imprescindível para a acessibilidade a longo prazo e requisito indispensável da preservação digital de documentos eletrônicos, sendo esta ação unanimidade na área de gestão documental.

Estabelecer o sistema de segurança da informação, porém, não é a única medida que a organização precisa tomar. Deve se preocupar também com as condições necessárias para a efetividade desse sistema. A participação de todos os colaboradores/usuários é uma dessas condições, vez que a segurança precisa de coesão, isto é, não pode haver falha por parte de nenhum dos integrantes da cadeia, sob pena de deixar o todo vulnerável. Outro aspecto importante é o treinamento, entendido como forma viável de divulgação da política de segurança e as formas corretas de adoção da mesma. Além disso, o treinamento também deve instruir os usuários dos sistemas quanto à importância das informações e sua gestão adequada. Por fim, o controle do esquema de segurança da informação, incluindo análise e gerência de riscos, deve ser realizado continuamente com o objetivo de manter e melhorar o sistema, caracterizando a auditoria como ponto crucial e derradeiro para a eficácia do sistema de segurança da informação.

Ao tratar do gerenciamento eletrônico de documentos arquivísticos, Santos (2005, p.164) aponta a necessidade de existência de uma política arquivística paralelamente ao desenvolvimento de um sistema de segurança da informação e à capacitação e treinamento constate. Segundo o autor, são “as questões mais relevantes para a aplicação prática de uma gestão arquivística de documentos digitais”.

No Brasil, para o estabelecimento de uma política de segurança, devem ser observadas a NBR ISO/IEC 27001:2013 e 27002:2013, da Associação Brasileira de Normas Técnicas (ABNT), as quais, juntas, estabelecem um referencial para desenvolver, implementar e avaliar a gestão da segurança da informação, bem como para avaliar e tratar os riscos de segurança da informação voltados para as necessidades da organização.

A Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal foi instituída no ano de 2000 através do Decreto 3.505/2000, cujos pressupostos devem ser atendidos quando do estabelecimento de políticas de segurança da informação nas organizações públicas. São pressupostos básicos da Política de Segurança da Informação, conforme a referida norma:
  1. Assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição;
  2. Proteção de assuntos que mereçam tratamento especial;
  3. Capacitação dos segmentos das tecnologias sensíveis; 
  4. Uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais;
  5. Criação, desenvolvimento e manutenção de mentalidade de segurança da informação;
  6. Capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado; e
  7. Conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
Além disso, há também a Resolução nº 39/2006, do Instituto Nacional de Tecnologia da Informação, que estabelece a política de segurança da ICP-Brasil e serve como um referencial para o estabelecimento da política de segurança da informação nas organizações públicas.


Referências bibliográficas 
  • ARQUIVO NACIONAL. Resolução nº 14, de 24 de outubro de 2001. Aprova a versão revisada e ampliada da Resolução nº 04, de 28 de março de 1996, que dispõe sobre o código de Classificação de Documentos de Arquivo para a Administração Pública: atividades de apoio, a ser adotado como modelo para os arquivos correntes dos órgãos e entidades integrantes do Sistema 
  • Nacional de Arquivos (SINAR), e os prazos de guarda e destinação de documentos estabelecidos na Tabela Básica de Temporalidade e Destinação de Documentos de Arquivo relativos às atividades de apoio da Administração Pública. Diário Oficial da União, Poder Executivo, Brasília, DF, 08 fev. 2002. Seção 1, p. 2. 
  • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de Janeiro: ABNT, 2005. 
  • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2013. 
  • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de Janeiro: ABNT, 2013. 
  • BRASIL. Decreto n. 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Diário Oficial da União, Poder Executivo, Brasília, DF, 14 jun. 2000.  
  • HUBBARD, Douglas. Como lidar com as incertezas das análises de custo-benefício nos projetos de tecnologia. CIO, ago. 2007. Disponível em: <http://cio.com.br/gestao/2007/08/21/idgnoticia.2007-08-21.5177662036/> Acesso em: 13 out. 2010. 
  • INTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Resolução nº 39, de 18 de abril de 2006. Aprova a versão 2.0 da Política de Segurança da ICP-Brasil. Diário Oficial da União, Poder Executivo, Brasília, DF, 24 abr. 2006. 
  • LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Disponível em: <http://www.scribd.com/doc/20723105/apostila-versao-20> Acesso em: 27 set. 2010. 
  • MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informação de uma organização. Ciência da Informação, Brasília, vol. 29, n. 1, p. 14-24, jan/abr. 2000. Disponível em: <http://www.scielo.br/pdf/ci/v29n1/v29n1a2.pdf> Acesso em: 13 out. 2010. 
  • ROUSSEAU, Jean-Yves; COUTURE, Carol. Os fundamentos da disciplina arquivística. Trad. de Magda Bigotte de Figueiredo. Lisboa: Publicações Dom Quixote, 1998.  
  • SANTOS, Vanderlei Batista dos; INNARELLI, Humberto Celeste; SOUSA, Renato Tarciso Barbosa de (org.). Arquivística: temas contemporâneos: classificação, preservação digital, gestão do conhecimento. 2ª ed. Distrito Federal: SENAC, 2008. 
  • SANTOS, Vanderlei Batista dos. Gestão de documentos eletrônicos: uma visão arquivística. 2 ed. rev. e aum. Brasília: ABARQ, 2005. 
  • SILVA FILHO, Antonio Mendes da. Segurança da informação: sobre a necessidade de proteção de sistemas de informações. 
  • Revista Espaço Acadêmico, n. 42, Nov. 2004. Disponível em: <http://www.espacoacademico.com.br/042/42amsf.htm> Acesso em: 27 set. 2010. 
  • TONINI, Regina S. S. Custo na gestão da informação. In: ENCONTRO NACIONAL DE ENSINO E PESQUISA EM INFORMAÇÃO, 7, 2007, Salvador. Anais eletrônicos... Salvador: UFBA, 2007. Disponível em: 
  • <http://www.cinform.ufba.br/7cinform/soac/papers/adicionais/ReginaTonini1.pdf> Acesso em: 13 out. 2010. 


Aulas de Moz
Tecnologia

Artigos relacionados

1 comentário

Enviar um comentário


Iscreva-se para receber novidades