Segurança da Informação

Em um passado recente, a produção, armazenamento e processamento de dados era um privilégio de poucas organizações. Atualmente, o avanço tecnológico e o crescimento exponencial do volume de dados acerca de processos e entidades têm modificado este cenário, tornando os dados uma matéria-prima potencialmente valorosa.

O “Livro Verde Segurança Cibernética no Brasil” (GSI/PR, 2010), retrata os seguintes fenômenos da Sociedade da Informação:

• elevada convergência tecnológica;
• aumento significativo de sistemas e redes de informação, bem como da interconexão e interdependência dos mesmos;
• aumento crescente e bastante substantivo de acesso à Internet e das redes sociais;
• avanços das tecnologias de informação e comunicação (TIC);
• aumento das ameaças e das vulnerabilidades de segurança cibernética; e,
• ambientes complexos, com múltiplos atores, diversidade de interesses, e em constantes e rápidas mudanças.

Nesse contexto, os dados se apresentam como o novo condutor de produtividade, trabalho e inovação.

Dentro desse novo cenário carregado de informações, surge o perfil do profissional que precisa se aprimorar, buscando novos conceitos e se preparar à essa nova realidade organizacional, o gestor de TI.

O maior desafio deste novo gestor de TI, é se manter atualizado com informações que sejam de grande relevâncias às tomadas de decisões dentro das organizações, tentando atender aos desafios das mudanças de mercado.

Dentre tantas outras atribuições, a segurança da informação continua sendo de responsabilidade do profissional de TI. A temática da segurança da informação e comunicações requer uma visão holística para se desenvolver adequadamente no escopo da estrutura organizacional, considerando todas as partes envolvidas e afetadas.

Para se garantir a segurança da informação é preciso observar os seus princípios ou propriedades básicas da informação e criar uma Política de Segurança que compreende o conjunto de normas que objetivam assegurar que as informações e serviços importantes para a organização recebam a proteção adequada, que garanta que a informação tenha:

• Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.
• Autenticação: verificar se a entidade é realmente quem ela diz ser.
• Autorização: determinar as ações que a entidade pode executar - concessão de permissões.
• Integridade: proteger a informação contra alteração não autorizada.
• Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.
• Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.
• Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.
• Legalidade: ativos com valor legal.

Fases para o Desenvolvimento de uma Política de Segurança:

• Formação de CETI (Comitê Estratégico de Tecnologia da Informação)
• Definição do Escopo: Estabelecimento da abrangência da Política de Segurança com foco no alinhamento com os objetivos estratégicos organizacionais
• Levantamento de Informações: Obtenção de informações sobre normas e procedimentos de segurança já existentes, de outras tentativas de implantação.
• Desenvolvimento do Conteúdo da Política de Segurança observando simplicidade e objetividade na elaboração do texto.
• Elaboração das Normas de Segurança levando em consideração as boas práticas da área e as normas de segurança (ITIL, ISO 27000, ISO 27001, ISO 27002, COBIT)
• Revisão e Aprovação da Política de Segurança e suas Normas para que seja formalizada de forma efetiva pela organização.
• Implantação da Política de Segurança: Divulgação e adequação dos serviços às Normas da Política de Segurança

O Sistema de Gestão da Segurança da Informação (SGSI) (do inglês, Information Security Management System-ISMS) é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação e comunicações. Ao constituir um SGSI, a instituição deve considerar (Ferreira e Araújo, 2008):

• quais os ativos estão sendo protegidos;
• o gerenciamento de riscos; e
• os objetivos de controle e os controles implementados.

A Norma ISO/IEC 27001:2013 é um padrão que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação dentro do contexto da organização.

A sistematização do SGSIC poderá ocorrer por meio de fases, contemplando

o ciclo de vida do SGSIC, a saber:

• Estabelecimento do SGSIC
• Implementação e operação do SGSIC
• Monitoração e análise crítica do SGSIC
• Manutenção e melhoria do SGSIC

O comprometimento da direção da organização é imprescindível para implementação e manutenção do SGSIC. Em qualquer atividade de segurança da informação e comunicações o envolvimento da alta direção é muito importante para o sucesso.

É inquestionável a importância do papel que a tecnologia da informação exerce na sociedade para que esta alcance seus objetivos. A integração do ambiente tecnológico, caracterizado pela complexidade e interdependência produz contextos muitas vezes hostis que propiciam ataques cada vez mais frequentes à segurança da informação, exigindo respostas cada vez mais rápidas das organizações. A este quadro vêm somar-se novas obrigações legais, de proteção de privacidade e governança corporativa, gerando a necessidade das organizações gerenciarem mais efetivamente sua infraestrutura de tecnologia.

Para enfrentar estas novas ameaças e demanda as organizações devem desenvolver uma atitude proativa, antecipando-se em conhecer suas fraquezas e vulnerabilidades. Isto pode ser obtido por meio da adoção de um processo formal de gerenciamento de riscos de segurança da informação, que permita à organização estabelecer um nível aceitável de risco.

Embora a segurança da informação seja uma atribuição direta da TI, indiretamente todos os demais órgãos e departamentos da organização, por meio de seus colaboradores, precisam contribuir de forma efetiva ao cumprimento das normas e boas práticas de recomendações acerca da segurança da informação, cumprindo o que ficou estabelecido na Política de Segurança.

A política de segurança deve se tornar cultural dentro da organização, onde todos comecem a pensar e a contribuir de maneira natural sobre a segurança da informação.