POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

Segundo Courry (2001) a informação é o elemento básico para que a
evolução aconteça e o desenvolvimento humano se realize de forma completa.
Já para Peixoto (2006) a informação representa a inteligência competitiva
dos negócios e é reconhecida como ativo crítico para a continuidade
operacional da empresa. Além de a informação ser elemento essencial para
todos os processos de negócio é também ativo e de grande valor, que deve
ser tão protegido quanto os bens físicos. A importância atribuída à
informação, enquanto bem ativo, pode ser motivo para ameaças às
vulnerabilidades desta, o que pode causar sérios prejuízos às organizações.
Assim sendo, é preciso reduzir as chances de fraude e extravio de
informações por meio da implantação de políticas de segurança da
informação.

Para Dantas (2001), essa política de segurança pode ser representada
como um documento que assegura normas, valores, requisitos, orientações e
responsabilidades com relação ao que protege de maneira correta as
informações. Define-se como um guia de execução sobre como a informação,
bem como a Tecnologia da Informação e os aspectos sociais de uma empresa
podem ser defendidos e utilizados, isso representa a eficiência da
segurança da informação. Desprovida de regras pré-determinadas, a Política
de segurança torna-se inconveniente e vulnerável. Exemplificando, esta
política firma regras para diminuição de imprevistos que ocasionem furto ou
até mesmo a perda das informações.

Para o sucesso na elaboração de uma PSI, Cardoso e Oliveira (2012)
dizem que deve se contar com a NBR ISO/IEC 27001:2005, este é um manual de
praticas de como gerir a segurança da informação. Ali se encontram as
regras para melhor iniciar e manter a segurança da informação em um
negócio. Ainda, as Políticas de segurança devem ser criadas a partir das
deficiências de cada negócio e adaptadas segundo a experiência de cada
gestor.

Figura 1 - Proposta de Processo de Atualização da Política de
Segurança da Informação.
Fonte: Monteiro (2009).

Segundo a NBR ISSO/IEC27002(2005), é aconselhado que a política de
segurança da informação seja revista frequentemente para assegurar a sua
adequação em todos os âmbitos da organização. Ter o objetivo de sempre
identificar novas ameaças no menor tempo possível e descobrir como suprimi-
las através dos processos adequados, fará com que a PSI esteja sempre
atualizada. E este documento precisa estar a disposição da totalidade dos
colaboradores. Quanto mais fácil for a consulta dos funcionários ao surgir
alguma dúvida em relação às políticas de segurança, mais rápida será a
resolução dos problemas.

A segurança da informação pode ser designada como um conhecimento que
ressalva os chamados ativos da informação, contra acessos indevidos,
modificações não autorizadas ou até mesmo sua indisponibilidade (Peixoto,
2006). E suas propriedades básicas são definidas por várias literaturas da
seguinte maneira:

- Confidencialidade: As informações transmitidas devem chegar a quem
precisa delas sem que passem por onde não deveriam passar. Várias
tecnologias como, por exemplo, criptografia e autenticações podem e devem
ser usadas, desde que mantenham todos os princípios das informações;

- Integridade: As informações não podem sofrer modificações entre a
coleta da pessoa que enviou e até o recebimento da informação, em suma, é
manter veracidade das informações, após chegarem ao destino.

- Disponibilidade: Os outros dois princípios não valem para nada se
as informações não estiverem disponíveis para quem as necessita. Este é um
grande desafio, manter a passagem de informações confiável e integra.


"Apesar de todos os cuidados em se definir os
perímetros de segurança, essa ação não produzira resultados
positivos se os colaboradores não estiverem sintonizados com a
cultura de segurança da informação. Essa cultura deve estar
pulverizada em toda a organização e especialmente consolidada
dentro das áreas críticas de segurança. A informação
pertinente ao trabalho dentro dessas áreas deve estar restrita
a própria área e somente durante a execução das atividades em
que ela se torna necessária. Essas atividades sempre deverão
ser realizadas sob supervisão para garantir a segurança.
Quando houver atividade, essas áreas devem permanecer fechadas
de forma validável, como, por exemplo, através do uso de
lacres de segurança, e supervisionadas regularmente (Campos,
2077, p.169)".




Figura 1 – Atual modelo da segurança da informação.
Fonte: (SILVA, M.; COSTA, 2009)

Ainda, Popper (2003) diz que situações de risco modificam os
comportamentos humanos, e, decisões serão fortemente baseadas em confiança
e grau de criticidade da situação. Para garantir a segurança da Informação,
uma organização pode possuir todas as tecnologias, desde criptografia até
selos de segurança, mas se seus colaboradores não estiverem
conscientizados, os incidentes de segurança ocorrerão.

Uma falha corriqueira e dificilmente percebida é quando pessoas de
determinada organização conversam sobre assuntos do trabalho, muitas vezes
confidenciais, num restaurante, por exemplo, disponibilizando a informação
para aqueles à sua volta. Esse tipo de vazamento de informação pode
inclusive gerar dano para a organização. E pode ser evitado com a simples
conscientização dos colaboradores.

Um aspecto a ser abordado, que pode funcionar como um grande agente
motivador, é esclarecer que a segurança da informação não é um assunto de
interesse somente da empresa, mas também de todos os colaboradores, pois a
própria empresa possui informações particulares a respeito dos seus
funcionários. Algumas analogias podem ser feitas, como por exemplo,
informar que não cuidar da segurança das informações no ambiente de
trabalho é o mesmo que não cuidar do número do cartão de crédito de alguém.
Ou seja, os colaboradores precisam perceber que não estão protegendo
somente informações da empresa, mas também suas informações pessoais
(FONSECA, 2009).


CONCLUSÃO

Atualmente, as empresas dependem mais e mais da informação de seus
clientes para garantir um serviço de qualidade, então, é preciso assegurar
adequadamente este bem de tanto valor, diminuindo ao máximo suas
vulnerabilidades. A chave para isso é a instalação de regras que
regularizem os sistemas das empresas, da mesma maneira que o acesso a redes
sociais. A necessidade das organizações é associar a PSI a qualidade de
trabalho dos colaboradores, já no contrato, afim de que todo o processo de
segurança, do bem que é a informação, começa no recrutamento dos
colaboradores. Da mesma forma, é vital manter os trabalhadores cientes do
monitoramento das informações.

Baseando-se nos preceitos da Política de Segurança da Informação,
conseguiu-se estimar a importância da mesma dentro de uma organização, e
com isto foram abordados conjuntos de princípios básicos que abrande o tema
Segurança da Informação para a elaboração da Política de Segurança da
Informação, são eles: a integridade, onde nem a informação ou seus recursos
podem vir a ser modificados de maneira não autorizada ou falsificada; a
confidencialidade de que muitas informações não devem ser divulgadas ou
acessadas sem a autorização do seu dono e; a disponibilidade, que é
garantir o acesso de quem necessita e, é autorizado, para o desempenho de
suas atividades sempre que necessário.

Ainda, pode-se entender que é fundamental a existência de um
programa de conscientização dos colaboradores da empresa, pois as maiores
falhas se localizam no fator humano, deixando bem claro a importância de
seguir as políticas de segurança corretamente e os danos que a empresa
poderá sofrer se estas não forem seguidas.
É interessante evidenciar que a segurança da informação nunca foi tão
valorizada como nos últimos tempos; a informação tem recebido seu real
valor. Consequentemente, confirma-se a utilidade da realização de pesquisas
nesta área, exclusivamente, no que se refere às pessoas e planejamentos,
enfim, nos enfoques referentes a segurança da informação para as
organizações.


REFERÊNCIAS


ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 27002:2005
TECNOLOGIA DA INFORMAÇÃO: técnicas de segurança e código de pratica para
gestão da informação. Rio de janeiro: 2005, Disponível em:
http://search.4shared.com/postDownload/M0vePGU6/ISO-IEC_27002-2005.html>,

Acessado em 07 de setembro de 2014.
CAMPOS, A. SISTEMAS DE SEGURANÇA DA INFORMAÇÃO. 2 ed. Florianopolis:
Visual Books, 2007.

CARDOSO, Fabio Eder; OLIVEIRA, Paulo Cesar de. POLITÍCA DE SEGURANÇA DA
INFORMAÇÃO NAS EMPRESAS. 2012. Disponível em:
. Acesso em: 08 set. 2014.

COURY, RICARDO. INFORMAÇÃO É PODER. Disponível em
>,
Acessado em 6 de setembro de 2014.
DANTAS, M. SEGURANÇA DA INFORMAÇÃO: uma abordagem focada em gestão
de riscos. 1 ed. Olinda: Livro rápido, 2011.

FREITAS,F;ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia pratico
para elaboração e implementação. 2ed. Rio de Janeiro: Ciência Moderna LTDA,
2008

FONSECA, Paula F. Gestão de Segurança da Informação: O Fator Humano. 2009.
16 f. Monografia (Especialização)– Redes e Segurança de Computadores,
Pontifícia Universidade Católica do Paraná, Curitiba, 2009. Disponível em:
http://bdigital.unipiaget.cv:8080/jspui/bitstream/10964/58/1/Crispina%20Andr
ade.pdf. Acesso em: 7 set. 2014.

MONTEIRO, Iná Lúcia Cipriano de Oliveira. PROPOSTA DE UM GUIA PARA
ELABORAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO. 2009. Disponível em:
. Acesso em: 09 set. 2014.
PEIXOTO, Mário C. P. ENGENHARIA SOCIAL E SEGURANÇA DA INFORMAÇÃO NA GESTÃO
CORPORATIVA. Rio de Janeiro: Brasport, 2006.
POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um
Perigo Eminente. [2003]. 11 f. Monografia (Especialização)– Gestão
Empresarial e Estratégias de Informática, Instituto Catarinense de Pós-
Graduação – ICPG, [S.l.], [2003]. Disponível em:
http://www.posuniasselvi.com.br/artigos/rev03-05.pdf. Acesso em: 9 set.
2010.
SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos cuidados
necessários para não cair nas armadilhas dos engenheiros sociais. 2008.
Disponível em: http://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-
engenharia-social.htm Acesso em: 06 set. 2014