Introdução
As questões relacionadas à segurança da informação estão cada dia mais presentes no cotidiano das empresas. Tais questões entram em evidência por alguns motivos. Dentre os quais podemos incluir as respostas a incidentes de segurança que ocorreram na empresa, para se adequar a exigências de mercado ou para evitar percas, neste último de maneira preventiva.
A partir do momento que vêm à tona os problemas de segurança enfrentados pela informação, geralmente são tomadas atitudes para que esses problemas de segurança, ou vulnerabilidades, não sejam explorados e a informação atingida.
Como veremos abaixo, um dos pontos mais importantes no processo de melhoria da segurança da informação está relacionado com a política de segurança da informação. Trata-se de um documento que define as linhas gerais de segurança da informação dentro da empresa. Deve possuir o aval da alta direção e contemplar, de modo genérico, todos os ativos de informação, também servindo como base para auditorias e outros documentos mais específicos de segurança.
A Segurança da Informação
Toda informação, independente de seu meio de armazenagem ou conteúdo possui riscos quanto à sua segurança. Estes riscos estão relacionados à sua integridade, confidencialidade e disponibilidade.
A informação deve ter garantia de integridade para que exista a certeza de que a mesma informação que foi guardada ou transmitida é a que se recebe. Podendo confiar que seu conteúdo é íntegro e não foi alterado. Os ataques à integridade podem ocorrer de forma ativa, quando é alterado seu conteúdo conscientemente, ou não, quando, por exemplo, um arquivo digital é corrompido e parte dos seus é perdido ou recebe outros valores.
A confidencialidade da informação esta relacionada com a necessidade de ocultar, ou proteger, a informação contra acessos indevidos, de maneira que somente à quem diz respeito a informação tenha acesso à mesma.
Enquanto a disponibilidade trata de questões relativas à informação estar disponível sempre que for necessário. Isto não obriga estar disponível sempre.
Qualquer entidade que manipula informações podem ser considerada um ativo, pois as informações têm valor para a empresa e estes por manter, manipular, criar ou destruir a informação também passam a ter valor, inclui-se nesta lista as pessoas, sistemas, computadores, papéis, arquivos, enfim, tudo que possa agir com e sobre a informação.
Embora seja impossível garantir total segurança a qualquer informação, pode-se tomar cuidados para que os riscos inerentes à informação sejam reduzidos a patamares aceitáveis. Isso é feito gerenciando cada um dos riscos acima descritos.
Também devem existir planejamentos para que, caso a informação tenha sua segurança comprometida, seus danos sejam minimizados e o negócio possa continuar da melhor forma possível, com os menores prejuízos.
A política de segurança deve estar em consonância a estes fatos, prezando pela segurança da informação em todos sentidos, de maneira a reduzir os riscos a patamares aceitáveis.
A Política de Segurança da Informação
A política de segurança da informação reúne os princípios de segurança relativos à toda informação e seus ativos. De acordo com SILVA "a política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados".
Durante sua criação há de ter em conta os objetivos da empresa, seus processos e todos ativos que a empresa possui. Logo inclui-se, inclusive, as pessoas, hardware, sistemas e terceiros (clientes, fornecedores e terceirizados) que possam ter acesso à informação. Este cuidado é necessário para que esta política, no futuro, não caia no esquecimento ou passe de um documento de apoio para mais um problema a ser tratado.
Uma política mal elaborada ou que não contemple as necessidades da empresa, em alguns casos, não passa de um esforço em vão, que, no seu conteúdo, demonstra a segurança de toda informação da empresa como um exemplo a ser seguido, na prática, continua com as antigas práticas como se não existisse preocupação alguma, nem por parte dos gestores, nem pelos colaboradores. Em outros casos "engessa" os processos através de regras absurdas ou obrigações normalmente incumpríveis pelos usuários.
Por ser um documento estratégico, que diz respeito à toda empresa, é imprescindível para sua sobrevivência que a alta direção esteja engajada em todo processo e dê apoio explícito e irrestrito a todo o proposto nesta política.
Isso não quer dizer que a direção vai apenas assinar embaixo das propostas do gestor de segurança. Este documento deve ser exaustivamente discutido entre a alta direção e um comitê de segurança, quando possível, composto de pessoas de todos departamentos e escalões, guiado pelos profissionais da área. Para que não ocorra o exposto acima. Ao final cabe, inclusive à direção que aprovou, aplicar a política, dando o exemplo.
Muitas vezes a direção não dá importância às informações que a empresa possui, aí cabe aos profissionais de segurança alertarem o quanto a empresa pode perder caso haja algum incidente envolvendo a própria segurança. O que poderá custar reconstruir toda informação perdida ou, ainda, tentar mensurar o prejuízo que poderá ser causado pela indisponibilidade da informação. Bem como a repercussão que um fato destes pode gerar, o descrédito junto aos clientes e a má impressão deixada.
NEVES explica que para compor uma política de segurança, a empresa deve definir, de maneira clara, quais seus objetivos, o valor de cada ativo e a que ameaças estão expostos, o que pode ocorrer caso a segurança seja comprometida. Somente depois de identificadas estas características é que pode-se partir para a definição de como tais ativos deverão ser protegidos, a política de segurança da informação em si.
"Esta política deve prever regras para todo o tipo de acesso aos ativos da organização, tanto logicamente quanto fisicamente, atribuindo responsabilidades, níveis e tipos de acesso, além de sanções e punições para a transgressão dessas regras." NEVES.
Outro ponto importante é a clareza das regras presentes na política de segurança, deve ser clara o suficiente para que todos envolvidos com a informação possam entender o que podem ou não fazer, evitando mal entendidos durante a vigência da mesma.
Algumas situações que podem ser tratadas pelas regras da política de segurança são descritas por SOUZA, podemos encontrar regras que regulamentam a autonomia da equipe de TI, regulamentam o uso da internet, o uso do e-mail corporativo, politicas de senhas, instalação e utilização de softwares, determina penalidades e direitos dos usuários, além de inúmeras outras situações podem ser postas em uma política de segurança.
A definição das regras são específicas a cada organização e tomam por base estudos e levantamentos, não existindo assim um padrão a ser seguido, devido as peculiaridades específicas de cada processo em cada empresa.
Com a política de segurança pronta o próximo passo é colocá-la em prática. Para isso os usuários devem ser treinados e adequados à nova realidade. Esses treinamentos podem ser palestras, cursos, circulares internas, panfletos, e tantos outros meios de comunicação que possam transmitir o objetivo e as normas proposta na política de segurança.
Num primeiro momento pode-se encontrar grande resistência dos envolvidos mas, se foi elaborada à luz das reais necessidades da empresa, logo essa resistência será quebrada e as ações "seguras", passarão a fazer parte do funcionamento normal da organização.
O treinamento, deve transmitir, em primeiro lugar, o real objetivo da política de segurança, ou seja, proteger a informação. Como um ponto frágil em todo processo de segurança, o usuário deve estar ciente que não é para dificultar seu trabalho ou para fiscalizá-lo que tal política esta sendo implementada.
Cabe também à política de segurança indicar os responsáveis pela segurança em cada área abordada, bem como definir os meios para atingir seus próprios objetivos.
Se bem planejada e implementada, uma política de segurança da informação pode garantir que todo negócio caminhe para seus objetivos, tendo garantia que sua informação está relativamente segura.
Ocorre que os processos podem sofrer mudança, bem como os objetivos da empresa, portanto a política de segurança deve possuir uma validade e ser revista de tempos em tempos. É necessário que sejam feitas auditorias para saber de sua aplicação, aplicabilidade e eficácia. Em caso de discordância é valido reavaliar e redefinir a política de segurança. Além de tomar as medidas cabíveis se os problemas que surgirem forem causos pelo descumprimento das regras e não pela inconformidade das regras com o negócio ou processo.
1. Introdução
2.