Avaliação da segurança de informação na atividade-fim em uma organização pública

A informação tem se demonstrado um dos bens mais preciosos para a organização. Sendo assim, faz-se necessária uma atenção especial para manipulá-la, protegendo-a de forma adequada quanto ao seu conteúdo e quanto à privacidade das atividades que a manipulam e a transformam. Com o aumento do uso dos meios de telecomunicações e suas novas tecnologias, tornaram-se necessários estudos para novos dispositivos e serviços que têm surgido para poder oferecer à sociedade mobilidade, segurança e confiabilidade na qualidade desses serviços, além de estruturas para dar suporte a essas tecnologias.

Dessa forma, as organizações têm sofrido um alto grau de dependência em relação ao uso da informação, ao mesmo tempo em que ela é compartilhada e distribuída através das redes. Os elementos da infraestrutura que mantêm a troca e armazenamento de dados são dependentes de um sistema da informação ágil e conciso, este contribui para manter a empresa em um grau de eficiência plena das suas atividades em geral.

A importância da segurança da informação está intimamente relacionada à minimização de riscos, à garantia da continuidade do negócio, à proteção das informações, bem como ao controle de acesso baseado em um plano de contingência de desastres naturais e demais questões que juntas formam uma proteção adequada para empresa.

Diante desse cenário, formula-se o seguinte questionamento: quais são as falhas e quais são os pontos de aprimoramento referentes à segurança da informação identificados para um melhor aproveitamento nas atividades fim da organização, com foco em um setor comercial de uma empresa pública?

O presente trabalho tem, portanto, como objetivo geral identificar falhas e apontar possíveis oportunidades de melhoria e aprimoramento da segurança da informação em setor comercial de uma organização pública. E como objetivos específicos: a) entender a política de segurança da informação aplicada pela empresa; b) identificar o perfil dos funcionários da empresa; c) identificar como os empregados auxiliam na preservação dos dados e como estes veem a segurança da informação na empresa; d) realizar uma análise comparativa entre a política de segurança da informação estabelecida pela empresa e as práticas operacionais dos funcionários ao aplicarem essa política.

Este trabalho buscou identificar e avaliar falhas de Segurança da Informação nas atividades fim dos funcionários de uma instituição pública, sob a perspectiva das normas ISO/IEC 27001 e BS 17799, visando prevenir falhas e sugerir a melhor forma de implementação dos métodos de Sistemas de Segurança para colaboradores e gestores. Do ponto de vista da geração do conhecimento, a importância deste trabalho reside em elucidar pontos fortes e pontos fracos da aplicação dos critérios de segurança estabelecidos nas referidas normas, através da aplicação desses critérios e conceitos em um estudo de caso realizado em uma empresa pública de prestação de serviços. Por outro lado, do ponto de vista dos gestores, o presente trabalho justifica-se a partir da demonstração da efetividade da aplicação da política de segurança praticada pela referida empresa.

O presente estudo está dividido em cinco capítulos. No primeiro capítulo, são abordados aspectos gerais sobre o tema proposto, é apresentada a pergunta de partida, o objetivo geral e objetivos específicos. No segundo capítulo, são apresentados os conceitos relativos à segurança da informação, tecnologia da informação, treinamento de pessoal, proteção do conhecimento e os principais aspectos nos subitens riscos, ataques, vulnerabilidades, aspectos legais, aspectos econômicos e aspectos burocráticos. No terceiro capítulo, é apresentada a Metodologia desenvolvida para o trabalho. No quarto capítulo, são apresentadas as etapas da realização da pesquisa, bem como os resultados obtidos a partir da aplicação do questionário, especificando o contexto e as técnicas de coletas e de análise de dados, implantação, mecanismo de avaliação. Finalmente, no quinto capítulo, é apresentada a conclusão do trabalho.