PRINCÍPIOS EM SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES

Publicado em 05 de setembro de 2016 por Jonas Kalola Kahumba

 

RESUMO

O presente artigo tem como principal objectivo verificar em que medida as pequenas e médias empresas realizam gestão da segurança da informação, evidenciar a necessidade de que novas práticas, uso das tecnologias de informação nas organizações como ferramentas de apoio e Baseia-se na reflexão acerca do cenário actual, da inserção das TI em diferentes sectores das organizações, também identificar os principais factores que influenciam as organizações na segurança de informação ,uso das melhores práticas de segurança nas informações nas organizações aplicandos as normais de politicas de segurança ABNT NBR ISO/IEC 27001:2006[1].

 

Introdução

O mundo actual  é designado por era de informação ou era de conhecimento , isto porque toda a organização ,independentemente da sua categoria, tem como a informação como chave na manipulação da organização servindo como o elemento chave na produção das organizações . Hoje já é notável o uso das tecnologias de informação e comunicação em diferentes sectores das organizações como ferramentas de apoio aos funcionários e melhores praticas na prestação de serviço. A segurança de informação deve ser vista como uma componente principal da gestão de informação numa organização por ser elemento chave da estratégia do negocio das organizações [2].

Segurança da Informação Segurança da informação, conforme Beal (2005), é o processo de protecção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. Sêmola (2003) define segurança da informação como “uma área do conhecimento dedicada à protecção de activos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade.” A ISO/IEC 17799:2005, em sua seção introdutória define segurança da informação como “a protecção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos definir segurança da informação como a área do conhecimento que visa à protecção da informação das ameaças a sua integridade, disponibilidade e confidencialidade a fim de garantir a continuidade do negócio e minimizar os riscos.

A Segurança da Informação nas Organizações

Actualmente, não se pode afirmar que nenhuma organização possui as medidas de protecção suficientes para se tornar segura. Cada vez mais se assiste a uma diversidade de ataques que exploram vulnerabilidades de software, aplicacional ou de sistema operativo. Os ataques mais frequentes são os de acesso remoto, as backdoors aplicacionais, os erros de sistema de operativo, as bombas do correio electrónico, os vírus e o spam[3].

Modelos e Políticas de Segurança nas Organizações

A política de segurança, dentro de uma organização, vai designar a segurança de determinado sistema e esta pode ser formal ou informal. Quando falamos em modelos de segurança, estamos a referir-nos a uma política de segurança em particular, ou então a um conjunto de políticas. Nos modelos de segurança utilizam-se linguagens formais para a sua explicação[4]. As fontes para o desenvolvimento de uma política são variadas, pois intervêm os factores internos e os factores externos. Assim sendo, internamente deve ser analisada a missão e os objectivos da organização, as funções existentes, os riscos, as ameaças, os recursos financeiros e todos os outros factores que constituem a empresa. Externamente os riscos também devem ser analisados, bem como os custos e até mesmo as questões legais. Uma política de segurança não pode nunca caracterizar-se por ser estática, visto que, a sua adaptação às novas realidades que vão surgindo na empresa é fundamental, devendo ainda conseguir adaptar-se às mais diversas situações que sucedem. Ora, como já se referiu, os modelos de segurança que são integrados na organização formalizam as políticas implementadas, sendo descritas as regras a adoptar. Irão, por isso, ser apresentados modelos por vários autores, tendo em conta que os modelos podem ser qualificados por “confidencialidade, integridade, híbridos, composição e não interferência e baseados em critérios do senso comum”. Os modelos mais populares são o Modelo de BellLaPadula, o modelo de Harrisson-Ruzzo-Ullman, o modelo Chinese-Wall, o modelo de Biba, o modelo de Goguen-Meseguer e o modelo de Sutherland. Para implementar a política devem ser seguidas várias etapas (Hartley e Locke, 2001), sendo a primeira a avaliação e entendimento das necessidades de segurança, depois se já existirem políticas estas devem ser revistas. A terceira etapa consiste em definir os requisitos de protecção e por fim deve ser realizada a formalização da política. As principais características de uma política são a precisão, a perceptibilidade, devendo esta explicar o motivo de ser utilizada e quem são os responsáveis pela mesma. Os procedimentos para a implementação da segurança são executados em partes: o objetivo, a descrição, as responsabilidades, a validade e a aprovação.

 A Tecnologia da Informação (TI)

A inovação e o avanço tecnológico tem proporcionado grandes vantagens e impactos nas organizações devido aos primeiros contactos do homem com a máquina e a implantação da Tecnologia da Informação dentro das grandes, médias e pequenas empresas.

De acordo com Gonçalves (1993, apud PRATES; OSPINA, 2004 p. 14):

A tecnologia é o fator individual de mudança de maior importância na transformação das empresas. Tais transformações não se restringem ao menos ao modo de produzir bens e serviços, mas induzem novos processos e instrumentos que atingem por completo a estrutura e o comportamento das organizações, repercutindo diretamente em sua gestão.

Importância da implementação de uma Política de Segurança numa Organização

A informação representa um recurso essencial numa organização. A perda de confidencialidade, integridade ou disponibilidade pode causar uma perda de confiança nos serviços que a empresa presta.[5] Actualmente, as organizações e os respectivos sistemas de informação e redes estão expostos a muitas ameaças relacionadas com a segurança. Os vírus, os hackers e outros ataques têm-se tornado cada vez mais difíceis de resolver. A informação é armazenada e transferida de diversas formas. Esta pode ser partilhada através do correio tradicional, correio electrónico ou outros meios informáticos, escrita em papel, etc. Esta informação deve ser protegida independentemente do seu suporte. Por isso, algumas medidas devem ser tomadas numa organização:

  • A protecção da informação deve ser ajustada à sua importância e valor;
  • Apenas o detentor da informação pode permitir o acesso à mesma;
  • A segurança da informação deve ser tão importante como o cumprimento dos objectivos no seio de uma organização;
  • A segurança da informação permite alcançar e manter um nível de qualidade elevado. Para isso, deve ser criada uma equipa de gestão da segurança da informação;
  • A segurança da informação é um requisito essencial para o sucesso dos serviços de uma organização. Assim, todos os colaboradores ou pessoas que têm acesso à informação devem garantir a sua segurança e confidencialidade;
  • É necessário adaptar de forma contínua as medidas de segurança de forma a acompanhar modificações tecnológicas e/ou sociais.

Gestão da Segurança da Informação (SI) na organização

Para muitas organizações, investir em tecnologia deixou de ser diferencial competitivo e passou a ser requisito para a permanência de sua organização no mercado. Então, buscar novas formas de inovação e novos parâmetros de organizar ou suprir todas as necessidades de uma empresa passou a ser fundamental nas tomadas de decisão dos líderes das empresas.

Gracioso (2002, p.12) ressalta que os líderes têm papel fundamental ao se obter uma Gestão de SI eficaz nas empresas, analisando que “esses executivos, pesquisadores e engenheiros são geralmente jovens, extremamente motivados e orgulhosos do trabalho que fazem       .”.  

Para se trabalhar com SIG, é preciso que os funcionários estejam preparados para utilizá-los da melhor maneira possível. Santos e Nascimento (2008, p.2) ressaltam a importância do treinamento do usuário aos programas de SGSI defendendo que:

Isto se deve ao fato do usuário ser um ponto fraco para os casos de invasão de sistemas devido à falta de conhecimento das principais técnicas utilizadas pelos invasores. Prova disso é o sucesso dos ataques de spam, onde o usuário recebe um e-mail que o induz a executar um programa ou a acessar um site que coleta informações e as envia para algum invasor.

Portanto no SGSI é fundamental definir uma Política de Segurança, pois esta política formaliza os procedimentos para segurança da informação, que devem ser de conhecimento de todos. Estipulam-se normas, responsabilidades e punições para os que descumprirem as regras, além de obter um contrato de responsabilidades onde o funcionário confirma seu conhecimento a respeito das normas ali estabelecidas. De acordo com Rezende e Abreu (2010, p. 70):

A maneira mais moderna e efectiva de gestão de dados na empresa é a utilização das ferramentas dos Sistemas Gerenciadores de Banco de Dados (SGDB). Eles são recursos tecnológicos para trabalhos em banco de dados, transformando as bases de dados relacionais e únicas.

Princípios de Segurança

Para o processamento e armazenamento de informação em formato digital são utilizados os sistemas informáticos. Desta forma, os sistemas informáticos estão relacionados com a segurança de dados e da informação.[6]

[...]