A Importância da Segurança da Informação nas Empresas

Classificado em Tecnologia

Escrito em em português com um tamanho de 11,78 KB

Sobre a ótica de Segurança da Informação, um elemento fundamental a ser considerado no mundo eletrônico atual é a integridade da informação. Por que esta afirmação é correta?

CORRETO. A afirmação está certa, pois a integridade é a garantia de que a informação não seja violada ou corrompida em seu ciclo de vida e, consequentemente, não perca o seu valor como bem tangível;

Em um processo de desenvolvimento de software, podemos dizer que um programador precisa focar-se apenas na criatividade, arquitetura do banco de dados, na usabilidade da aplicação e no atendimento aos requisitos do cliente, tratando os aspectos de Segurança da Informação (SI) como uma questão secundária? Certo ou Errado? Justifique.

Errado.

O programador ou qualquer processo de desenvolvimento de soluções precisa enxergar SI como um dos pontos principais do projeto, pois é neste momento em que questões importantes serão tratadas. Citemos algumas:

  • Quem terá acesso;
  • Qual o tipo de acesso;
  • Em que momento este acesso será disponibilizado;
  • Quais os mecanismos de validação (autenticação);

Exemplo: O que seria do sistema de votação, sem a preocupação com SI?

Ou mesmo, de um sistema de Caixa Eletrônico?

No Planejamento da Segurança da Informação, é preciso definir regras que determinem os objetivos desta atividade. Sendo assim, o que é preciso observar para a definição de uma melhor estratégia?

  • O que proteger: São analisados os ativos que merecem ou devem ser protegidos;
  • De que proteger: Identificação das ameaças e vulnerabilidades destes ativos;
  • Como proteger: Definir os mecanismos de proteção, ou seja, software, processos de trabalho, mão de obra e recursos em geral;

Liste e descreva as 04 etapas do ciclo de vida da informação.

  • Manuseio: Local ou momento que inicia o ciclo e onde a informação é manipulada, mexida, alterada, consultada;
  • Armazenamento: Momento em que a informação é guardada (no papel, em mídia CD, disquete, etc.);
  • Transporte: Momento do envio, transmissão ou transporte da informação (correio eletrônico, fax, sinais);
  • Descarte: Momento em que a informação é eliminada, apagada, destruída de forma definitiva;

Descreva 05 motivos que justifiquem a necessidade de implementar um processo de Segurança da Informação nas empresas.

  • O foco da empresa é o negócio, portanto as corporações dependem cada vez mais da informação para realizar as suas atividades;
  • Evita erros e protege contra desastres;
  • Estar “compliance” ou regular com normas e regulamentações. Estes processos também fortalecem os controles internos, auxiliam no gerenciamento de riscos, etc. Exemplos: – Sarbanes-Oxley; – BS 7799; – ISO/IEC 17799; – Basel II;

Descreva 05 motivos que justifiquem a necessidade de implementar um processo de Segurança da Informação nas empresas.

  • A grande importância da informação para a empresa (concorrentes, funcionários, etc.);
  • As perdas com incidentes de segurança representam um problema muito grande para as empresas (roubo de segredo industrial; fraudes);
  • Evitar a indisponibilidade para assim evitar prejuízos;
  • Notícia na mídia (imagem da organização);
  • A continuidade do sistema computacional e do negócio da empresa;
  • Garantir o C.I.D.A.L. (Confidencialidade; Integridade; Disponibilidade; Autenticidade; Legalidade);

Além das necessidades, a implementação de processos ligados à Segurança da Informação é um grande desafio para as empresas, como também para as áreas técnicas. Cite exemplos dessas dificuldades observando os dois lados: empresarial e técnico.

Empresarial:

  • Conhecimento de ameaças e vulnerabilidades;
  • Possibilitar velocidade na implementação de soluções;
  • Criação de ambiente padronizado;
  • Possibilitar a integração das soluções de segurança com o negócio (soluções de segurança personalizadas);
  • Capacitar o pessoal técnico;
  • Possibilitar o controle centralizado;
  • Falta de conscientização do corpo executivo;
  • Falta de conscientização dos funcionários;

Técnico:

  • Falta de orçamento;
  • Falta de profissionais qualificados;
  • Custo de implementação das medidas de proteção;
  • Falta de prioridades para os projetos de segurança;
  • Falta de criação de um planejamento estratégico de segurança, priorizando ações que facilitem a montagem de planos de ações direcionados para a empresa;
  • Viabilização de atualização tecnológica aderente às necessidades;
  • As prioridades operacionais da empresa podem conflitar com políticas de segurança que impliquem em atrasos;
  • Políticas internas da empresa podem afetar decisões ou práticas de segurança;

Norma: é um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou características para atividades de uso comum e repetitivo e que visa à obtenção de ordenação em um dado contexto.

Padrões: são regras que o consenso geral aceita como modelo aprovado de boas práticas que não oferecem certificação;

Normalização: é a atividade que estabelece, em relação a problemas existentes ou potenciais, prescrições destinadas à utilização comum e repetitiva com vistas à obtenção do grau ótimo de ordem em um dado contexto.

O método PDCA - (Plan, Do, Check e Action)

• É hoje o principal método da Administração pela Qualidade Total e garantir a segurança. Neste sentido, a análise e medição dos processos são relevantes para a manutenção e melhoria dos mesmos, contemplando inclusive o planejamento, padronização e a documentação destes.

• O uso dos mesmos pode ser assim descrito:

  • Plan: Definir o que se quer, planejar o que será feito, estabelecer metas e definir os métodos que permitirão atingir as metas propostas.
  • Do: Tomar iniciativa, educar, treinar, implementar, executar o planejado conforme as metas e métodos definidos.
  • Check: Verificar os resultados que se está obtendo, verificar continuamente os trabalhos para ver se estão sendo executados conforme planejados.
  • Action: Fazer correções de rotas se for necessário, tomar ações corretivas ou de melhoria, caso tenha sido constatada na fase anterior a necessidade de corrigir ou melhorar processos. É importante ter em mente na confecção das atividades relacionadas à Segurança;

Qual é a Necessidade de Proteção?Proteger os dados puros, as informações e o conhecimento do negócio;

Qual a Necessidade de Segurança?Os dados e as informações deverão estar sempre disponíveis (disponibilidade);

• A informação deverá estar acessível somente para as pessoas autorizadas a ter acesso às mesmas (confidencialidade); A informação não pode sofrer nenhuma alteração desde o seu envio até o armazenamento (integridade);

C.I.D.A.L. (Confidencialidade; Integridade; Disponibilidade; Autenticidade; Legalidade);

A importância da ISO e da Certificação:Ela permite que uma empresa construa de forma muito rápida uma PSTI;

• A certificação comprova que a SI está assegurada de forma efetiva, o que não significa que a empresa esteja imune a violações de segurança. • Serve para comprovar aos clientes e fornecedores a responsabilidade que a empresa tem com a SI;

O custo da certificação dependerá de vários fatores, como:

  • Tempo utilizado para a análise;
  • Conformidade das instalações da organização com relação à norma;
  • O tamanho da organização;
  • Complexidade da organização;

• Complexidade dos sistemas da organização;

A política de segurança pode ser subdividida em três blocos (Diretrizes, Normas e Procedimentos), sendo destinados respectivamente às camadas estratégica, tática e operacional:

  • Camada Estratégica: (Um rumo a ser seguido)
  • Camada Tática: (Padronização para melhor controlar e fazer com que todos os pontos da empresa tenham o mesmo nível de segurança).
  • Camada Operacional: (Detalhamento se a configuração está documentada e detalhada em uma instrução escrita, não há como ser realizada de forma diferente).

Uma PSTI define o que é permitido e o que é proibido. Existem basicamente, duas filosofias para isto:

  • Fechado: Tudo aquilo que não é permitido é explicitamente proibido;
  • Aberto: Tudo aquilo que não é proibido explicitamente é permitido.

Uma política deve descrever exatamente quais operações são permitidas em um sistema.

Existem diversas filosofias de plano de Segurança, mas podemos citar os principais tipos:

  • Paranoico: Tudo é proibido, mesmo aquilo que deveria ser permitido;
  • Proibitivo: Tudo aquilo que não é permitido é explicitamente proibido;
  • Permissivo: O oposto do Fechado. Tudo aquilo que não é proibido explicitamente é permitido;
  • Promíscuo: Tudo é permitido, incluindo aquilo que deve ser proibido;

Procedimentos de Segurança

  • Os procedimentos de Segurança devem ser fáceis de entender, caso contrário não serão postos em prática;
  • Ter a sua finalidade explicada, ou serão ignorados;
  • Devem ser impostos com energia, ou exceções serão criadas;
  • Deverão ser definidas sanções para os violadores;
  • Cada empregado só precisa saber os procedimentos de segurança que lhe dizem respeito;
  • Tal como as políticas de segurança, os procedimentos devem ser largamente divulgados;

O que faz uma boa política de segurança?

  1. Ela deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.
  2. Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível.
  3. Ela deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes.
Karma: 19%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Integridade da Informação Ciclo de Vida da Informação Segurança da Informação Processos de Segurança Desenvolvimento de Software