Importância das Políticas

A informação é um dos principais activos das organizações actuais, estando os sistemas que suportam essa informação cada vez mais expostos a ameaças. A tríade CIA (Confidentiality, Integrity and Availability) – Confidencialidade, Integridade e Disponibilidade – representa as propriedades convencionais que orientam a análise, o planeamento e a implementação da segurança da informação. Outras propriedades estão a emergir, como é o caso da legitimidade e a autenticidade, isto porque a utilização de transacções comerciais em todo o mundo através de redes electrónicas se massifica.

Os princípios clássicos da CIA podem ser explicados da seguinte forma:

• Confidencialidade – acesso a informação somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

• Integridade – a informação manipulada deve manter todas as características originais estabelecidas pelo proprietário da informação, garantindo que o conteúdo não é alterado de forma não autorizada.

• Disponibilidade – a informação está sempre disponível para o uso legítimo, sempre que dela se necessite.

Estes princípios são considerados tradicionais para os autores Dhillon e Backhouse [2000, p. 126], que consideram que são bons enquanto servirem, mas “são muito restritos e aplicam-se principalmente à informação vista como dados mantidos nos sistemas informáticos”. Estes autores acrescentam outros princípios sem os quais as futuras organizações enfrentarão sérios problemas. Estes novos princípios foram condensados no acrónimo RITE (Responsibility, Integrity, Trust and Ethicality) – Responsabilidade, Integridade, Confiança e Ética – e são entendidos por aqueles autores como instrumentais para a criação de uma cultura de segurança da informação para as organizações num futuro próximo.

Os princípios RITE podem ser explicados da seguinte forma:

• Responsabilidade – Assume importância com o abandono da estrutura organizacional vertical/hierárquica. Para os autores Dhillon e Backhouse [2000, p. 127], espera-se que os “membros desenvolvam as suas próprias práticas de trabalho com base numa compreensão clara das suas responsabilidades. Assim, ser responsável significa não apenas ter remédio para quando as coisas erradas

18

ocorrem, mas refere-se também em lidar com o desenvolvimento dos eventos futuros de uma esfera particular”.

• Integridade – Lidar com a informação valiosa, não a divulgar, não ceder às pressões. Para os autores Dhillon e Backhouse [2000, p. 127], a informação “tornou-se uma propriedade das organizações. Tem propriedades que são peculiares – pode divulgar-se a informação a uma terceira parte sem removê-la de onde veio e sem necessariamente revelar que o fez”. Dado o valor da informação para as organizações é necessário ter em conta a integridade dos funcionários que acedem à informação.

• Confiança – Autocontrolo e responsabilidade em abandono do controlo externo e supervisão. Para os autores Dhillon e Backhouse [2000, p. 128], nas empresas “onde se dá menos ênfase ao controle externo e à supervisão e mais ao auto- controlo e responsabilidade têm que existir sistemas de confiança mútua”.

• Ética – As regras aplicam-se a situações concretas, a circunstâncias previstas e previsíveis. A ética deve estar sempre presente em situações informais, novas e dinâmicas, de forma a potenciar uma resposta adequada por parte dos colaboradores face a essas novas situações.

Para estes autores, a SSI deve nos próximos tempos assentar nos princípios CIA e RITE. Ou seja, é preciso ter em conta não só os aspectos técnicos, mas também e cada vez mais, os aspectos organizacionais e sociais, pois só assim será possível o bem-estar organizacional.

Para atingirem este nível de protecção, as empresas têm de se deixar de preocupar apenas com ataques de crackers ou com a implementação de firewalls e/ou antivírus, e deslocar a sua atenção para a criação de uma verdadeira política de SSI, onde estejam incluídos os meios identificados anteriormente, mas com um maior grau de abrangência e complexidade. Para Wood [1995], estabelecer apenas uma firewall não garante, por exemplo, que o acesso à Internet seja seguro, devendo-se, na opinião deste autor, estabelecer um conjunto de considerações, tais como, políticas, procedimentos, normas3 e outras instruções de gestão.

Da revisão da literatura efectuada verifica-se unanimidade quanto à importância de uma política de SSI numa organização, sendo considerada por vários autores como a fundação da segurança da informação. Esta constatação pode ser validada com as afirmações que a seguir se apresentam:

“A política de segurança é para o ambiente da segurança como a lei para o sistema legal. (…) Uma política é o início da gestão da segurança.” [Higgins 1999, p. 217] “… um sistema de informação sem uma política de segurança é uma espécie de colecção deslocada de contra-medidas dirigidas a várias ameaças.” [Schneier 2000, p. 55]

3

19

“Uma política de segurança eficaz é tão necessária para um bom programa de segurança de informação como uma fundação sólida para uma casa.” [King et al. 2001, p. 13]

“A pedra angular de uma arquitectura de segurança de informação eficaz é uma declaração de política bem redigida.” [Peltier 2002, p. 21]

“A política de segurança da informação é um dos documentos mais importantes numa organização.” [Höne e Eloff 2002a, p. 409]

“. . . a política de segurança é o alicerce em que toda a segurança se baseia.” [Shorten 2004, p. 917]

“As políticas de segurança são a fundação e a linha da base da segurança da informação numa organização.” [Kee 2001, p. 1]

“As políticas de segurança são as directivas mais baratas de executar, mas as mais difíceis de implementar adequadamente.” [Whitman e Mattord 2005]

As razões para esta elevação do grau de importância das políticas de SSI encontram- se na utilidade que estes documentos demonstram ao nível das iniciativas para a protecção dos SI desenvolvidas pelas organizações [de Sá-Soares 2005].

Para os autores Höne e Eloff [2002a], as políticas de segurança constituem um veículo privilegiado para os responsáveis explicarem a necessidade de segurança no sistema de informação da organização.

As políticas de segurança também revelam a sua utilidade mediante o estabelecimento das grandes linhas orientadoras para a SSI, fornecendo direcção às iniciativas de protecção dos recursos do sistema de informação e definindo o papel que a SSI desempenha no suporte da missão e objectivos da organização [JISC 2001].

As políticas de SSI são também úteis para os técnicos de segurança, na medida em que fornecem indicações sobre os activos que a organização quer proteger e sobre o grau de protecção com que cada um desses activos deve ser dotado [King et al. 2001].

As políticas de SSI auxiliam ainda na coordenação das acções de protecção dos recursos do sistema de informação, evitando a fragmentação dos esforços e servindo de guia para o processo de selecção, desenvolvimento e implementação de controlos apropriados de SSI [Barman 2001].

Outro aspecto a destacar é a política de SSI contribuir para que todos dentro da organização se comportem coerentemente de forma aceitável relativamente à segurança da informação [Lee 2001].

Pode também referir-se o seu papel na garantia de que a organização está a cumprir a legislação apropriada, nomeadamente através da evitação ou limitação de responsabilidades civis ou criminais [Dhillon e Backhouse 1997].

20