PROPOSTA DE IMPLANTAÇÃO DE UMA NOVA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA DE SEGURANÇA
NACIONAL
Alex Artur Hummes
Resumo: A segurança da informação visa proteger a informação adequadamente das diversas
ameaças a qual corre riscos. A política de segurança da informação (PSI) é quem a rege. A PSI foi o tema base deste artigo, em que a proposta de aplicação aqui abordada visa identificar de que forma ela reflete na área de tecnologia da informação, dentro do contexto estudado. A metodologia aplicada para atingir o objetivo, contou com estudo de caso que forneceu os dados necessários. Através do levantamento diretamente ligado aos fatos, a pesquisa aplicada levantou as consequências do tema. Além de pesquisa empírica e descritiva, que através de entrevistas estruturadas usaram de relatos e documentos, auxiliando no entendimento dos reflexos que ocorriam nas atividades da TI.
Palavras-chave: PSI. Segurança da Informação. ISO/IEC 27001.
1 INTRODUÇÃO
O tema deste projeto de pesquisa trata de uma proposta de implantação de uma nova política de segurança da informação, em uma empresa de segurança nacional. A proposta surgiu na empresa, devido a necessidade de reformulação da política existente afim de adequar a TI as práticas de segurança do mercado. Diante do tema abordado na empresa, uma nova política de segurança da informação foi criada como proposta de implantação. Este novo documento em vias de ser implantado, trouxe uma questão: Quais seriam os reflexos desta proposta de uma nova PSI, para área de TI da empresa? Esta questão, foi definida como o problema deste projeto de pesquisa. A política de segurança da informação (PSI), é o tema base deste artigo, onde a proposta de aplicação da PSI, aqui abordada, buscou identificar: de que forma ela reflete na área de tecnologia da informação.
A segurança da informação, trata da proteção de um conjunto de informações preservando o valor que elas possuem a alguém. Mantendo a confidencialidade, integridade, disponibilidade e autenticidade. O tema segurança da informação, traz à mente os segmentos que são os principais alvos de ataques cibernéticos. Porém, segundo Fontes (2012), independente do segmento da sua organização, é necessária a existência de um processo de segurança da informação. Isso não é somente verdade, como também fato. Ao nos depararmos em 2016 com ataques de ransomwares, na empresa foco deste projeto de pesquisa, percebemos não somente as vulnerabilidades que haviam como também a falta de um plano de ação. O que
é agravado, se consideramos que o segmento da empresa que é a segurança nacional. Ainda segundo Fontes (2012), a informação sempre foi um dos bens mais importantes da organização. A diferença é que há alguns anos, a informação mais crítica poderia ser trancada em uma gaveta. Isso havia mudado, após o ataque sofrido que se percebeu que, a informação digital que havia sido sequestrada era insubstituível.
Retomar a segurança da informação neste novo cenário era o foco. Algo precisava nos orientar, saber o que proteger, definir responsabilidades, estabelecer planos de ações e etc. O que traria estas orientações, seria a política de segurança da informação. O documento que existia na empresa, estava esquecido em uma gaveta e já não atendia. Uma nova PSI precisou ser criada, seguindo as práticas e metodologias atuais. Apoiados nos estudos das normas ABNT NBR ISO/IEC 27002:2005, este novo documento foi então elaborado. Esta nova PSI, foi adotada então como uma proposta a ser implantada e a ser seguida por toda a companhia (Princípio 1 da ABNT NBR ISO/IEC 27014:2013, onde a segurança da informação deve ser tratada em um nível organizacional).
Com o novo documento formatado, e com a busca do mesmo com o alinhamento estratégico da companhia, percebeu-se que antes de ser implantado a própria TI precisaria mudar. Fontes (2012), afirma que a segurança da informação abrange mais que o ambiente de tecnologia da informação. As atividade operacionais e atendimento aos objetivos estratégicos da organização dependem da informação e cada vez mais da TI. A área de TI da empresa seria amplamente impactada pela nova PSI, afim da mesma estar cada vez mais alinhada na busca da segurança e com o plano estratégico da companhia.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessários, para garantir que os objetivos de negócio e de segurança da organização sejam atendidos. Onde para garantir o gerenciamento da segurança da informação, uma das atividades necessárias é a produção, manutenção, distribuição e melhoria da política de segurança da informação. Todas estas constatações apenas endossam a questão deste artigo, onde foi observado quais reflexos afetaram a equipe de TI da empresa alvo deste estudo.
Assim, o objetivo geral deste artigo é identificar os reflexos da proposta de uma nova PSI, para a área de TI de uma empresa de segurança nacional e os objetivos específicos são: Discorrer sobre a TI e a importância da PSI para as organizações; Contextualizar a importância
de boas práticas de segurança da informação; Analisar as boas práticas de segurança da informação, utilizadas pela TI de uma empresa de segurança nacional; Conhecer as práticas utilizadas pela TI, antes da proposta da nova PSI; Verificar práticas alteradas, após a proposta da nova PSI; Identificar práticas alteradas, em virtude da nova PSI;
As ações desenvolvidas partiram de métodos bem definidos na sua elaboração, em que diferentes tipos de instrumentos foram utilizados. Conceitos, ideias, ações e demais tratamentos utilizados até chegar o objetivo deste tema se utilizaram de metodologia específica. Um estudo de caso foi realizado, partindo de uma investigação para a descoberta dos reflexos sobre a área de TI da empresa. A pesquisa aplicada, auxiliou a desvendar as consequências concretas do tema. Além disto, esta pesquisa empírica, forneceu os dados necessários que através do levantamento diretamente ligado aos fatos, relatos e documentos auxiliaram no entendimento dos reflexos que ocorriam nas atividades da TI. Um aprofundamento na pesquisa descritiva, resultou no cenário real correlacionado a toda a equipe do departamento TI da companhia. Entrevistas estruturadas e observações do pesquisador, como todos os 11 funcionários da TI, serviram de instrumentos para o alcance da resposta do problema.
A PSI, é a normativa de segurança da informação que serve para orientação e organização das corporações. Identificado os reflexos para a área de TI, através da metodologia aqui aplicada, outros objetivos específicos também foram alcançados. Discorrendo pela importância da PSI nas organizações, nas boas práticas de segurança e levantando as atividades alteradas em virtude do documento.
2 FUNDAMENTAÇÃO TEÓRICA
A proposta de aplicação da PSI, aqui abordada, vai buscar identificar: de que forma ela reflete na área de tecnologia da informação, dentro do contexto estudado.
Antes mesmo de detalhar a abordagem política de segurança da informação, é preciso entender a definição de política. No próprio dicionário Aurélio (2017), a palavra política remete ao ato de regular relações. “A política definirá diretrizes, os limites e o direcionamento que a organização deseja”. (ABNT, 2005). Para Fontes (2012, p. 15), “a política é o mais alto nível de declaração do que a organização acredita e quer que exista em todas as suas áreas”. A própria NBR ISO/IEC 27002 tem sua definição de política, “intenções e diretrizes globais formalmente expressas pela direção” (ABNT, 2005, p. 2). Entre outras palavras, a política é o nível mais alto de definições dentro de uma organização.
Uma política é um guia genérico para a ação. Ela delimita uma ação, mas não especifica o tempo. É uma definição de propósitos de uma empresa e estabelece linhas de orientação e limites para a ação dos indivíduos responsáveis pela implantação. As políticas são princípios que estabelecem regras para a ação e contribuem para o alcance bem sucedido dos objetivos (CHIAVENATTO, 2010, p.173).
Já a informação, segundo o dicionário Aurélio (2017) se trata do ato de informar e tomar forma. No contexto deste estudo, é o que se deseja proteger através das diretrizes definidas na política. “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida” (ABNT, 2005, p. X). Segundo Lento (2014, p. 15), “a segurança da informação é, com certeza, um fator estratégico e critério de sucesso dentro de uma organização, nesse mundo globalizado que vivemos”. A informação é bem valioso, independente da organização. “A informação é recurso essencial para toda organização, independentemente do seu porte ou segmento de atuação no mercado” (Fontes, 2012, p. 1).
Como vimos, a informação é um ativo de valor e que, assim como qualquer bem de valor, esta suscetível a ameaças. Como um bem de valor e que corre riscos, deve ser protegido.
A informação pode existir de diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja seja sempre protegida adequadamente (ABNT, 2005, p. X).
A segurança da informação visa justamente isso, proteger a informação adequadamente das diversas ameaças a qual corre riscos. Para Fontes (2012, pg. 8), “o processo de segurança da informação existe para possibilitar que a organização utilize de maneira confiável os recursos que suportam as informações necessárias para as atividades estratégicas, táticas e operacionais”. É necessário proteger as informações contra divulgações indevidas, modificações não autorizadas, destruição não desejada ou indisponibilidade.
Mas a segurança da informação sozinha, não é de grande valor. Ela precisa estar direcionada aos objetivos estratégicos da organização. Desta forma é que se aplica a política da segurança da informação. Ainda segundo Fontes (2012, pg.7), “para a existência do processo de segurança da informação na organização é fundamental a existência de política e dos demais regulamentos de proteção da informação”. É através da política que que são definidas as diretrizes estratégicas, para a realização da segurança das informações essenciais para a organização. E isso requer a participação de todos, para que haja efetividade no que a PSI especifica. A política de segurança da informação então, possui duas bases. Em um lado a
definição das informações estratégicas que se deve proteger, e de outro a participação de todos os geradores de informação no cumprimento da PSI.
Política da segurança da informação. Objetivo: Prover uma orientação e apoio da direção para segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a direção estabeleça uma clara orientação política, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio de publicação e manutenção de uma política de segurança da informação para toda a organização. (ABNT, 2005, pg. 8)
Na figura 1 abaixo, vemos como Lento (2014, p.88) ilustra exatamente a relação entre as estratégias de negócio e a política de segurança da informação.
Figura 1 - Relação da política de segurança com a organização.
Fonte: Lento (2014, p.88)
A ISO (international organization for standardization) 27002 serve como base para a criação da política de segurança da informação. Conforme Fontes (2012, 23), “Ela define um código de prática para gestão de segurança da informação e orienta quais elementos devem ser considerados para uma adequada proteção da informação”. A norma recomenda que a PSI, deve definir como a organização vai se posicionar com relação a segurança dos ativos de informação. A norma ISO 27002, mostra também que a política é apenas o primeiro passo em busca da segurança da informação. Com a implantação da PSI na organização, deve ser realizada a análise de riscos. Esta análise ocorrerá em acordo com os ativos de informação e diretrizes, definidos na política. A partir da análise de riscos, se dará o nível dos riscos e quais controles de segurança deverão ser implantados a cada um deles. Cada controle deverá ser monitorado e até reavaliado conforme sua necessidade e criticidades, gerando talvez mudanças na própria
PSI. Segundo Fontes (2012, p.24), “estes controles são os elementos que definem o que a norma considera importante para um processo de segurança da informação na organização e devem ser os elementos considerados para as políticas de segurança da informação das organizações”. Entre outras palavras, a partir da implantação da PSI, haverá um ciclo para que ocorra a segurança da informação. A política define a direção que deve ocorrer a gestão de segurança, que define os riscos que deverão ser controlados, que define os controles que serão monitorados, que define possíveis mudanças na política.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessários, para garantir que os objetivos de negócio e de segurança da organização sejam atendidos (ABNT, 2005, p. x).
Portanto, a partir da política de segurança da informação haverá desdobramentos que afetarão toda organização. Neste contexto é que se encaixa, o motivo deste projeto de pesquisa. Se há desdobramentos para toda organização, imaginamos quais seriam os reflexos para a área de tecnologia da informação, que é a área chave de tudo que aqui foi exposto. Traduzir a segurança necessária para os objetivos estratégicos da organização, definidos na PSI, em possíveis ações necessárias dentro da área de TI.
Alguns dos principais modelos de boas práticas de TI, também reforçam a afirmação de que a implantação da PSI não somente é necessária, como também contextualizam estes reflexos para a área de TI. O COBIT (control objectives for information and related technology), que é um guia de boas práticas para a governança de TI, indica a ISO para as questões de segurança da informação. Além disso o COBIT menciona a necessidade de políticas e controles no seu plano de segurança de TI. Fontes (2012, pg. 63) menciona, “a política de segurança da informação é um elemento exigido pelo COBIT para gestão e governança da informação e da tecnologia relacionada”. Como desdobramento dos reflexos para a TI, o COBIT define os controles a serem implantados para assegurar a segurança dos ativos de informação, objeto alvo da PSI.
O ITIL (information technology infrastructure library), outro modelo de boas práticas muito conceituado na área de TI, também referenciam a política de segurança da informação. Onde para garantir o gerenciamento da segurança da informação, uma das atividades necessárias é a produção, manutenção, distribuição e melhoria da política de segurança da informação. Para Fontes (2012, p. 69), “a política da segurança da informação aparece como um elemento importante na função do gerenciamento da segurança da informação”. Ele
continua, afirmando que (FONTES 2012, p. 69), “se uma organização desejar estar alinhada com o ITIL, precisará considerar a segurança da informação, e neste contexto precisará ter uma efetiva e estruturada política de segurança da informação”. A ITIL defende a melhoria continua, o que também expõe como reflexos a área de TI com a implantação da PSI, uma vez que as normas ali contidas deverão ser constantemente monitoradas e melhoradas.
A governança é outro conjunto de boas práticas, este voltado a gestão. Ela possui normas, padrões, processos que visam a eficiência da TI. Para atender os princípios de governança, a organização precisa de informação confiável o que a torna um recurso crítico. Dentro da governança corporativa e ao lado da governança de TI, há uma governança específica para a segurança da informação, o que ressalta mais uma vez a sua importância. A governança de segurança da informação, cita a PSI como uma fonte da regulamentação da segurança direcionada a cada aspecto da estratégia corporativa. Sendo então a política da segurança da informação um dos elementos para a estrutura básica de governança. No cenário da governança a TI aparece como uma das áreas de negócio, que certamente possuirá responsáveis por elementos de segurança existentes nos controles da PSI. Mais uma evidencia de reflexos da política na área de TI.
Alguns exemplos de reflexos de um PSI, são abordados por Lento (2014, p.49) onde afirma que “para que essa política seja estabelecida, são necessários mecanismos de segurança que possibilitem a adoção de controles”.
Os mecanismos de segurança da informação são responsáveis pela concretização das políticas de segurança nos sistemas computacionais. Dessa forma, as políticas de segurança, cujos comportamentos que recomendam são expressos por meio de modelos de segurança, são implantadas por mecanismos de segurança da informação. Tais mecanismos exercem os controles (físicos e/ou lógicos) necessários para garantir que as propriedades de segurança (confidencialidade, integridade e disponibilidade) sejam mantidas em conformidade com as necessidades do negócio (LENTO, SILVA e LUNG, 2006).
Lento cita os controles físicos e lógicos, atuando segundo as regras da política de segurança da informação.
Controles Físicos: São barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura (que garante a existência da informação) que a suporta.
Controles Lógicos: São barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta à alteração não autorizada por elemento mal intencionado. (LENTO, 2014, p.50)
Lento (2014, p.50) então cita controles, diretamente relacionados a área de TI, que necessitam ser alinhados a PSI. Exemplo destes controles são: O controle de acesso, que limita
ações do usuário a um sistema regido por regras de acesso alinhadas a PSI. Mecanismos de segurança, como: O firewall, que agem como filtros de proteção e que deve seguir a política.
Como afirmado, a política é nível de definição que se dá a segurança da informação. Informação esta que é considerado ativo de valor e crítico para as organizações, o que justifica não só a existência da segurança como da política para especificar tudo isso de forma alinhada as estratégias corporativas. Tal importância tem a PSI, que ela é amplamente detalhada na ISO 27002. E definida como essencial nos principais modelos de boas práticas de mercado, como o COBIT, ITIL e governanças.
Seja a ISO, o COBIT, o ITIL ou gestão de governança. Todos expõem que com a implantação da política de segurança da informação, haverá reflexos para a área de TI. Reflexos como os controles físicos e lógicos, e os mecanismos de segurança.
Todas estas constatações apenas endossam a questão deste projeto de pesquisa, onde será observado quais destes, ou demais reflexos afetaram a equipe de TI da empresa alvo deste estudo.
3 ANÁLISE COLETA DE DADOS
O estudo de caso que será apresentado a seguir realiza a pesquisa entre os 11 membros da equipe de TI da empresa alvo deste artigo. Tal pesquisa, foi realizada por meio de entrevistas e observações das rotinas de trabalho. Estes indivíduos, exercem funções técnicas e especificas na área de TI da empresa. Sendo um Gerente TI, um Analista Redes, um Analista Suporte, um Analista Suporte Jr, um Analista Suporte Jr da unidade do Rio Grande do Sul, um Analista Suporte Sr, um Analista ABAP, um Analista Basis, um Analista CO/FI, um Analista MM e um Analista SD. De forma aplicada, os reflexos da PSI na equipe de TI serão analisados quantitativamente e qualitativamente através das entrevistas e observações levantadas.
3.1 ANÁLISE QUANTITATIVA:
A entrevista foi realizada através de sete questões, descritas abaixo:
1. Você tem conhecimento de uma nova proposta de PSI? 2. Você conhece o conteúdo da nova proposta de PSI?
3. Você já percebeu mudanças nas atividades da equipe, devido a nova proposta de PSI?
4. Você tem agido em suas atividades, de forma diferente, direcionada ao conteúdo da nova proposta de PSI?
5. Quais reflexos a nova proposta de PSI, trouxe ou poderá trazer as suas atividades?
6. Cite atividades alteradas (ou que crê que poderão ser alteradas) em sua rotina em virtude da nova proposta de PSI, relatando como era e como ficaram (ou ficarão).
7. Cite novas atividades que surgiram (ou que crê que poderão surgir) em sua rotina, devido a nova proposta de PSI.
As questões de um a quatro da entrevista, limitavam-se a respostas de Sim e Não. Com o objetivo de realizar uma análise quantitativa das respostas, segue no quadro a seguir.
Quadro 1 – Respostas das Questões de 1 a 4
Área Função 1 2 3 4
Gestão Gerente TI S S S S
Infraestrutura Analista Redes S S S S
Infraestrutura Analista Suporte N N S S
Infraestrutura Analista Suporte Jr N N N N
Infraestrutura Analista Suporte Jr/RS S S S S
Infraestrutura Analista Suporte Sr S S S S
Sistemas Analista ABAP S N S N
Sistemas Analista Basis S S S S
Sistemas Analista CO/FI S N S N
Sistemas Analista MM N N N N
Sistemas Analista SD S N S S
Fonte: Autor (2017)
A primeira questão, “Você tem conhecimento de uma nova proposta de PSI?” percebemos que 73% dos entrevistados, já sabem da existência de uma nova PSI a ser implantada na companhia.
Este resultado demonstra que maior parte dos membros da equipe ao menos já houve falar que uma nova proposta de PSI está para ser implantada na companhia. Conforme
observações realizadas, isso se dá porque algumas práticas da nova PSI já estão implantadas e outras em testes entre os próprios membros da equipe.
Gráfico 1 – Resposta Questão 1
Fonte: Autor (2017)
A segunda questão, indaga “Você conhece o conteúdo da nova proposta de PSI?” Identifica-se que o conhecimento do conteúdo da política, é bem dividido. Sendo que a menor parte, 45% conhecem o conteúdo da PSI.
Podemos ainda perceber que, com relação primeira questão onde 75% tem conhecimento da existência de uma nova PSI, deste universo a minoria conhece o conteúdo da mesma. Isto é significado também da não implantação da PSI na companhia e somente de alguns controles, o que de fato não expos todo ou parte do conteúdo da mesma a alguns membros da equipe, somente aqueles que participaram da implantação destes controles. O que nos remente novamente a ISO 27002, onde é afirmado que a implantação deve atingir a todos os indivíduos da empresa e em todos os níveis hierárquicos.
Gráfico 2 – Resposta Questão 2
73% 27%
1. Você tem conhecimento de uma nova proposta de PSI?
Fonte: Autor (2017)
A terceira questão, “Você já percebeu mudanças nas atividades da equipe, devido a nova proposta de PSI?” Onde vemos que 82% já perceberam mudanças, mesmo com a PSI ainda não implantada.
Em analogia com as duas questões anteriores, entendemos que a PSI já é sentida na prática das atividades da equipe. Mesmo que o seu conteúdo não seja de conhecimento de todos, as adequações já implantadas refletem em todos.
Como visto na fundamentação teórica, os mecanismos de segurança da informação são os responsáveis pela concretização da PSI e estes visam garantir as propriedades de segurança. Mesmo que com a PSI não implantada na companhia, alguns destes mecanismos já foram ajustados para que já estejam alinhadas a ela. Isso refletiu em todos os membros da equipe, acarretando em mudanças nas atividades. Uns mais outros menos, proporcionalmente ao nível de impacto do controle em suas atividades.
Gráfico 3 – Resposta da Questão 3
45% 55%
2. Você conhece o conteúdo da nova proposta de PSI?
Fonte: Autor (2017)
A questão quatro “Você tem agido em suas atividades, de forma diferente, direcionado ao conteúdo da nova proposta de PSI?” 64% confirmam que já agem de forma diferente. O que reflete que controles já em prática mudam as atividades da equipe, e os mesmo buscam agir conforme orientações passadas pelos gestores e descritas na PSI.
Gráfico 4 – Resposta Questão 4
Fonte: Autor (2017)
3.2 ANALISE QUALITATIVA:
As questões de cinco a sete, se unem as observações realizadas para a análise qualitativa. A questão cinco “Quais reflexos a nova proposta de PSI, trouxe ou poderá trazer as suas atividades?” é uma das perguntas chaves do estudo de caso. Através dela podemos afirmar a
82% 18%
3. Você já percebeu mudanças nas atividades da equipe, devido a nova proposta de PSI?
S N
64% 36%
4. Você tem agido em suas atividades, de forma diferente, direcionada ao conteúdo da nova proposta de PSI?
existência de reflexos da PSI na equipe de TI. Observamos pelas respostas, que apenas um indivíduo mencionou que a PSI não trará reflexos. E mesmo esse indivíduo, relata não ter conhecimento da existência e conteúdo da PSI. Conforme observação realizada, o fato do mesmo mencionar que não haverá reflexos, é resultado desta falta de conhecimento. Ainda há dois indivíduos que não sabem informar se haverá reflexos ou não, o que demostra que quando a política foi implantada deve realizar um princípio básico para a situação, que é a divulgação e o engajamento de todos.
Todos os demais apontam reflexos de ordem de processos e controles das atividades em sinergia com a PSI.
Como objetivo geral a identificação dos reflexos que a PSI trará para a equipe, nas respostas desta questão podemos destacar:
Ajustes em mecanismos de segurança;
Alteração e adequação de processos, com inclusão de etapa de aprovação por responsáveis;
Análise de riscos sobre novas demandas; Formalização das atividades;
Maior controle das atividades;
Organização e clareza das atividades;
A questão seis, “Cite atividades alteradas (ou que crê que poderão ser alteradas) em sua rotina em virtude da nova proposta de PSI, relatando como era e como ficaram (ou ficarão)” Nesta questão, temos o mesmo cenário da pergunta anterior. Um indivíduo crê que não haverá alterações nas atividades e quatro não souberam informar. Os demais citaram alterações em seus processos de atividades, em virtude de alterações de segurança aplicadas na companhia em relacionadas da nova PSI.
Como objetivos específicos, verificar e identificar as práticas alteradas relacionadas a nova PSI. Esta questão ajuda a atingir este objetivo, principalmente com as respostas destacadas abaixo:
Ajuste de nível de permissão de usuários no ERP. Controle de senhas e chamadas de sistemas com nível maior de segurança.
As aplicações a clientes, passam periodicamente por analise de vulnerabilidade que refletem em ajustes nas mesmas.
Bloqueios e liberações de acessos à internet, controle de efetivação da ferramenta de backup.
Com a implantação dos novos controles, procedimentos que não existiam irão surgir para o cumprimentos dos mesmos. Os levantamentos de demandas de novos projetos internos, passam pelo crivo de análise de ajustamento com a nova PSI.
Criptografia dos dispositivos que deixam a companhia com informações.
Uma das atividades alteradas é a concessão de acesso a informação da companhia, onde anteriormente era necessário apenas uma requisição formal (através da ferramenta GLPI) por parte do usuário. E após a PSI é necessário tanto a requisição formal quanto uma aprovação por parte do dono da informação e só após essas duas etapas serem concluídas, o acesso é concedido. Outra atividade alterada é liberação de acesso à Internet onde anteriormente não havia um controle assertivo. Só após a PSI o acesso à Internet foi delimitado de acordo com a necessidade de cada perfil de usuário, sendo assim diminuindo o uso deste recurso para fins não relacionados a companhia.
A última questão, “Cite novas atividades que surgiram (ou que crê que poderão surgir) em sua rotina, devido a nova proposta de PSI” seguiu a mesma linha das anteriores, um indivíduo acredita que não surgirão novas atividades, quatro não saberiam informar. Os demais apresentaram alterações nos processos e controles de suas atividades.
Afim de atingir os objetivos deste projeto, as respostas destacadas abaixo ajudam a identificar práticas relacionadas a proposta de uma nova PSI.
A atividade ajustar aplicações conforme o relatório de análise de vulnerabilidades. A participação no comitê de segurança da informação, para discutir assuntos pertinentes
a segurança.
Controle de acesso conteúdo da internet, rotinas de backup e criptografia. O controle de acesso a informação.
O controle de identificação e responsáveis de acesso ao sistema ERP, com a automação da desativação automática de usuários desligados ou afastados.
Surgiram as atividades de backup e restauração de arquivos contidos no file server, controle de acesso a informação mediante aprovação, entre outras. Poderá surgir também a atividade de controlar o uso de dispositivos conectados via USB nos computadores.
Toda a nova implantação de serviços e recursos, serão avaliadas por um comitê afim de estar em acordo com a política.
Conforme entrevistas e observações realizadas, podemos não só afirmar que há e haverá reflexos da PSI proposta na equipe de TI, como também podemos identificar estes reflexos. Os reflexos são uma realidade já abordados na fundamentação teórica, o que diferencia de uma organização para outra são quais reflexos serão estes.
A total implantação da PSI na companhia, ainda agregará na melhoria dos processos e adesão a outras boas práticas de mercado. Porém, a PSI proposta, mesmo sem estar totalmente implantada e divulgada já expôs reflexos nas mudanças de atividades da equipe de TI. Com abordagem de novos controles, que alteraram alguns processos e ajustes de mecanismos de segurança.
4 CONCLUSÕES
A segurança da informação, visa proteger a informação adequadamente, das diversas ameaças a qual corre riscos. Ela é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. A política de segurança da informação é que rege tudo isto.
Uma proposta de implantação de PSI, foi abordada em uma empresa de segurança nacional. E nos decorrer deste artigo, foi abordado os reflexos que esta proposta de PSI causaria, especificadamente, na equipe de tecnologia da informação da companhia.
Foi possível observar que nos integrantes da equipe de TI, ainda havia uma certa falta de conhecimento sobre a nova PSI, bem como ao seu conteúdo. Isso obviamente explicado pela, até então, não implantação da mesma na companhia. O que vale ressaltar a importância de uma das etapas para implantação de um PSI, prevista na ABNT, que é a forte divulgação. Devendo atingir a todos os indivíduos da empresa e em todos os níveis hierárquicos. Porém outra parte da equipe já possuía conhecimento do conteúdo da PSI, total ou parcialmente. Isso, porque são indivíduos que participaram da elaboração ou implantação de controles previstos no documento.
Na pesquisa realizada, conhecer ou não o conteúdo da PSI, não interfere no resultado. Claro que aqueles que já possuíam tal entendimento, identificaram claramente os reflexos da PSI em suas atividades. Porém através das entrevistas e observações realizadas em campo, foi possível identificar claramente os reflexos causados pela PSI.
A proposta de implantação de uma nova PSI, em uma empresa de segurança nacional trouxe como reflexos na equipe de TI a alteração de algumas atividades desenvolvida por seus membros. Dentre elas houveram alteração de processos e procedimentos, criação de novos controles gerando novos processos e atividades, ajustes a mecanismos de segurança afim de proteger os ativos de informação em acordo com a PSI.
A PSI é um marco de regência da segurança da informação de uma corporação, ela deve estar sempre atualizada com as novas necessidades de mercado e sempre que novos incidentes de segurança forem identificados. Uma PSI bem difundida, servirá como documento de constante consulta e apoio para decisões. Embora cause reflexos, estes são benéficos. Pois além de trazer mais segurança as atividades relacionadas a informação, ainda auxilia na organização de processos que forem regidos pela mesma e a oportunidade de implantação de novos controles e boas práticas de mercado como as reconhecidas ITIL e COBIT.
5 REFERÊNCIAS
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.
FONTES, Edison. Políticas e Normas para segurança da informação. Como desenvolver, implantar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: BRASPORT, 2012.
FONTES, Edison. Praticando a segurança da informação. Orientações práticas alinhadas com norma NBR ISSO/IEC 27002 – Norma NBR ISSO/IEC 27001 – Norma NBR 15999-2 – COBIT – ITIL. Rio de Janeiro: BRASPORT, 2008.
ISO/IEC 27001. 2005. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gerenciamento de Segurança da Informação – Necessidades, ISO/IEC.
LENTO, Luiz Otávio Botelho. Gestão de segurança. Livro digital. Palhoça: Unisul Virtual, 2014.
DICIONÁRIO Aurélio de Português Online:
< https://dicionariodoaurelio.com/politica>. Acesso em: 30 mai. 2017. DICIONÁRIO Aurélio de Português Online:
