Estamos vivendo em uma época em que informação é ativo empresarial. Ela representa a inteligência competitiva dos negócios e é reconhecida como ativo critico para continuidade operacional e saúde da empresa. A informação deve ser considerada como sendo da Empresa e não da pessoa que a manipula.
Pensando assim, a informação deve ser considerada como sendo um ativo intangível e podemos estabelecer também que tais ativos estão sujeitos a furto, uso indevido, fraude eletrônica, falsificação de identidade, alteração de dados e das informações arquivadas, espionagem para obtenção de segredo industrial e comercial, cópia de programas que geram violação de direito autoral, interceptação de informações, violação de banco de dados pessoais, uso de marca alheia para Search Engine para gerar tráfego em sites, exposição de marca associada a conteúdo ofensivo e ai por diante.
Por conta desse cenário, trazido pela tecnologia, é que surgiu, em 2005 a norma ISO/IEC 27002 que nos ensina que segurança da informação é “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades dos negócios”.
Traz ainda a referida norma que a Segurança da Informação tem 5 (cinco) focos: i) confidencialidade; ii) integridade; iii) disponibilidade; iv) autenticidade e v) legalidade.
Por confidencialidade devemos entender que a informação só deve ser acessada por quem de direito. Que integridade está relacionada a se evitar que os dados sejam apagados ou alterados sem a devida autorização do proprietário e por disponibilidade que as informações devem sempre estar disponíveis para acesso. Por autenticidade devemos entender que é a capacidade de identificar e reconhecer formalmente a identidade dos elementos de uma comunicação eletrônica ou comércio e por legalidade, como sendo a característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.
A norma ISO/IEC 27002 traz que para realizar uma política de segurança da informação é preciso, primeiro, inventariar todos os ativos de modo a entender quais são as suas vulnerabilidades. O segundo passo é classificar as informações de acordo com sua sensibilidade e criticidade, considerando a seguinte classificação: pública, privada e confidencial. Muito importante também é a criação de um Comitê de Segurança da Informação na empresa, que sugerimos seja formado por membros de todas as áreas, uma vez que o comprometimento de todos valerá o sucesso do projeto.
Inventariados os ativos, classificadas as informações e criado o Comitê de Segurança da Informação, deve-se iniciar a elaboração da Política de Segurança, que deverá trazer todas as diretrizes sobre a segurança da empresa, estabelecendo controles de acesso físico e lógicos (segurança física e segurança rede).
A informação precisa ter as seguintes propriedades preservadas para que esteja efetivamente sob controle:
Confidencialidade – Garantir que a informação será acessada apenas pelas pessoas autorizadas;
Integridade - Garantir a exatidão e completeza da informação e dos métodos de processamento;
Disponibilidade - Garantir que os usuários autorizados tenham acesso à informação e aos ativos correspondentes sempre que necessário;
A estas propriedades, Sêmola (2003:9), acrescenta:
Autenticidade – Garantir a identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica que permite o acesso à informação e seus ativos por meio de controles de identificação desses elementos;
Legalidade – Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.
Por sua vez o ciclo de vida é composto pelos momentos em que os ativos físicos, tecnológicos e humanos utilizam as informações nos diversos processos necessários às operações das organizações. Nestes momentos ocorre a exposição das informações às ameaças que colocam em risco suas propriedades.
Estes momentos podem ser divididos da seguinte maneira:
Manuseio - Momento em que a informação é criada e manipulada. Através de uma planilha ou em anotações em uma folha de papel;
Armazenamento - Quando a informação é armazenada , seja em um CD, em um Banco de Dados ou na forma impressa em uma pasta;
Transporte - Quando a informação é transportada, seja por correio eletrônico, através de uma rede para ser consultada em uma estação ou ainda por um motoboy em CD entre sites da organização ou de seus parceiros;
Descarte - Quando a informação é descartada. Por exemplo, jogando no lixo um relatório ou descartando um Hard Disk ou um CD que apresentaram defeito.
A criação de uma política de Segurança da Informação, que é o conjunto de controles, constituído por padrões, recomendações, estruturas organizacionais ou funcionais de software/hardware que garantam as premissas de segurança da tecnologia da informação não é tarefa simples, especialmente quando levamos em conta os riscos legais envolvidos, especialmente quanto à questão do monitoramento, para não gerar riscos legais de privacidade ou infrações civis e penais.
A Política de Segurança da Informação é documento jurídico que deve ser firmado no modelo de Diretriz ou de normas e procedimentos para proteção dos ativos da empresa, cada vez mais dependente das tecnologias existentes.
Para que a empresa possa estabelecer uma forte política de segurança da informação ela deve se valer dos preceitos constantes na ISO/IEC 27001:2005 que trata dos procedimentos e recomendações sobre Sistemas de Gestão de Segurança da Informação; na ISO/IEC 27002:2005, que trata do Código de Praticas para Gestão da Segurança da Informação; na ISO/IEC 18004:2004, que trata sobre a Gestão dos Incidentes de Segurança da Informação, a norma ABNT NBR 15999, que trata da Gestão da Continuidade dos Negócios; ISO/DIS 31000:2008, sobre a Gestão de Risco, a ABNT ISO/IEC 20000, sobre Gerenciamento de Serviços a legislação e tratados internacionais como a Sarbanes-Oxley, Basileia II, Constituição Federal, Código Civil e Penal e outras leis em vigor.
A Política de Segurança da Informação deve ser elaborada com base em uma série de normas específicas que devem detalhar o aspecto operacional de sua execução. Podemos citar algumas normas que devem ser estabelecidas para compor a Política de Segurança da Informação, tais como: Norma para Identificação de Usuário e Senhas; Norma de Proteção Física dos Ativos de Informação; Norma de Uso e Administração de Rede Interna; Norma de Uso de Computadores e Dispositivos de Propriedade da Empresa; Norma de Uso de Correio Eletrônico (e-mail); Norma de Uso da Internet; Norma de Classificação da Informação; Norma de Gestão Documental; Norma de Assinatura e Certificação Digital; Norma de Impressão, Cópia e Digitalização de Documentos; Norma de Geração e Preservação de Evidências; Norma de Infrações e Penalidades; Norma de Acesso Remoto à Redes, Termo ou Acordo de Confidencialidade, Termo de Responsabilidade.
Com uma Política de Segurança da Informação bem elaborada, de modo a educar e evitar riscos de responsabilidades legais, a empresa se protege e minimiza contingências possíveis, evidenciando-se como uma conduta simples mas que depende da interação ativa das várias lideranças, e da participação de todos os envolvidos.
Vilma Rangel Garcia