quinta-feira, 28 de janeiro de 2010

A INFLUÊNCIA DA NORMA ESCRITA NA FORMAÇÃO DE UMA CULTURA DE SEGURANÇA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL

Resumo: Um dos componentes principais identificados no conjunto Segurança da Informação e Comunicações é o homem. Não adianta existir um grande aparato tecnológico se o homem não estiver preparado, equipado e motivado para agir. E essa preparação envolve políticas, normas, procedimentos e treinamento organizacional.
Palavras-chave: Segurança da Informação e Comunicações, Políticas de Segurança, Normas de Segurança, Procedimentos de Segurança, Treinamento.

I - INTRODUÇÃO

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectados. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a uma grande variedade de ameaças e vulnerabilidades (ABNT NBR ISSO/IEC 17799:2005).

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. (ABNT NBR ISSO/IEC 17799:2005).

Organizações e indivíduos investem em medidas preventivas, tais como instalação de portas de segurança, para proteger seus bens. Muitos dos que implementam estas medidas também investem em mecanismos de detecção e monitoramento, como CFTV e alarmes). No entanto, mesmo a combinação dessas medidas não garante total segurança.
Mecanismos de resposta apropriada se tornam necessários quando ocorre um incidente de segurança. Por exemplo, quando soa um alarme, quando um ladrão consegue entrar na casa, todas as medidas previamente tomadas falharão se a polícia não aparecer na hora adequada.

Por esse motivo é necessário que uma organização identifique os seus requisitos de segurança.

Existem três principais fontes de requisitos de segurança da informação que são:

1. A primeira fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais do negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial no negócio.

2. A segunda fonte é a legislação vigente, regulamentações e contratos que a empresa, parceiros, funcionários e prestadores de serviço têm que atender.

3. A terceira fonte é o conjunto de princípios e requisitos para o processamento da informação.[1]

Mas como já dissemos anteriormente não basta conhecer o risco e dotar a organização dos mecanismos necessários à sua contenção.
O mais importante é preparar os agentes, pessoas, para a ação nos casos necessários, e é sobre esse assunto que vamos nos deter neste trabalho.

[1] SARANDIS, Mitropoulos, et alii. On incident handling and response: A state-of-art approah. Computers & Security (2006) 25, 351e370. http://www.elservier.com/locate/cose.

Nenhum comentário: