domingo, 30 de maio de 2010

A aplicabilidade e efetividade das normas de segurança da informação da ABNT, na Administração Pública Federal - Introdução

A informação é um conjunto de dados que forma um sentido, ou seja, tem um significado para quem o observa.
Informação é uma série de dados organizados de um modo significativo, analisados e processados, que geram hipóteses, sugerem soluções, justificativas de sugestões, críticas de argumentos, utilizada em apoio ao processo de tomada de decisão. Exige mediação humana e seu valor está associado à utilidade que apresenta. (SIANES, apud MOTA, 2006)
Um dos assuntos mais discutidos no âmbito da Ciência da Informação é sem dúvida o valor da informação, como acurar seu valor, como medir sua eficácia, quanto vale sua armazenagem e tudo o mais que a envolve. (CASSIOLA, 2006)
Sabemos que a informação é um bem. A contabilidade considera os bens como ativos das organizações. Os bens e direitos constituem o Patrimônio das organizações e como tal devem ser guardados com segurança e protegidos.
Aqui, um ativo significa “qualquer objeto que tenha valor para a organização” (ABNT NBR ISO/IEC 27002:2005). Da mesma forma que as pessoas atribuem valores diferenciados aos seus pertences, seja por motivos sentimentais ou simplesmente por uma questão de preferência, cada organização pode associar valores diferenciados para seus ativos. Diferentemente dos indivíduos, cada organização irá prezar pela segurança dos seus ativos baseada no risco que um eventual comprometimento do mesmo trará para o negócio. Dentre os diversos tipos de ativos que possam fazer parte de uma organização, podemos citar ativos de:
• Informação eletrônica: inclui-se aqui as bases de dados e arquivos, contratos e acordos, documentação do sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
• Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
• Físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos, tais como computadores e até cabos;
• Instalações: prédios, benfeitorias.
• Pessoal: pessoas e suas qualificações, habilidades e experiências;
• Conhecimento: Conhecimento armazenado na organização;
• Intangíveis: Reputação e imagem da organização;
• Documentação em papel: Documentos e fotos;
• Serviços.
Ativos de informação são definidos como aqueles que produzem, processam, transmitem ou armazenam informações. (RAMOS apud MOTA, 2006)
Estes ativos precisam ser protegidos da ação de pessoas mal intencionadas ou de desastres da natureza. Para tanto, precisamos da Segurança da Informação, que, segundo a ABNT (2005), “é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio”.
A segurança da informação é alcançada através da implantação de um conjunto adequado de controles, incluindo políticas, procedimentos, normas, equipamentos, treinamento e conscientização das pessoas, tanto das que trabalham nas organizações, como seus clientes e fornecedores.
Vulnerabilidade, por sua vez, são fraquezas que podem estar associadas aos ativos da organização. As vulnerabilidades podem se apresentar em várias áreas. Tanto podem estar na área de recursos humanos, sendo originadas de contratações inadequadas, como podem estar nas instalações da organização, como falhas no sistema de monitoramento do CFTV, proteção física inadequada ou energia elétrica instável. Os ativos estão sujeitos a vários tipos de ameaças que exploram suas vulnerabilidades. A existência de vulnerabilidades em uma organização permite que ameaças incidam sobre ela, e dão lugar ao risco, que é a probabilidade de uma ameaça atingir uma vulnerabilidade. Dessa combinação podem resultar eventos ou incidentes de segurança. As instalações podem ser ameaçadas por chuvas fortes ou raios que podem, dependendo da vulnerabilidade resultar em um incidente de segurança. Pessoas não autorizadas podem ter acesso às organizações se elas não contarem com um sistema de controle de acesso adequado e podem desencadear eventos ou incidentes de segurança. Quanto maior a probabilidade de um evento ocorrer, em um ativo que tem valor para a organização, mais cuidados e controles devem ser adotados.
Organizações e indivíduos investem em medidas preventivas, tais como instalação de portas de segurança, para proteger seus bens, em mecanismos de detecção e monitoramento, tais como CFTV, Circuito Fechado de Televisão, e alarmes. No entanto, mesmo a combinação dessas medidas não garante total segurança, permanecendo sempre um risco residual, não se acaba com o risco, se mitiga o risco, se transfere o risco ou se aceita o risco.
Quando acontecem incidentes de segurança, mecanismos de resposta apropriada se tornam necessários. Por exemplo, quando soa um alarme, quando um ladrão consegue entrar em uma casa, todas as medidas previamente tomadas falharão se a polícia não aparecer na hora adequada.
Nos ambientes organizacionais, a prática voltada à preservação da segurança é orientada pelas assim chamadas políticas de segurança da informação, que devem abranger de forma adequada as mais variadas áreas do contexto organizacional, perpassando os recursos computacionais e de infra-estrutura e logística, até os recursos humanos.
Apesar de técnicas desenvolvidas e aprimoradas de prevenção e detecção de incidentes, muitas vezes elas não são aplicadas por falta de uma política, de normas e manuais de procedimentos que incentivem à sua aplicação e de uma política de conseqüências que puna os culpados pela negligência no uso dos controles.
O presente trabalho versa sobre segurança física, utilizando-se das normas técnicas da ABNT, voltadas para a Segurança da Informação, como parâmetro para estudar a situação atual e propor com o auxilio da metodologia de Dinâmica de Sistemas, uma nova forma de visualizar o problema de segurança física no Banco Central do Brasil e na Administração Pública Federal no que couber.
Muito se tem falado atualmente sobre segurança lógica, o que deixa às vezes a ilusão de que conseguimos dominar e detectar todos os problemas que possam afetar as organizações. No entanto, o que tem se visto é o aumento dos atentados ao patrimônio alheio, sem que se tenha conseguido adotar uma atitude proativa no sentido de evitar esses incidentes de segurança. Este trabalho se debruça sobre um incidente de segurança havido no Banco Central, e tenta ver as várias facetas do problema, a começar pelo homem, seguindo pelas normas, políticas, aspectos técnicos e construir, a partir daí, um novo entendimento da problemática de segurança física. É um trabalho que não pode ser realizado por uma pessoa só, torna-se necessário uma visão multidisciplinar e variada e para isso não foram poupados esforços no sentido de trazer novas idéias, novas visões sobre a questão, consultando especialistas e pessoas que trabalham na área de segurança, bem como profissionais de outras áreas, estudando documentos e normas de segurança e pesquisando a literatura atual sobre o assunto.
As características da informação que são atualmente mais salientadas são as seguintes:
Valor: o quanto essa informação é importante para a pessoa que a detém ou para aquela que a deseja;
Temporalidade ou volatilidade: tão importante quanto o quê se sabe é quando se sabe. A informação é como o dinheiro tem o seu valor atual, o seu valor futuro, ou simplesmente, por intempestividade, deixa de ter valor;
Abrangência: mede o número de usuários (sejam eles homens ou sistemas automatizados) com o qual a informação se relaciona, bem como o nível hierárquico em que se encontram. Em muitos casos, quanto maior o valor da informação tratada, maior será sua abrangência;
Extensibilidade: mede o grau com que a informação é capaz de originar mais informações, de valor e relevância comparáveis ou superiores à informação original.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informação – Técnicas de Segurança – Código de práticas para a Gestão da Segurança da Informação. Segunda Edição 31.08.2005. Válida a partir de 30.09.2005.
CASSIOLA, Eder, Manual de software e a transferência de informação: Proposta de estrutura de informação para o manual no formato impresso e incorporado. Campinas: PUC-Campinas, 2006.
MOTA, Luiz Gustavo da Silva. Implementação de Procedimentos de Segurança Física em Conformidade com a Norma ABNT NBR ISO/IEC 17799:2005. Monografia para o MBA em Gestão de Segurança da Informação. UPIS – Faculdades Integradas. Brasília, 2006

Nenhum comentário: