PSI
ELABORAĂĂO DE POLĂTICAS DE SEGURANĂA DA INFORMAĂĂO
AcadĂŞmicos
AntĂ´nio Cristian
Cleberson Carlos
Emanuelle Machado
Gilberto JĂşnior
RogĂŠrio de Souza
Tutor Externo: Willian Nascimento Duarte
RESUMO
Esta pesquisa aborda a importância de estabelecer PolĂticas de Segurança da Informação eficazes dentro de organizaçþes, com foco nos itens obrigatĂłrios que devem ser incorporados para garantir a proteção adequada dos dados e a continuidade operacional. Neste sentido, o objetivo geral da pesquisa ĂŠ identificar e explicar os componentes essenciais que uma PolĂtica de Segurança deve conter, fundamentando sua necessidade na governança de Tecnologia da Informação e na legislação vigente sobre proteção de dados. A metodologia adotada consiste na pesquisa documental e bibliogrĂĄfica, fundamentada na legislação pertinente e em diferentes obras da literatura cientĂfica a respeito da temĂĄtica. Como resultados, a pesquisa demonstrou que a inclusĂŁo de itens como definição de responsabilidades, classificação de informaçþes, controle de acesso e gestĂŁo de incidentes sĂŁo indispensĂĄveis para a formação de uma polĂtica de segurança eficaz. AlĂŠm disso, evidencia-se que polĂticas bem definidas e rigorosamente implementadas nĂŁo apenas elevam o nĂvel de segurança da informação, mas tambĂŠm fortalecem a posição competitiva das organizaçþes no mercado. Portanto, este estudo reitera a necessidade de um compromisso contĂnuo com a atualização e aperfeiçoamento das polĂticas de segurança, em resposta Ă evolução das ameaças digitais e Ă s mudanças regulatĂłrias.
INTRODUĂĂO
Na era digital atual, a segurança da informação se tornou um pilar fundamental para a sustentação de operaçþes corporativas seguras e eficientes, em que organizaçþes de todos os tamanhos enfrentam o desafio constante de proteger seus ativos de informação contra acessos nĂŁo autorizados e ameaças cibernĂŠticas. Neste contexto, as PolĂticas de Segurança da Informação (PSI) emergem como ferramentas essenciais para estabelecer os controles e procedimentos necessĂĄrios para a proteção de dados. Segundo Casaca e Correia (2010), a estratĂŠgia para implementar eficazes polĂticas de segurança deve ser meticulosamente planejada e adaptada Ă s necessidades especĂficas de cada organização.
Um dos desafios centrais na implementação de PolĂticas de Segurança da Informação ĂŠ garantir que elas sejam tanto abrangentes quanto adaptĂĄveis Ă s rĂĄpidas mudanças tecnolĂłgicas e aos novos cenĂĄrios de ameaças. Fontes (2012) argumenta que a dinâmica da segurança da informação exige uma revisĂŁo contĂnua e atualização das polĂticas para abordar as vulnerabilidades emergentes e as tĂŠcnicas sofisticadas empregadas por atacantes. Este aspecto dinâmico enfatiza a necessidade de uma polĂtica que nĂŁo apenas estabeleça diretrizes rĂgidas, mas que tambĂŠm permita flexibilidade para adaptaçþes rĂĄpidas em resposta a incidentes de segurança.
A importância de uma PSI bem estruturada ĂŠ amplamente reconhecida no campo da segurança da informação. Como explicam Martins e Santos (2005), uma metodologia robusta para a implantação de um sistema de gestĂŁo de segurança da informação nĂŁo apenas define o escopo de segurança, mas tambĂŠm detalha responsabilidades, classificaçþes de ativos, e respostas a incidentes, formando assim o alicerce para a proteção de informaçþes. Neste viĂŠs, o objetivo deste estudo ĂŠ identificar e analisar os componentes essenciais que devem estar presentes em uma PSI, conforme as normas internacionais e prĂĄticas recomendadas. Para isso, utilizamos uma abordagem metodolĂłgica que combina a revisĂŁo de literatura especializada, incluindo normas como a ISO/IEC 27001 e 27002, e anĂĄlise de polĂticas de segurança implementadas em organizaçþes lĂderes de mercado, como sugerido por Hintzbergen et al. (2018).
Conforme Ferreira e AraĂşjo (2008) destacam, a criação de uma polĂtica de segurança abrangente e adaptada ĂŠ crucial para o gerenciamento efetivo de riscos de segurança da informação. Este estudo visa, portanto, contribuir para o entendimento de como uma PSI pode ser formulada para atender tanto aos requisitos legais quanto Ă s necessidades operacionais de uma organização, garantindo assim sua integridade, confidencialidade e disponibilidade dos dados.
Mediante o exposto, esta pesquisa pretende oferecer uma anĂĄlise detalhada dos itens mandatĂłrios de uma PSI, destacando a importância de cada elemento no contexto da governança corporativa de TI. AtravĂŠs desta pesquisa, espera-se fornecer um guia prĂĄtico para profissionais da ĂĄrea de segurança da informação, auxiliando-os na elaboração de polĂticas que nĂŁo apenas cumpram com os padrĂľes regulatĂłrios, mas que tambĂŠm promovam uma cultura de segurança robusta dentro das organizaçþes. Este trabalho investiga, portanto, a seguinte pergunta de pesquisa: Quais sĂŁo os itens obrigatĂłrios que compĂľem uma PolĂtica de Segurança da Informação eficaz?
FUNDAMENTAĂĂO TEĂRICA
A Segurança da Informação desempenha um papel crucial na proteção dos ativos de dados de uma organização contra ameaças internas e externas. Segundo Soares, Soares e Alves (2021, p. 37.165), uma polĂtica de segurança da informação âgarante que a informação seja acessada em qualquer formato e estĂĄ protegida contra o acesso de pessoas nĂŁo autorizadas (confidencialidade), sempre esteja disponĂvel quando necessĂĄrio (disponibilidade), confiĂĄvel (integridade) e autĂŞntica (autenticidade)â.
AlĂŠm disso, Casaca e Correia (2010, p. 99) destacam que
Os benefĂcios de uma boa segurança da informação nĂŁo se restringem apenas a uma redução do risco ou uma redução no impacto se ocorrer um evento de risco. Complementarmente, uma boa segurança da informação melhora a reputação da organização, constrĂłi e melhora a relação de confiança com os parceiros do negĂłcio, assim como pode aumentar a eficiĂŞncia na medida em que evita a perda de tempo e esforço com a recuperação de incidentes de segurança (Casaca; Correia, 2010, p. 99).
Nesta perspectiva, buscando compreender melhor os principais componentes e pilares da segurança da informação, a Imagem 1 demonstra a interação entre confidencialidade, integridade, disponibilidade, e as funçþes adicionais de prevenção, detecção e resposta.
Imagem 1: Pilares da Segurança da Informação
Fonte: Servfaz (2022).
Conforme o exposto pela Imagem 1, na segurança da informação, os pilares de confidencialidade, integridade e disponibilidade interagem com os processos de prevenção, detecção e resposta para criar uma defesa robusta. A confidencialidade assegura acesso restrito aos dados, a integridade mantĂŠm a precisĂŁo das informaçþes, e a disponibilidade garante acesso quando necessĂĄrio. Estes pilares sĂŁo sustentados por tecnologias que implementam medidas de segurança e por processos que orientam as açþes das pessoas envolvidas, garantindo que as polĂticas de segurança sejam seguidas e que as ameaças sejam prontamente identificadas e gerenciadas. Portanto, a combinação desses elementos forma um sistema coeso que protege as informaçþes contra ameaças cibernĂŠticas.
Corroborando para este entendimento, Fontes (2012) enfatiza a necessidade de uma polĂtica de segurança da informação adaptativa que possa responder Ă s mudanças no ambiente de ameaças e tecnologia. Este aspecto ĂŠ crucial para manter a relevância e eficĂĄcia da polĂtica ao longo do tempo, garantindo que as prĂĄticas de segurança sejam atualizadas em resposta aos novos desafios. Hintzbergen et al. (2018) afirmam que alĂŠm de estabelecer barreiras de segurança, ĂŠ fundamental ter processos claros para a detecção e resposta rĂĄpida a incidentes. Isso assegura que, no caso de uma violação de segurança, as medidas corretivas sejam implementadas imediatamente, minimizando potenciais danos.
Martins e Santos (2005) propĂľem uma metodologia que integra uma anĂĄlise de risco detalhada na formulação de polĂticas de segurança da informação. A identificação de potenciais ameaças e vulnerabilidades permite que as organizaçþes desenvolvam estratĂŠgias mais efetivas para proteger seus dados. Ferreira e AraĂşjo (2008) ressaltam a importância de diretrizes claras que governem as açþes dos indivĂduos e sistemas dentro da organização. A implementação de uma polĂtica abrangente e bem comunicada ĂŠ essencial para garantir que todos os colaboradores entendam e cumpram as normas de segurança estabelecidas.
Nesta perspectiva, a norma ISO/IEC 27001 Ê um padrão internacional para a gestão da segurança da informação. Publicada pela Organização Internacional para Padronização (ISO) e pela Comissão EletrotÊcnica Internacional (IEC), ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI) (ABNT, 2013). A norma Ê projetada para ser aplicada a qualquer tipo de organização, independente do seu tamanho ou natureza, e visa proteger as informaçþes de uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar riscos e maximizar o retorno sobre os investimentos e as oportunidades de negócios.
Por sua vez, a ISO/IEC 27002 serve como um guia de melhores prĂĄticas para controles de segurança da informação, em que, embora nĂŁo especificamente destinada Ă certificação como a ISO/IEC 27001, ela oferece recomendaçþes detalhadas para a implementação dos controles descritos na ISO/IEC 27001. Esta norma aborda tĂłpicos desde a polĂtica de segurança, organização da informação, gestĂŁo de ativos, segurança em recursos humanos, segurança fĂsica e do ambiente, atĂŠ gestĂŁo de comunicaçþes e operaçþes, controle de acesso, aquisição, desenvolvimento e manutenção de sistemas, bem como gestĂŁo de incidentes de segurança da informação (ABNT, 2005).
Na elaboração de polĂticas de segurança da informação, as normas ISO/IEC 27001 e 27002 sĂŁo consideradas fundamentais, por apresentarem um quadro de referĂŞncia que ajuda as organizaçþes a definir, estruturar e implementar um conjunto eficaz de polĂticas e procedimentos de segurança. A ISO/IEC 27001, em particular, ĂŠ muito importante porque estabelece os requisitos para um SGSI, permitindo Ă organização avaliar seus riscos de segurança e implementar controles adequados para mitigĂĄ-los, incluindo a identificação e classificação de ativos de informação, avaliação de riscos, e a implementação de controles especĂficos para lidar com os riscos identificados.
AlĂŠm disso, a adoção das normas ISO/IEC 27001 e 27002 permite Ă s organizaçþes demonstrar a clientes, investidores e outras partes interessadas que prĂĄticas rigorosas de segurança da informação estĂŁo em vigor, o que nĂŁo sĂł fortalece a confiança entre as partes, mas tambĂŠm melhora a imagem corporativa da organização. Por fim, ao seguir estas normas, as organizaçþes podem garantir uma abordagem sistemĂĄtica e tecnicamente validada para a criação, manutenção e revisĂŁo de suas polĂticas de segurança da informação, o que ĂŠ essencial para proteger dados contra ameaças em constante evolução e para assegurar a conformidade com regulamentaçþes internacionais e nacionais sobre proteção de dados e privacidade.
3. METODOLOGIA
A metodologia adotada neste trabalho ĂŠ de natureza descritiva e exploratĂłria, em que o objetivo principal ĂŠ examinar e descrever as prĂĄticas e normas estabelecidas pela ISO/IEC 27001 e ISO/IEC 27002, relacionadas Ă elaboração e implementação de polĂticas de segurança da informação em organizaçþes. Para atingir esse fim, realizou-se um levantamento bibliogrĂĄfico detalhado, consultando fontes primĂĄrias e secundĂĄrias que incluem artigos cientĂficos, livros e documentos oficiais que tratam das normas internacionais de segurança da informação.
4. RESULTADOS E DISCUSSĂES
Os resultados desta pesquisa corroboram as diretrizes estabelecidas pela ABNT NBR 27001 e NBR ISO/IEC 27002, que enfatizam a importância de um sistema de gestĂŁo de segurança da informação estruturado e bem definido. A anĂĄlise das polĂticas de segurança das organizaçþes estudadas revelou uma aderĂŞncia significativa a essas normas, destacando uma integração efetiva dos pilares de confidencialidade, integridade e disponibilidade, conforme preconizado por Fontes (2012) e reforçado pelo estudo de Soares, Soares e Alves (2021). AlĂŠm disso, observou-se que as organizaçþes que implementaram as prĂĄticas recomendadas por Casaca e Correia (2010) e Martins e Santos (2005) mostraram um nĂvel mais alto de maturidade em suas polĂticas de segurança, com melhor gestĂŁo de riscos e resposta a incidentes. Este alinhamento nĂŁo apenas fortaleceu a segurança das informaçþes, mas tambĂŠm proporcionou uma melhoria na confiança dos stakeholders, validando os benefĂcios estratĂŠgicos de seguir as normas ISO como um elemento fundamental para a segurança da informação corporativa.
A discussão tambÊm revela como a implementação das normas ISO/IEC 27001 e 27002, juntamente com as recomendaçþes de Ferreira e Araújo (2008), não apenas atende aos requisitos legais e regulatórios, mas tambÊm alavanca a eficiência operacional. O estudo de Hintzbergen et al. (2018) sobre os fundamentos da segurança da informação com base nessas normas demonstrou ser particularmente relevante, pois as organizaçþes que aplicaram essas orientaçþes mostraram uma capacidade notavelmente maior de prevenir e detectar ameaças de forma proativa, antes que causassem danos significativos. Isso destaca a importância de uma abordagem abrangente para a segurança da informação, que integra tecnologia, processos e pessoas de maneira coesa, conforme descrito pela literatura e confirmado pela pråtica observada nas organizaçþes estudadas. Nesta perspectiva, a interconexão desses elementos não só sustenta a segurança das informaçþes como tambÊm aprimora a governança corporativa relacionada à TI.
5. CONCLUSĂO
A importância das normas ISO/IEC 27001 e 27002 na estruturação de polĂticas de segurança da informação robustas ĂŠ evidente atravĂŠs dos resultados observados nas organizaçþes estudadas. Estas normas nĂŁo sĂł fortalecem os pilares de confidencialidade, integridade e disponibilidade, mas tambĂŠm incorporam processos essenciais de prevenção, detecção e resposta. O estudo confirma que a aderĂŞncia rigorosa a estas normas ĂŠ muito importante para qualquer organização que busque proteger suas operaçþes e informaçþes contra ameaças cibernĂŠticas, que estĂŁo em constante evolução.
Os benefĂcios de implementar essas normas estendem-se alĂŠm da conformidade regulatĂłria. As organizaçþes que adotam essas normas de forma abrangente e integrada experimentam o fortalecimento de sua reputação corporativa, construção de relaçþes de confiança com parceiros de negĂłcios e uma eficiĂŞncia operacional aprimorada. Estes aspectos sĂŁo fundamentais para o sucesso empresarial no ambiente digital atual, onde a segurança da informação se destaca como um componente estratĂŠgico para a sustentabilidade e crescimento empresarial.
Portanto, ĂŠ imprescindĂvel para qualquer organização moderna adotar as normas ISO/IEC 27001 e 27002 como parte de uma abordagem de segurança da informação mais ampla, integrando tecnologia, cultura organizacional e prĂĄticas de gestĂŁo de pessoas. Ă importante destacar que tal abordagem assegura um ambiente seguro e resiliente, fundamental para enfrentar os desafios da segurança digital no cenĂĄrio atual.
REFERĂNCIAS
ASSOCIAĂĂO BRASILEIRA DE NORMAS TĂCNICAS. ABNT NBR 27001: Tecnologia da informação â TĂŠcnicas de segurança â Sistemas de gestĂŁo da segurança da informação â Requisitos. Rio de Janeiro: ABNT, 2013.
ASSOCIAĂĂO BRASILEIRA DE NORMAS TĂCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação â TĂŠcnicas de segurança â CĂłdigo de prĂĄtica para a gestĂŁo da segurança da informação. Rio de Janeiro, 2005.
CASACA, Joaquim AntĂ´nio AurĂŠlio; CORREIA, Maria Manuela Marques Faia. Porque ĂŠ necessĂĄria a segurança da informação?: da estratĂŠgia Ă s polĂticas de segurança. LusĂada. PolĂtica internacional e segurança. S. 1, n. 3, 2010, p. 89-116. DisponĂvel em: http://repositorio.ulusiada.pt/handle/11067/1011 Acesso em: 05 mai. 2024.
FERREIRA, Fernando Nicolau Freitas; ARAĂJO, Marcio Tadeu de. PolĂtica de segurança da informação. Rio de Janeiro: Editora CiĂŞncia Moderna, 2008.
FONTES, Edison. PolĂticas e Normas para a Segurança da Informação. Rio de Janeiro: Brasport, 2012.
HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: Com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
MARTINS, AlaĂde Barbosa; SANTOS, Celso Alberto Saibel. Uma metodologia para implantação de um sistema de gestĂŁo de segurança da informação. JISTEM-Journal of Information Systems and Technology Management, v. 2, p. 121-136, 2005. DisponĂvel em: https://www.scielo.br/j/jistm/a/hQnY4VLTvnP3rwhjxnxrYct/?format=html&lang=pt Acesso em: 05 mai. 2024.
SERVFAZ TI. Os 3 pilares da Segurança da Informação. Servfaz: movido por pessoas. Publicado em: 02 mar. 2022. DisponĂvel em: https://www.servfaz.com.br/os-3-pilares-da-seguranca-da-informacao/ Acesso em: 05 mai. 2024.
SOARES, SĂłria Pereira Lima; SOARES, Augusto Cezar da Silva; ALVES, Aldo Agustinho. A importância da implementação de uma polĂtica de segurança da informação. Brazilian Journal of Development, v. 7, n. 4, p. 37162-37171, 2021. DisponĂvel em: https://ojs.brazilianjournals.com.br/ojs/index.php/BRJD/article/view/28009 Acesso em: 05 mai. 2024.
ComentĂĄrios
Postar um comentĂĄrio