DOE AGORA Qualquer valor

PSI

ELABORAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO


AcadĂŞmicos

AntĂ´nio Cristian

Cleberson Carlos

Emanuelle Machado

Gilberto JĂşnior

RogĂŠrio de Souza

Tutor Externo: Willian Nascimento Duarte



RESUMO 

Esta pesquisa aborda a importância de estabelecer Políticas de Segurança da Informação eficazes dentro de organizaçþes, com foco nos itens obrigatórios que devem ser incorporados para garantir a proteção adequada dos dados e a continuidade operacional. Neste sentido, o objetivo geral da pesquisa Ê identificar e explicar os componentes essenciais que uma Política de Segurança deve conter, fundamentando sua necessidade na governança de Tecnologia da Informação e na legislação vigente sobre proteção de dados. A metodologia adotada consiste na pesquisa documental e bibliogråfica, fundamentada na legislação pertinente e em diferentes obras da literatura científica a respeito da temåtica. Como resultados, a pesquisa demonstrou que a inclusão de itens como definição de responsabilidades, classificação de informaçþes, controle de acesso e gestão de incidentes são indispensåveis para a formação de uma política de segurança eficaz. AlÊm disso, evidencia-se que políticas bem definidas e rigorosamente implementadas não apenas elevam o nível de segurança da informação, mas tambÊm fortalecem a posição competitiva das organizaçþes no mercado. Portanto, este estudo reitera a necessidade de um compromisso contínuo com a atualização e aperfeiçoamento das políticas de segurança, em resposta à evolução das ameaças digitais e às mudanças regulatórias.




  1. INTRODUÇÃO


Na era digital atual, a segurança da informação se tornou um pilar fundamental para a sustentação de operaçþes corporativas seguras e eficientes, em que organizaçþes de todos os tamanhos enfrentam o desafio constante de proteger seus ativos de informação contra acessos não autorizados e ameaças cibernÊticas. Neste contexto, as Políticas de Segurança da Informação (PSI) emergem como ferramentas essenciais para estabelecer os controles e procedimentos necessårios para a proteção de dados. Segundo Casaca e Correia (2010), a estratÊgia para implementar eficazes políticas de segurança deve ser meticulosamente planejada e adaptada às necessidades específicas de cada organização.

Um dos desafios centrais na implementação de Políticas de Segurança da Informação Ê garantir que elas sejam tanto abrangentes quanto adaptåveis às råpidas mudanças tecnológicas e aos novos cenårios de ameaças. Fontes (2012) argumenta que a dinâmica da segurança da informação exige uma revisão contínua e atualização das políticas para abordar as vulnerabilidades emergentes e as tÊcnicas sofisticadas empregadas por atacantes. Este aspecto dinâmico enfatiza a necessidade de uma política que não apenas estabeleça diretrizes rígidas, mas que tambÊm permita flexibilidade para adaptaçþes råpidas em resposta a incidentes de segurança.

A importância de uma PSI bem estruturada Ê amplamente reconhecida no campo da segurança da informação. Como explicam Martins e Santos (2005), uma metodologia robusta para a implantação de um sistema de gestão de segurança da informação não apenas define o escopo de segurança, mas tambÊm detalha responsabilidades, classificaçþes de ativos, e respostas a incidentes, formando assim o alicerce para a proteção de informaçþes. Neste viÊs, o objetivo deste estudo Ê identificar e analisar os componentes essenciais que devem estar presentes em uma PSI, conforme as normas internacionais e pråticas recomendadas. Para isso, utilizamos uma abordagem metodológica que combina a revisão de literatura especializada, incluindo normas como a ISO/IEC 27001 e 27002, e anålise de políticas de segurança implementadas em organizaçþes líderes de mercado, como sugerido por Hintzbergen et al. (2018).

Conforme Ferreira e Araújo (2008) destacam, a criação de uma política de segurança abrangente e adaptada Ê crucial para o gerenciamento efetivo de riscos de segurança da informação. Este estudo visa, portanto, contribuir para o entendimento de como uma PSI pode ser formulada para atender tanto aos requisitos legais quanto às necessidades operacionais de uma organização, garantindo assim sua integridade, confidencialidade e disponibilidade dos dados.

Mediante o exposto, esta pesquisa pretende oferecer uma anålise detalhada dos itens mandatórios de uma PSI, destacando a importância de cada elemento no contexto da governança corporativa de TI. AtravÊs desta pesquisa, espera-se fornecer um guia pråtico para profissionais da årea de segurança da informação, auxiliando-os na elaboração de políticas que não apenas cumpram com os padrþes regulatórios, mas que tambÊm promovam uma cultura de segurança robusta dentro das organizaçþes. Este trabalho investiga, portanto, a seguinte pergunta de pesquisa: Quais são os itens obrigatórios que compþem uma Política de Segurança da Informação eficaz?


  1. FUNDAMENTAÇÃO TEÓRICA


A Segurança da Informação desempenha um papel crucial na proteção dos ativos de dados de uma organização contra ameaças internas e externas. Segundo Soares, Soares e Alves (2021, p. 37.165), uma polĂ­tica de segurança da informação “garante que a informação seja acessada em qualquer formato e estĂĄ protegida contra o acesso de pessoas nĂŁo autorizadas (confidencialidade), sempre esteja disponĂ­vel quando necessĂĄrio (disponibilidade), confiĂĄvel (integridade) e autĂŞntica (autenticidade)”. 

AlĂŠm disso, Casaca e Correia (2010, p. 99) destacam que

Os benefícios de uma boa segurança da informação não se restringem apenas a uma redução do risco ou uma redução no impacto se ocorrer um evento de risco. Complementarmente, uma boa segurança da informação melhora a reputação da organização, constrói e melhora a relação de confiança com os parceiros do negócio, assim como pode aumentar a eficiência na medida em que evita a perda de tempo e esforço com a recuperação de incidentes de segurança (Casaca; Correia, 2010, p. 99).

Nesta perspectiva, buscando compreender melhor os principais componentes e pilares da segurança da informação, a Imagem 1 demonstra a interação entre confidencialidade, integridade, disponibilidade, e as funçþes adicionais de prevenção, detecção e resposta.


Imagem 1: Pilares da Segurança da Informação


Fonte: Servfaz (2022).


Conforme o exposto pela Imagem 1, na segurança da informação, os pilares de confidencialidade, integridade e disponibilidade interagem com os processos de prevenção, detecção e resposta para criar uma defesa robusta. A confidencialidade assegura acesso restrito aos dados, a integridade mantÊm a precisão das informaçþes, e a disponibilidade garante acesso quando necessårio. Estes pilares são sustentados por tecnologias que implementam medidas de segurança e por processos que orientam as açþes das pessoas envolvidas, garantindo que as políticas de segurança sejam seguidas e que as ameaças sejam prontamente identificadas e gerenciadas. Portanto, a combinação desses elementos forma um sistema coeso que protege as informaçþes contra ameaças cibernÊticas.

Corroborando para este entendimento, Fontes (2012) enfatiza a necessidade de uma política de segurança da informação adaptativa que possa responder às mudanças no ambiente de ameaças e tecnologia. Este aspecto Ê crucial para manter a relevância e eficåcia da política ao longo do tempo, garantindo que as pråticas de segurança sejam atualizadas em resposta aos novos desafios. Hintzbergen et al. (2018) afirmam que alÊm de estabelecer barreiras de segurança, Ê fundamental ter processos claros para a detecção e resposta råpida a incidentes. Isso assegura que, no caso de uma violação de segurança, as medidas corretivas sejam implementadas imediatamente, minimizando potenciais danos.

Martins e Santos (2005) propþem uma metodologia que integra uma anålise de risco detalhada na formulação de políticas de segurança da informação. A identificação de potenciais ameaças e vulnerabilidades permite que as organizaçþes desenvolvam estratÊgias mais efetivas para proteger seus dados. Ferreira e Araújo (2008) ressaltam a importância de diretrizes claras que governem as açþes dos indivíduos e sistemas dentro da organização. A implementação de uma política abrangente e bem comunicada Ê essencial para garantir que todos os colaboradores entendam e cumpram as normas de segurança estabelecidas.

Nesta perspectiva, a norma ISO/IEC 27001 Ê um padrão internacional para a gestão da segurança da informação. Publicada pela Organização Internacional para Padronização (ISO) e pela Comissão EletrotÊcnica Internacional (IEC), ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI) (ABNT, 2013). A norma Ê projetada para ser aplicada a qualquer tipo de organização, independente do seu tamanho ou natureza, e visa proteger as informaçþes de uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar riscos e maximizar o retorno sobre os investimentos e as oportunidades de negócios.

Por sua vez, a ISO/IEC 27002 serve como um guia de melhores pråticas para controles de segurança da informação, em que, embora não especificamente destinada à certificação como a ISO/IEC 27001, ela oferece recomendaçþes detalhadas para a implementação dos controles descritos na ISO/IEC 27001. Esta norma aborda tópicos desde a política de segurança, organização da informação, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, atÊ gestão de comunicaçþes e operaçþes, controle de acesso, aquisição, desenvolvimento e manutenção de sistemas, bem como gestão de incidentes de segurança da informação (ABNT, 2005).

Na elaboração de políticas de segurança da informação, as normas ISO/IEC 27001 e 27002 são consideradas fundamentais, por apresentarem um quadro de referência que ajuda as organizaçþes a definir, estruturar e implementar um conjunto eficaz de políticas e procedimentos de segurança. A ISO/IEC 27001, em particular, Ê muito importante porque estabelece os requisitos para um SGSI, permitindo à organização avaliar seus riscos de segurança e implementar controles adequados para mitigå-los, incluindo a identificação e classificação de ativos de informação, avaliação de riscos, e a implementação de controles específicos para lidar com os riscos identificados.

AlÊm disso, a adoção das normas ISO/IEC 27001 e 27002 permite às organizaçþes demonstrar a clientes, investidores e outras partes interessadas que pråticas rigorosas de segurança da informação estão em vigor, o que não só fortalece a confiança entre as partes, mas tambÊm melhora a imagem corporativa da organização. Por fim, ao seguir estas normas, as organizaçþes podem garantir uma abordagem sistemåtica e tecnicamente validada para a criação, manutenção e revisão de suas políticas de segurança da informação, o que Ê essencial para proteger dados contra ameaças em constante evolução e para assegurar a conformidade com regulamentaçþes internacionais e nacionais sobre proteção de dados e privacidade.



3. METODOLOGIA



A metodologia adotada neste trabalho Ê de natureza descritiva e exploratória, em que o objetivo principal Ê examinar e descrever as pråticas e normas estabelecidas pela ISO/IEC 27001 e ISO/IEC 27002, relacionadas à elaboração e implementação de políticas de segurança da informação em organizaçþes. Para atingir esse fim, realizou-se um levantamento bibliogråfico detalhado, consultando fontes primårias e secundårias que incluem artigos científicos, livros e documentos oficiais que tratam das normas internacionais de segurança da informação.


 

4. RESULTADOS E DISCUSSÕES



Os resultados desta pesquisa corroboram as diretrizes estabelecidas pela ABNT NBR 27001 e NBR ISO/IEC 27002, que enfatizam a importância de um sistema de gestão de segurança da informação estruturado e bem definido. A anålise das políticas de segurança das organizaçþes estudadas revelou uma aderência significativa a essas normas, destacando uma integração efetiva dos pilares de confidencialidade, integridade e disponibilidade, conforme preconizado por Fontes (2012) e reforçado pelo estudo de Soares, Soares e Alves (2021). AlÊm disso, observou-se que as organizaçþes que implementaram as pråticas recomendadas por Casaca e Correia (2010) e Martins e Santos (2005) mostraram um nível mais alto de maturidade em suas políticas de segurança, com melhor gestão de riscos e resposta a incidentes. Este alinhamento não apenas fortaleceu a segurança das informaçþes, mas tambÊm proporcionou uma melhoria na confiança dos stakeholders, validando os benefícios estratÊgicos de seguir as normas ISO como um elemento fundamental para a segurança da informação corporativa.

A discussão tambÊm revela como a implementação das normas ISO/IEC 27001 e 27002, juntamente com as recomendaçþes de Ferreira e Araújo (2008), não apenas atende aos requisitos legais e regulatórios, mas tambÊm alavanca a eficiência operacional. O estudo de Hintzbergen et al. (2018) sobre os fundamentos da segurança da informação com base nessas normas demonstrou ser particularmente relevante, pois as organizaçþes que aplicaram essas orientaçþes mostraram uma capacidade notavelmente maior de prevenir e detectar ameaças de forma proativa, antes que causassem danos significativos. Isso destaca a importância de uma abordagem abrangente para a segurança da informação, que integra tecnologia, processos e pessoas de maneira coesa, conforme descrito pela literatura e confirmado pela pråtica observada nas organizaçþes estudadas. Nesta perspectiva, a interconexão desses elementos não só sustenta a segurança das informaçþes como tambÊm aprimora a governança corporativa relacionada à TI.


5. CONCLUSÃO


A importância das normas ISO/IEC 27001 e 27002 na estruturação de políticas de segurança da informação robustas Ê evidente atravÊs dos resultados observados nas organizaçþes estudadas. Estas normas não só fortalecem os pilares de confidencialidade, integridade e disponibilidade, mas tambÊm incorporam processos essenciais de prevenção, detecção e resposta. O estudo confirma que a aderência rigorosa a estas normas Ê muito importante para qualquer organização que busque proteger suas operaçþes e informaçþes contra ameaças cibernÊticas, que estão em constante evolução.

Os benefícios de implementar essas normas estendem-se alÊm da conformidade regulatória. As organizaçþes que adotam essas normas de forma abrangente e integrada experimentam o fortalecimento de sua reputação corporativa, construção de relaçþes de confiança com parceiros de negócios e uma eficiência operacional aprimorada. Estes aspectos são fundamentais para o sucesso empresarial no ambiente digital atual, onde a segurança da informação se destaca como um componente estratÊgico para a sustentabilidade e crescimento empresarial.

Portanto, é imprescindível para qualquer organização moderna adotar as normas ISO/IEC 27001 e 27002 como parte de uma abordagem de segurança da informação mais ampla, integrando tecnologia, cultura organizacional e práticas de gestão de pessoas. É importante destacar que tal abordagem assegura um ambiente seguro e resiliente, fundamental para enfrentar os desafios da segurança digital no cenário atual.


REFERÊNCIAS


ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005.

CASACA, Joaquim AntĂ´nio AurĂŠlio; CORREIA, Maria Manuela Marques Faia. Porque ĂŠ necessĂĄria a segurança da informação?: da estratĂŠgia Ă s polĂ­ticas de segurança. LusĂ­ada. PolĂ­tica internacional e segurança. S. 1, n. 3, 2010, p. 89-116. DisponĂ­vel em: http://repositorio.ulusiada.pt/handle/11067/1011 Acesso em: 05 mai. 2024. 

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu de. Política de segurança da informação. Rio de Janeiro: Editora Ciência Moderna, 2008.

FONTES, Edison. Políticas e Normas para a Segurança da Informação. Rio de Janeiro: Brasport, 2012.

HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: Com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.

MARTINS, AlaĂ­de Barbosa; SANTOS, Celso Alberto Saibel. Uma metodologia para implantação de um sistema de gestĂŁo de segurança da informação. JISTEM-Journal of Information Systems and Technology Management, v. 2, p. 121-136, 2005. DisponĂ­vel em: https://www.scielo.br/j/jistm/a/hQnY4VLTvnP3rwhjxnxrYct/?format=html&lang=pt Acesso em: 05 mai. 2024. 

SERVFAZ TI. Os 3 pilares da Segurança da Informação. Servfaz: movido por pessoas. Publicado em: 02 mar. 2022. Disponível em: https://www.servfaz.com.br/os-3-pilares-da-seguranca-da-informacao/ Acesso em: 05 mai. 2024.

SOARES, SĂłria Pereira Lima;  SOARES, Augusto Cezar da Silva; ALVES, Aldo Agustinho. A importância da implementação de uma polĂ­tica de segurança da informação. Brazilian Journal of Development, v. 7, n. 4, p. 37162-37171, 2021. DisponĂ­vel em: https://ojs.brazilianjournals.com.br/ojs/index.php/BRJD/article/view/28009 Acesso em: 05 mai. 2024. 


ComentĂĄrios

Ebook

Postagens mais visitadas