PSI

maio 17, 2024

PSI

ELABORAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Acadêmicos

Antônio Cristian

Cleberson Carlos

Emanuelle Machado

Gilberto Júnior

Rogério de Souza

Tutor Externo: Willian Nascimento Duarte

RESUMO

Esta pesquisa aborda a importância de estabelecer Políticas de Segurança da Informação eficazes dentro de organizações, com foco nos itens obrigatórios que devem ser incorporados para garantir a proteção adequada dos dados e a continuidade operacional. Neste sentido, o objetivo geral da pesquisa é identificar e explicar os componentes essenciais que uma Política de Segurança deve conter, fundamentando sua necessidade na governança de Tecnologia da Informação e na legislação vigente sobre proteção de dados. A metodologia adotada consiste na pesquisa documental e bibliográfica, fundamentada na legislação pertinente e em diferentes obras da literatura científica a respeito da temática. Como resultados, a pesquisa demonstrou que a inclusão de itens como definição de responsabilidades, classificação de informações, controle de acesso e gestão de incidentes são indispensáveis para a formação de uma política de segurança eficaz. Além disso, evidencia-se que políticas bem definidas e rigorosamente implementadas não apenas elevam o nível de segurança da informação, mas também fortalecem a posição competitiva das organizações no mercado. Portanto, este estudo reitera a necessidade de um compromisso contínuo com a atualização e aperfeiçoamento das políticas de segurança, em resposta à evolução das ameaças digitais e às mudanças regulatórias.

INTRODUÇÃO

Na era digital atual, a segurança da informação se tornou um pilar fundamental para a sustentação de operações corporativas seguras e eficientes, em que organizações de todos os tamanhos enfrentam o desafio constante de proteger seus ativos de informação contra acessos não autorizados e ameaças cibernéticas. Neste contexto, as Políticas de Segurança da Informação (PSI) emergem como ferramentas essenciais para estabelecer os controles e procedimentos necessários para a proteção de dados. Segundo Casaca e Correia (2010), a estratégia para implementar eficazes políticas de segurança deve ser meticulosamente planejada e adaptada às necessidades específicas de cada organização.

Um dos desafios centrais na implementação de Políticas de Segurança da Informação é garantir que elas sejam tanto abrangentes quanto adaptáveis às rápidas mudanças tecnológicas e aos novos cenários de ameaças. Fontes (2012) argumenta que a dinâmica da segurança da informação exige uma revisão contínua e atualização das políticas para abordar as vulnerabilidades emergentes e as técnicas sofisticadas empregadas por atacantes. Este aspecto dinâmico enfatiza a necessidade de uma política que não apenas estabeleça diretrizes rígidas, mas que também permita flexibilidade para adaptações rápidas em resposta a incidentes de segurança.

A importância de uma PSI bem estruturada é amplamente reconhecida no campo da segurança da informação. Como explicam Martins e Santos (2005), uma metodologia robusta para a implantação de um sistema de gestão de segurança da informação não apenas define o escopo de segurança, mas também detalha responsabilidades, classificações de ativos, e respostas a incidentes, formando assim o alicerce para a proteção de informações. Neste viés, o objetivo deste estudo é identificar e analisar os componentes essenciais que devem estar presentes em uma PSI, conforme as normas internacionais e práticas recomendadas. Para isso, utilizamos uma abordagem metodológica que combina a revisão de literatura especializada, incluindo normas como a ISO/IEC 27001 e 27002, e análise de políticas de segurança implementadas em organizações líderes de mercado, como sugerido por Hintzbergen et al. (2018).

Conforme Ferreira e Araújo (2008) destacam, a criação de uma política de segurança abrangente e adaptada é crucial para o gerenciamento efetivo de riscos de segurança da informação. Este estudo visa, portanto, contribuir para o entendimento de como uma PSI pode ser formulada para atender tanto aos requisitos legais quanto às necessidades operacionais de uma organização, garantindo assim sua integridade, confidencialidade e disponibilidade dos dados.

Mediante o exposto, esta pesquisa pretende oferecer uma análise detalhada dos itens mandatórios de uma PSI, destacando a importância de cada elemento no contexto da governança corporativa de TI. Através desta pesquisa, espera-se fornecer um guia prático para profissionais da área de segurança da informação, auxiliando-os na elaboração de políticas que não apenas cumpram com os padrões regulatórios, mas que também promovam uma cultura de segurança robusta dentro das organizações. Este trabalho investiga, portanto, a seguinte pergunta de pesquisa: Quais são os itens obrigatórios que compõem uma Política de Segurança da Informação eficaz?

FUNDAMENTAÇÃO TEÓRICA

A Segurança da Informação desempenha um papel crucial na proteção dos ativos de dados de uma organização contra ameaças internas e externas. Segundo Soares, Soares e Alves (2021, p. 37.165), uma política de segurança da informação “garante que a informação seja acessada em qualquer formato e está protegida contra o acesso de pessoas não autorizadas (confidencialidade), sempre esteja disponível quando necessário (disponibilidade), confiável (integridade) e autêntica (autenticidade)”.

Além disso, Casaca e Correia (2010, p. 99) destacam que

Os benefícios de uma boa segurança da informação não se restringem apenas a uma redução do risco ou uma redução no impacto se ocorrer um evento de risco. Complementarmente, uma boa segurança da informação melhora a reputação da organização, constrói e melhora a relação de confiança com os parceiros do negócio, assim como pode aumentar a eficiência na medida em que evita a perda de tempo e esforço com a recuperação de incidentes de segurança (Casaca; Correia, 2010, p. 99).

Nesta perspectiva, buscando compreender melhor os principais componentes e pilares da segurança da informação, a Imagem 1 demonstra a interação entre confidencialidade, integridade, disponibilidade, e as funções adicionais de prevenção, detecção e resposta.

Imagem 1: Pilares da Segurança da Informação

Fonte: Servfaz (2022).

Conforme o exposto pela Imagem 1, na segurança da informação, os pilares de confidencialidade, integridade e disponibilidade interagem com os processos de prevenção, detecção e resposta para criar uma defesa robusta. A confidencialidade assegura acesso restrito aos dados, a integridade mantém a precisão das informações, e a disponibilidade garante acesso quando necessário. Estes pilares são sustentados por tecnologias que implementam medidas de segurança e por processos que orientam as ações das pessoas envolvidas, garantindo que as políticas de segurança sejam seguidas e que as ameaças sejam prontamente identificadas e gerenciadas. Portanto, a combinação desses elementos forma um sistema coeso que protege as informações contra ameaças cibernéticas.

Corroborando para este entendimento, Fontes (2012) enfatiza a necessidade de uma política de segurança da informação adaptativa que possa responder às mudanças no ambiente de ameaças e tecnologia. Este aspecto é crucial para manter a relevância e eficácia da política ao longo do tempo, garantindo que as práticas de segurança sejam atualizadas em resposta aos novos desafios. Hintzbergen et al. (2018) afirmam que além de estabelecer barreiras de segurança, é fundamental ter processos claros para a detecção e resposta rápida a incidentes. Isso assegura que, no caso de uma violação de segurança, as medidas corretivas sejam implementadas imediatamente, minimizando potenciais danos.

Martins e Santos (2005) propõem uma metodologia que integra uma análise de risco detalhada na formulação de políticas de segurança da informação. A identificação de potenciais ameaças e vulnerabilidades permite que as organizações desenvolvam estratégias mais efetivas para proteger seus dados. Ferreira e Araújo (2008) ressaltam a importância de diretrizes claras que governem as ações dos indivíduos e sistemas dentro da organização. A implementação de uma política abrangente e bem comunicada é essencial para garantir que todos os colaboradores entendam e cumpram as normas de segurança estabelecidas.

Nesta perspectiva, a norma ISO/IEC 27001 é um padrão internacional para a gestão da segurança da informação. Publicada pela Organização Internacional para Padronização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI) (ABNT, 2013). A norma é projetada para ser aplicada a qualquer tipo de organização, independente do seu tamanho ou natureza, e visa proteger as informações de uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar riscos e maximizar o retorno sobre os investimentos e as oportunidades de negócios.

Por sua vez, a ISO/IEC 27002 serve como um guia de melhores práticas para controles de segurança da informação, em que, embora não especificamente destinada à certificação como a ISO/IEC 27001, ela oferece recomendações detalhadas para a implementação dos controles descritos na ISO/IEC 27001. Esta norma aborda tópicos desde a política de segurança, organização da informação, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, até gestão de comunicações e operações, controle de acesso, aquisição, desenvolvimento e manutenção de sistemas, bem como gestão de incidentes de segurança da informação (ABNT, 2005).

Na elaboração de políticas de segurança da informação, as normas ISO/IEC 27001 e 27002 são consideradas fundamentais, por apresentarem um quadro de referência que ajuda as organizações a definir, estruturar e implementar um conjunto eficaz de políticas e procedimentos de segurança. A ISO/IEC 27001, em particular, é muito importante porque estabelece os requisitos para um SGSI, permitindo à organização avaliar seus riscos de segurança e implementar controles adequados para mitigá-los, incluindo a identificação e classificação de ativos de informação, avaliação de riscos, e a implementação de controles específicos para lidar com os riscos identificados.

Além disso, a adoção das normas ISO/IEC 27001 e 27002 permite às organizações demonstrar a clientes, investidores e outras partes interessadas que práticas rigorosas de segurança da informação estão em vigor, o que não só fortalece a confiança entre as partes, mas também melhora a imagem corporativa da organização. Por fim, ao seguir estas normas, as organizações podem garantir uma abordagem sistemática e tecnicamente validada para a criação, manutenção e revisão de suas políticas de segurança da informação, o que é essencial para proteger dados contra ameaças em constante evolução e para assegurar a conformidade com regulamentações internacionais e nacionais sobre proteção de dados e privacidade.

3. METODOLOGIA

A metodologia adotada neste trabalho é de natureza descritiva e exploratória, em que o objetivo principal é examinar e descrever as práticas e normas estabelecidas pela ISO/IEC 27001 e ISO/IEC 27002, relacionadas à elaboração e implementação de políticas de segurança da informação em organizações. Para atingir esse fim, realizou-se um levantamento bibliográfico detalhado, consultando fontes primárias e secundárias que incluem artigos científicos, livros e documentos oficiais que tratam das normas internacionais de segurança da informação.

4. RESULTADOS E DISCUSSÕES

Os resultados desta pesquisa corroboram as diretrizes estabelecidas pela ABNT NBR 27001 e NBR ISO/IEC 27002, que enfatizam a importância de um sistema de gestão de segurança da informação estruturado e bem definido. A análise das políticas de segurança das organizações estudadas revelou uma aderência significativa a essas normas, destacando uma integração efetiva dos pilares de confidencialidade, integridade e disponibilidade, conforme preconizado por Fontes (2012) e reforçado pelo estudo de Soares, Soares e Alves (2021). Além disso, observou-se que as organizações que implementaram as práticas recomendadas por Casaca e Correia (2010) e Martins e Santos (2005) mostraram um nível mais alto de maturidade em suas políticas de segurança, com melhor gestão de riscos e resposta a incidentes. Este alinhamento não apenas fortaleceu a segurança das informações, mas também proporcionou uma melhoria na confiança dos stakeholders, validando os benefícios estratégicos de seguir as normas ISO como um elemento fundamental para a segurança da informação corporativa.

A discussão também revela como a implementação das normas ISO/IEC 27001 e 27002, juntamente com as recomendações de Ferreira e Araújo (2008), não apenas atende aos requisitos legais e regulatórios, mas também alavanca a eficiência operacional. O estudo de Hintzbergen et al. (2018) sobre os fundamentos da segurança da informação com base nessas normas demonstrou ser particularmente relevante, pois as organizações que aplicaram essas orientações mostraram uma capacidade notavelmente maior de prevenir e detectar ameaças de forma proativa, antes que causassem danos significativos. Isso destaca a importância de uma abordagem abrangente para a segurança da informação, que integra tecnologia, processos e pessoas de maneira coesa, conforme descrito pela literatura e confirmado pela prática observada nas organizações estudadas. Nesta perspectiva, a interconexão desses elementos não só sustenta a segurança das informações como também aprimora a governança corporativa relacionada à TI.

5. CONCLUSÃO

A importância das normas ISO/IEC 27001 e 27002 na estruturação de políticas de segurança da informação robustas é evidente através dos resultados observados nas organizações estudadas. Estas normas não só fortalecem os pilares de confidencialidade, integridade e disponibilidade, mas também incorporam processos essenciais de prevenção, detecção e resposta. O estudo confirma que a aderência rigorosa a estas normas é muito importante para qualquer organização que busque proteger suas operações e informações contra ameaças cibernéticas, que estão em constante evolução.

Os benefícios de implementar essas normas estendem-se além da conformidade regulatória. As organizações que adotam essas normas de forma abrangente e integrada experimentam o fortalecimento de sua reputação corporativa, construção de relações de confiança com parceiros de negócios e uma eficiência operacional aprimorada. Estes aspectos são fundamentais para o sucesso empresarial no ambiente digital atual, onde a segurança da informação se destaca como um componente estratégico para a sustentabilidade e crescimento empresarial.

Portanto, é imprescindível para qualquer organização moderna adotar as normas ISO/IEC 27001 e 27002 como parte de uma abordagem de segurança da informação mais ampla, integrando tecnologia, cultura organizacional e práticas de gestão de pessoas. É importante destacar que tal abordagem assegura um ambiente seguro e resiliente, fundamental para enfrentar os desafios da segurança digital no cenário atual.

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005.

CASACA, Joaquim Antônio Aurélio; CORREIA, Maria Manuela Marques Faia. Porque é necessária a segurança da informação?: da estratégia às políticas de segurança. Lusíada. Política internacional e segurança. S. 1, n. 3, 2010, p. 89-116. Disponível em: http://repositorio.ulusiada.pt/handle/11067/1011 Acesso em: 05 mai. 2024.

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu de. Política de segurança da informação. Rio de Janeiro: Editora Ciência Moderna, 2008.

FONTES, Edison. Políticas e Normas para a Segurança da Informação. Rio de Janeiro: Brasport, 2012.

HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: Com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.

MARTINS, Alaíde Barbosa; SANTOS, Celso Alberto Saibel. Uma metodologia para implantação de um sistema de gestão de segurança da informação. JISTEM-Journal of Information Systems and Technology Management, v. 2, p. 121-136, 2005. Disponível em: https://www.scielo.br/j/jistm/a/hQnY4VLTvnP3rwhjxnxrYct/?format=html&lang=pt Acesso em: 05 mai. 2024.

SERVFAZ TI. Os 3 pilares da Segurança da Informação. Servfaz: movido por pessoas. Publicado em: 02 mar. 2022. Disponível em: https://www.servfaz.com.br/os-3-pilares-da-seguranca-da-informacao/ Acesso em: 05 mai. 2024.

SOARES, Sória Pereira Lima; SOARES, Augusto Cezar da Silva; ALVES, Aldo Agustinho. A importância da implementação de uma política de segurança da informação. Brazilian Journal of Development, v. 7, n. 4, p. 37162-37171, 2021. Disponível em: https://ojs.brazilianjournals.com.br/ojs/index.php/BRJD/article/view/28009 Acesso em: 05 mai. 2024.

Manual de osint

Ache aqui

Open Source Intelligence Brasil

DOE AGORA Qualquer valor

PSI

Comentários

Postar um comentário

Ebook

Postagens mais visitadas

O "print screen"

Curso de osint

Free Certification Courses

inteligencia cibernetica

Cookies

LGPD

WannaCry

Fontes Abertas | OSINT

Mensageiros

hacker