A importncia e a implementao da segurana da informao no mbito das atividades de negcios Mnica Cassa O que se pode perceber nos dias

atuais que os negcios das organizaes - sejam elas empresas privadas ou instituies pblicas - so, na grande maioria dos casos, sustentados pela informtica. Estamos na era da Tecnologia da Informao. Diante desse fato podemos afirmar que a informao um bem, e que o seu valor perfeitamente possvel de ser medido. Portanto, a informao deve ser mantida em segurana, assim como os ambientes e os equipamentos utilizados para o seu processamento. As organizaes sabem da necessidade de se praticar Segurana da Informao. E sabem que deve faz-lo o quanto antes. Nesse sentido, abordar a prtica de Segurana da Informao significa implementar mecanismos e ferramentas de segurana que se fundamentem nos seguintes princpios: O princpio da Confidencialidade, que se caracteriza pela proteo da informao contra acessos no autorizados; O princpio da Disponibilidade, que se estabelece como a preveno contra interrupes na operao de sistemas e no acesso informao nos momentos em que houver necessidade; O princpio da Integridade, que se traduz na proteo contra manipulaes e alteraes indevidas; O princpio da Autenticidade, que reflete a identificao daquele que tem acesso informao ou que realiza qualquer operao que a utilize; O princpio da Legalidade, que se conceitua como proteo da informao, no sentido de garantir a sua preservao, em conformidade com preceitos legais; O princpio da Auditabilidade, que significa a configurao de sistemas e bases de dados de forma a possibilitar o rastreamento de atividades fsicas e lgicas. Para que se possa compreender a abrangncia da Segurana da Informao necessrio observar os principais aspectos desse cenrio: Fsico - instalaes, equipamentos, infra-estrutura, insumos de vrias espcies; Lgico - informaes, sistemas, armazenamentos, construo de sistemas e bancos de dados; Ambiental - de TI, locais, lay-outs, conexes, segregaes de ambientes; Organizacional - atividades, pessoas, segregao de funes, conhecimento, conscincia, compromisso; Comunicao - internet, intranet, e-business, e-mail. A implementao da prtica de Segurana da Informao no mbito da organizao compreende uma seqncia de aes importantes e indispensveis: Inicialmente necessrio identificar e examinar as atividades de negcio da organizao e a influncia que as informaes e respectivos meios e ambientes em que so tratadas exercem junto a essas atividades, visando o dimensionamento do nvel de Segurana da Informao necessrio. Em seguida, deve-se avaliar o nvel de Segurana da Informao existente e praticada na organizao, identificando mecanismos e ferramentas utilizadas e realizando os necessrios testes de vulnerabilidades. O prximo passo ser ento o dimensionamento do grau de risco ao qual est exposta a organizao, considerando o nvel de Segurana da Informao constatado e os respectivos recursos envolvidos, tais como ambientes, hardware, software, dados, pessoas, documentao e materiais. Identificado o nvel de segurana praticado e dimensionados os riscos a que a organizao est

exposta, segue-se a definio, o planejamento e a execuo de aes prioritrias e emergenciais a serem executadas, visando a proteo das informaes de sua propriedade ou que esto sob sua responsabilidade. Disparada a execuo das aes emergenciais, deve-se cuidar da elaborao da Poltica e das Diretrizes de Segurana da Informao, que caracterize o conjunto de princpios, valores e propsitos da organizao, traduzidos em regras especficas para proteger as informaes que so de sua propriedade ou que esto sob sua responsabilidade. Este documento deve fundamentar-se nas normas internacionais, emanadas por organismos reconhecidamente competentes e aceitos pela comunidade de Tecnologia e Segurana da Informao, bem como nos principais mecanismos de segurana utilizados e aplicados no mbito dessa comunidade e nas ferramentas disponveis no mercado. Formalizada a Poltica e as Diretrizes de Segurana da Informao, imperativo que sejam realizadas definio, especificao, dimensionamento e instalao de ferramentas e solues destinadas prtica de Segurana da Informao no mbito da organizao. Paralelamente a isso, deve-se realizar o desenvolvimento e implantao de processos - gerenciais, tcnicos e de controle - para viabilizar a prtica da Poltica e das Diretrizes de Segurana da Informao formalizadas. Durante a realizao desses trabalhos que levam implementao da prtica de Segurana da Informao na organizao, deve-se realizar a atividade mais importante dessa empreitada: a conscientizao das pessoas. Trata-se de programas de treinamento e desenvolvimento de pessoal destinados a funcionrios, colaboradores, prestadores de servios, fornecedores, entre outros, para que possam entender a importncia e a necessidade do engajamento de todos nesta causa comum e do comprometimento com a prtica efetiva de Segurana da Informao. Muito se pode fazer implementado normas, mecanismos e ferramentas de segurana. Entretanto, sem o comprometimento dos indivduos, pouco resultado se pode alcanar. A partir de ento, pode-se considerar implementada a prtica de Segurana da Informao na organizao. Resta agora fazer o gerenciamento, manuteno e atualizao constante daquilo que foi implementado. Alm disso, o que se tem verificado em muitas organizaes so solues pontuais e especficas. Normalmente elas so baseadas em aplicaes de ferramentas ou, na melhor das hipteses, na implementao de certos mecanismos isolados como pequenos planos para contingncias pontuais ou adotando polticas de segurana absolutamente incipientes. Isto sem qualquer amparo por processos e controles adequados. Na maioria dos casos, verifica-se aplicaes de solues inadequadas ou insuficientes para a necessidade da organizao, o que pode caracterizar investimentos desnecessrios ou no prioritrios, com a permanncia agravante de situaes de risco. A implementao efetiva de Segurana da Informao demanda conjuntos de fatores completos, adequados e ajustados s necessidades da organizao, compreendendo poltica, diretrizes, processos, mecanismos, ferramentas, documentao e aes planejadas. Essa atividade abrange um cenrio com extenso tal que o dimensionamento e o planejamento daquilo que deve ser realizado no tocante a Segurana da Informao to importante quanto a implementao propriamente dita.