POLITICAS DE SEGURANÇA DA INFORMAÇÃO

UNIVERSIDADE ESTADUAL VALE DO ACARAÚ

SEGURANÇA DA INFORMAÇÃO E CRIMES POR COMPUTADOR

POLITICA DE SEGURANÇA DA INFORMAÇÃO

FRANCISCO ALEXANDRE BENTO DE LIMA

JOSE VALDER BARROS PINHEIRO

JOSE AURERIANO SILVA NETO

ROGERIO MAZZA SANTOS

JOÃO RAIMUNDO GONSALVES JUNIOR

WANDERSON CASTRO DE ALMEIDA

FORTALEZA

2014

UNIVERSIDADE ESTADUAL VALE DO ACARAÚ

SEGURANÇA DA INFORMAÇÃO E CRIMES POR COMPUTADOR

POLITICA DE SEGURANÇA DA INFORMAÇÃODEFINIÇÃO

Projeto de pesquisa apresentado ao curso de gestão de segurança privada da Universidade Estadual Vale do Acaraú - UVA, como requisito parcial para obtenção de nota na disciplina de segurança da informação e crimes por computador.

Orientador: Prof. Leopoldo César Queiroz

POLITICA DE SEGURANÇA DA INFORMAÇÃO: DEFINIÇÃO, IMPORTÂNCIA, ELABORAÇÃO E IMPLEMENTAÇÃO

INTRODUÇÃO

A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) A informação é elemento essencial para todos os processos de negocio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações.

A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. (FONTES, 2006)

Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de praticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.

A INFORMAÇÃO

Segundo a ISO/IEC 27002:2005(2005), a informação é um conjunto de dados que representa um ponto de vista, um dado processado é o que gera uma informação. Um dado não tem valor antes de ser processado, a partir do seu processamento, ele passa a ser considerado uma informação, que pode gerar conhecimento. Portanto, pode-se entender que informação é o conhecimento produzido como resultado do processamento de dados.

Ainda segundo a ISO/IEC 27002:2005, a informação é um ativo que, como qualquer outro ativo é importante, é essencial para os negócios de uma organização, e deve ser adequadamente protegida. A informação é encarada, atualmente, como um dos recursos mais importantes de uma organização, contribuindo decisivamente para a uma maior ou menor competitividade. De fato, com o aumento da concorrência de mercado, tornou-se vital melhorar a capacidade de decisão em todos os níveis. Como resultado deste significante aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.

SEGURANÇA DA INFORMAÇÃO

Para a ABNT NBR ISO/IEC 17799:2005 (2005, p.ix), “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

“Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema”. (CAMPOS, 2007, p.29)

A informação é um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das políticas de segurança, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais “um sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, integridade e disponibilidade.”

Ao se falar em segurança da informação, deve-se levar em consideração estes três princípios básicos, pois toda ação que venha a comprometer qualquer um desses princípios, estará atentando contra a sua segurança.

Confidencialidade

A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso (NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou até mesmo para uma pessoa física. Um exemplo simples seria o furto do número e da senha do cartão de crédito, ou até mesmo, dados da conta bancária de uma pessoa.

Integridade

A integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização,

...