Um estudo de caso sobre a importância da implantação de uma política de segurança bem definida em uma empresa privada do ramo da indústria farmacêutica

CENTRO UNIVERSITÁRIO SENAC

Diego D Luca Alves Freitas

Um estudo de caso sobre a importância da implantação de uma política de segurança bem definida em uma empresa privada do ramo da indústria farmacêutica

Belo Horizonte

2016

Agradecimentos

Agradeço a Deus, pois se não fosse por ele, eu não estaria aqui (literalmente). Ele é responsável pela minha permanência neste mundo e, sempre me abençoou em todas as áreas da minha vida, além de ter me criado com a curiosidade necessária para buscar sempre mais conhecimento.

Agradeço à minha noiva Celiane, que esteve ao meu lado nos bons e maus momentos, aconselhando, encorajando e me dando forças para concluir este trabalho obrigado amor, por toda paciência e auxílio neste período.

Agradeço aos meus pais por acreditarem sempre em minha capacidade, por me direcionarem para ser um ser humano de bem. A eles agradeço pelo incansável esforço pela minha felicidade e amor incondicional por toda vida.

À toda minha família pelo carinho e atenção.

À todos os amigos da Montreal por não me deixarem desanimar quando o trabalho e os problemas do cotidiano pareciam ser maiores.

Enfim, agradeço a todos que direta ou indiretamente contribuíram no desenvolvimento deste trabalho, que certamente significará muito para o meu futuro.

Resumo

Este trabalho apresenta um estudo de caso sobre a implantação de uma política de segurança da informação em uma empresa do ramo da indústria farmacêutica. Foram analisados todos os aspectos positivos e negativos da organização, assim como os controles de segurança existentes antes do início de desenvolvimento deste trabalho. Foram coletadas informações por meio de visitas ao local, entrevistas com gestores e colaboradores chave nos processos de tecnologia da informação (TI) com potencial de ganho estratégico por meio da implantação de uma política bem estruturada. Para estruturar a política de segurança da informação sugerida, foi realizada a análise dos riscos da organização, onde podem ser vistos de forma estruturada as ameaças e impactos causados na ocorrência dos eventos.

Com o passar dos anos, o aumento da tecnologia dos sistemas de informação exigiu que controles de segurança se tornassem mais eficazes, capazes de prover meios e métodos cujo foco seja proteger dados sigilosos / estratégicos para as organizações. Atualmente, organizações que não possuem um estruturado ambiente de tecnologia coberto por uma política de segurança eficaz, estão sujeitas a perda de mercado em decorrência de vazamento de informações estratégicas, acesso de pessoas mal-intencionadas ao ambiente interno, falhas humanas, ataques computacionais, desastres naturais, entre outros.

Nesse estudo serão avaliadas e sugeridas à organização alvo ações em conformidade às normas da ABNT NBR ISO/IEC 27002 – Código de Prática para a Gestão da Segurança da Informação – que absorveu a antiga ABNT NBR ISO/IEC 17799.

Palavras-chave: Segurança da Informação, Gestão da Segurança da Informação,

ISO/IEC 27002:2005.

Abstract

This paper presents a case study on the implementation of an information security policy in a company in the sector of the pharmaceutical industry. We analyzed all the positive and negative aspects of the organization as well as the existing security controls before the start of development of this work. The information was collected through site visits, interviews with managers and key employes in about IT processes with strategic earning potential through the implementation of a well structured policy. To structure the security policy of the suggested information, analysis of the organization's risk was performed, which can be seen in a structured way the threats and impacts on the occurrence of events.

Over the years, the increase of technology of information systems demanded that security controls to become more effective, able to provide means and methods that are focused on protecting sensitive / strategic data for organizations. currently, organizations that do not have a structured technology environment covered by an effective security policy are subject to market loss due to leakage of strategic information, access malicious people to indoor environment, human error, computer attacks, natural disasters, among others.

However in this study will be evaluated and suggested the target organization actions in accordance with the standards of ISO / IEC 17799 - Information technology - Security techniques - Code of Practice for Information Security Management and the standard ISO / IEC 27002 - code of Practice for Information Security Management.

Keywords: Information Security, Security Information Management, ISO/IEC 27002: 2005.

Lista de Figuras

Lista de Quadros

Lista de Gráficos

Sumário

1. Introdução 10

1.1 Problema de

...