A SEGURANÇA DA INFORMAÇÃO EM PEQUENAS EMPRESAS DO RAMO INDUSTRIAL UTILIZANDO O COBIT 5

Wagner Ramos Pereira de Abreu1; Heitor Mário Mizrahy Cordeiro2

[pic 2]

Recebido em: XX/XX/XXXX - Aprovado em: XX/XX/XXXX - Disponibilizado em: XX/XX/XXXX

Resumo: Este trabalho apresenta um estudo de caso referente a empresa Atlântica Minas, definida como do ramo de mineração e de pequeno porte. O problema estudado é sobre a segurança da informação presente na empresa, visto que, atualmente a informação é um dos ativos mais importantes de uma organização, e a perda dessas informações pode acarretar um prejuízo significativo ou até fatal para uma organização, tornando-se inevitável trabalhar na proteção de suas informações. Com isso, foi elaborado através do framework COBIT5 e de seu processo DSS05 específico para segurança da informação um documento de Política de Segurança da informação para redução dos riscos quanto a perda e vazamento de informações. O documento foi elaborado do zero, dado que a Atlântica Minas não possuía nada relacionado a segurança da informação, tendo passado pela aprovação do diretor Administrativo e posteriormente repassado a todos os colaboradores da empresa. Como resultado apresentamos a PSI elaborada e validada de acordo com os processos do COBIT e uma análise das aplicações feitas em relação a segurança que foram implementadas nos processos da Atlântica, apresentando uma análise de cada subprocesso presente no DSS05 e se é aplicável ou não na empresa, com intuito de mapear as vulnerabilidades que a Atlântica pode estar sujeita. Como trabalho futuro foi definido o estudo do impacto que a PSI totalmente integrada na empresa pode causar após um período maior de tempo da mesma já implementada.

Palavras-chaves: COBIT 5, Segurança da Informação, Pequenas Empresas.

Abstract: This work presents a case study about the company Atlântica Minas, defined as mining and small-scale. The problem studied is about information security present in the company, since information is currently one of the most important assets of an organization, and the loss of this information can cause significant or even fatal damage to an organization, making it inevitable to work on protecting your information. With this, it was elaborated through the framework COBIT5 and its specific DSS05 process for information security an Information Security Policy document to reduce risks regarding loss and leakage of information. The document was elaborated from scratch, since Atlântica Minas did not have anything related to information security, having passed through the approval of the Administrative Director and subsequently passed on to all the company's employees. As a result we present the PSI elaborated and validated according to the COBIT processes and an analysis of the applications made in relation to safety that were implemented in the Atlantic processes, presenting an analysis of each subprocess present in DSS05 and whether it is applicable in the company or not, in order to map the vulnerabilities that the Atlantic may be subject to. As future work was defined the study of the impact that the fully integrated PSI in the company can cause after a longer period of time of the same already implemented.

Keywords: COBIT 5, Information Security, Small business.

____________________________________________________________________________

1 Introdução

A informação é um dos ativos de maior importância para uma organização, e nos dias atuais o seu protagonismo vem se tornando cada vez mais evidente. A competitividade do mercado faz com que a utilização dessa informação seja determinante para o sucesso ou fracasso de uma organização, criando a necessidade de proteção desse ativo.

A integridade, confidencialidade e disponibilidade dos dados das organizações são fatores que garantem a integração destas no mercado de trabalho, além de demonstrarem transparência e segurança aos usuários relacionados, a sobrevivência no mercado está diretamente relacionada com a efetividade de segurança da informação resultante de seus negócios, podendo ser de interesse de empresas do mesmo setor em roubar informações sigilosas para se beneficiar das mesmas ou até de pessoas má intencionadas.

Os dados se tornam alarmantes sabendo que a perda de informações pode causar prejuízos irreparáveis para uma organização, levando-a até a falência. Logo, poderá ser observado no presente trabalho que as utilizações de algumas políticas de segurança em organizações podem reduzir ou até evitar danos causados por diversos fatores, podendo diminuir as chances de sucesso de uma organização (esses fatores que podem vir de pequenos vazamentos de informação, até perda de grandes massas de dados contidas em servidores), inibindo possíveis investidores, ou qualquer parte interessada na empresa por descredito gerado pela falta de segurança da informação nos negócios, sendo crucial a aplicação de métodos de segurança, para a constituição da empresa no mercado.

Com o crescimento da área de Tecnologia da Informação (T.I.), as soluções de armazenamento, gerenciamento e processamento das informações se ampliaram, de forma que tornaram extremamente complicada a escolha das soluções que melhor se adequam à organização. Contudo, a quantidade de possibilidades de vazamento e perda dessas informações tem crescido na mesma proporção. Essas possibilidades são causadas muitas vezes pelos chamados crackers (indivíduos que praticam a quebra de um sistema de segurança de forma ilegal ou sem ética), falhas no sistema da organização, falhas de hardwares categorizados por mal-uso ou defeito de acordo com tempo de vida do mesmo, causas naturais ou por funcionários que, ao saírem da empresa, levam consigo dados relevantes.

Para Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor”, e toda essa informação se faz necessária na estratégia e tomadas de decisões que podem mudar o futuro de uma organização. Desta forma, a necessidade de controlar, auditar e protegê-las é extremamente necessária. Sendo de suma importância que exista uma política de segurança da informação implantada.

A PSI (Política de Segurança da Informação) é um documento que deve conter um conjunto de normas e métodos baseados em boas práticas de gestão de segurança da informação, estabelecido em conjunto com os todos envolvidos nos negócios da organização. Segundo Vainzof (2007) a política de segurança deve ser clara para os funcionários da empresa, sendo assim, o não cumprimento das regras pode levar a uma advertência ou até mesmo a demissão, prevista na CLT (Consolidação de Leis do Trabalho). É esperado que sejam estabelecidas diretrizes que permitam aos colaboradores e clientes seguirem padrões de comportamento relacionados à segurança da informação, adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

...