A Segurança Pública

PROJETO DE UM SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO PARA O QUARTEL DA GUARDA CIVIL MUNICIPAL DE MACAPÁ-AP

RESUMO

PALAVRAS-CHAVE:

INTRODUÇÃO

A informação e os processos que a apoiam, os sistemas e as redes, são muito importantes para as instituições, requerendo ser protegidos convenientemente frente á ameaças que ponham em perigo a disponibilidade, a integridade, a confiabilidade da informação, a estabilidade dos processos, os níveis de competitividade, a imagem corporativa, a rentabilidade e a legalidade, aspectos necessários para alcançar os objetivos da organização.

A informação geralmente é processada, trocada e conservada em redes de dados, equipamentos informáticos e meios de armazenamento, que são parte do que se conhece como sistemas informáticos. Tais sistemas estão submetidos a potenciais ameaças de segurança de vários tipos, originadas tanto na própria organização como de fora dela, procedentes de uma ampla variedade de fontes. Aos riscos físicos - entre eles, acessos não autorizados à informação, catástrofes naturais, sabotagens, incêndios e acidentes – somam-se os riscos lógicos, como programas maliciosos, ataques de negação de serviço e outros.

É possível diminuir o nível de risco de forma significativa, e com isso, a materialização das ameaças e a redução do impacto, sem necessidade de realizar grandes investimentos nem contar com uma grande estrutura de pessoal. Para isso, é necessário conhecer e gerir, de maneira ordenada, os riscos aos quais o sistema informático está submetido, considerar os procedimentos adequados e planejar e implementar os controles de segurança correspondentes.

Neste aspecto, a implementação de um Serviço de Gestão de Segurança da Informação (SGSI) em uma instituição ajuda a estabelecer a forma mais adequada de tratar os aspectos se segurança, mediante a conjugação dos recursos humanos e técnicos, respaldados por medidas administrativas, que garantem a instauração de controles efetivos para alcançar o nível de segurança necessário, em correspondência como s objetivos da organização, de maneira que se mantenha sempre o risco abaixo do nível aceitável por ela.

As questões norteadoras deste estudo foram: qual o nível de compromisso de funções e responsabilidades de segurança na instituição Guarda Civil Municipal de Macapá-AP? Como são cumpridos os planos de tratamento de riscos de segurança da informação? Qual a eficácia do tratamento de riscos?

O objetivo geral deste projeto é propor um Sistema de Gestão de Segurança da Informação para o quartel da Guarda Civil Municipal de Macapá-AP, tomando como referência a norma ISO 27001/2013. Os objetivos específicos são: analisar a situação atual da entidade, com relação à Gestão de Segurança da Informação; estabelecer o nível de cumprimento da instituição diante dos objetivos de controle estabelecido pela norma ISO 27001/2013 e definir a política de Segurança da Informação, tendo por base a norma ISO-IEC 27001/2013.

O projeto de um sistema de segurança da informação baseado em um modelo de boas práticas de segurança conhecido mundialmente, como é a norma ISO-IEC 27001, tem grande relevância, pois proverá as condições de governabilidade, oportunidade e viabilidade necessárias para que a segurança da informação apoie e estenda os objetivos estratégicos da instituição Guarda Civil de Macapá, através da proteção e asseguramento de sua informação, que é fundamental para organizar as ações da instituição e, com isso, assegurar sua missão.

Considerando-se as características do projeto, se empregou, no seu desenvolvimento, o método de investigação do tipo factível, que de acordo com Oliveira e Ferreira (2014), consiste na investigação, elaboração e desenvolvimento de uma proposta de um modelo operacional viável para solucionar problemas, requisitos ou necessidades de organizações ou grupos sociais; pode referir-se à formulação de políticas, programas, tecnologias, métodos e processos.

Também, durante a execução do projeto, utilizou-se o método de pesquisa de campo, que permitiu a análise sistemática do problema de investigação, com o fim de descrevê-lo, interpretá-lo, entender sua natureza e explicar suas causas e efeitos.

Para o desenvolvimento deste trabalho, adotou-se como instrumentos de coleta de dados e informação: o questionário, a entrevista, a análise da documentação e a observação direta.

Quanto às etapas metodológicas deste projeto, considerando-se os requisitos estabelecidos na norma ISO/IEC 27001/2013 para a concepção do Sistema de Gestão de Segurança da Informação, se estabeleceram as seguintes fases para o desenvolvimento do projeto:

1. Diagnóstico do SGSI, em que se identificou o nível de maturidade inicial da instituição, com relação ao método de segurança da informação que estabelece a norma ISO/IEC 27001/2013.

Para a coleta da informação, nesta fase foram utilizados os seguintes mecanismos: preenchimento de questionários, com o objetivo de determinar o nível de cumprimento da instituição com relação aos domínios da norma ISO/IEC 27001/2013; análise da documentação existente no sistema de qualidade da instituição relacionada com a informação e papeis e funções associados à segurança da informação.

2. Preparação do SGSI, cujo objetivo foi entender o contexto da instituição para definir o alcance e a política do SGSI. Esta fase correspondeu às atividades que se desenvolvem para estabelecer o SGSI, as quais correspondem a: analisar o contexto da instituição que, de acordo com os requisitos estabelecidos no capítulo 4.1 “Conhecimento da organização e de seu contexto” da norma ISO/IEC 27001/2013, corresponde a determinar as questões externas e internas da organização que são pertinentes para a implantação de um SGSI; definir o alcance do SGSI, no qual se estabelece os limites e a aplicabilidade do Sistema; definir a estrutura organizacional da instituição que conterá os papéis e responsabilidade pertinentes à segurança da informação.

3. Planejamento da SGSI, visando avaliar os riscos e definir planos de tratamento e estabelecer o marco de políticas de segurança da informação e diretrizes para a sua devida gestão.

1 SEGURANÇA DA INFORMAÇÃO

A segurança da informação, à luz da norma ISO-IEC 27001/2013, pode ser definida como a preservação da confidencialidade, integridade e disponibilidade da informação (MANOEL, 2014).

Para

...