Análise de segurança da informação em uma empresa de Médio Porte

Modelo de boas práticas aplicadas a gestão da segurança da informação para empresas de médio porte

AMORIM Fabricio T1, BOITEUX Rodrigo G1, MAYER Mark WN1, PENHA Ana PL1, Diniz Daniel B2

RESUMO

Introdução: A preocupação sobre questões ligadas a segurança da informação já é uma realidade no cenário empresarial mundial. O crescimento da utilização das transações e operações de negócios utilizando a internet tem contribuído consideravelmente com a elevação do número de ameaças sobre as redes de computadores. Vários são os desafios de estruturação e implementação de TI que atendam os requisitos de acessibilidade dos dados sem comprometer a continuidade dos negócios da empresa. Este trabalho propõe um modelo de construção de uma gestão da segurança de informação, realizando um estudo de caso na estrutura tecnológica da empresa de médio porte. Objetivo: Avaliar um modelo de gestão em segurança de informação com base na norma ISO 27001 em uma empresa de médio porte, e comparar os quesitos de segurança da informação à situação atual de uma empresa de médio porte. Método: Estudo realizado no setor de Tecnologia da informação (TI) de uma empresa prestadora de serviços de TI no município de Vitória – ES. Durante uma semana analisou-se documentações e logs (histórico) referente a servidores Linux e Windows no que se refere a segurança da informação e possíveis vulnerabilidades, rede local e topologia do ambiente em abril do ano de 2012. Feita a comparação do ambiente da empresa, observando a norma ISO 27001 com a finalidade de propor melhorias e um modelo de gestão eficaz da segurança da informação para empresas de médio porte. Conclusão: Ao comparar a topologia e os serviços prestados, conclui-se que a empresa não está totalmente de acordo com as normas ISO 27001.

Palavras-chave: Segurança da informação, Segurança de computadores, Segurança de redes, ISO 27001, Gerenciamento da segurança da informação.

INTRODUÇÃO

Nos últimos anos, tem sido cada vez mais perceptível a velocidade da evolução e a disponibilidade da acessibilidade dos meios de informação, gerando diversos avanços tecnológicos, estruturais e culturais[1]. Juntamente com os efeitos consequentes destes avanços crescem também as ameaças aos sistemas conectados[2], exigindo da empresa maiores critérios para disponibilização de recursos na internet como por exemplo: criptografia, vpn, firewalls, proxys e treinamentos,  além de constantes necessidades de evoluções organizacionais, operacionais e tecnológicas, mesclando o desafio de inovar, agilizar, controlar processos e identificar ameaças com o objetivo de construir a relação de confiabilidade, integridade e disponibilidade das informações[3].^[1]

Segurança da informação, conforme Beal, citado por Silva Netto e Silveira[4] , é o processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. Conforme Sêmola, citado por Silva Netto e Silveira[5], segurança da informação é definida como “uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade.” Segundo a norma ISO/IEC 27002[6], segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Ainda segundo a mesma norma, a segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Ao analisar a visão do responsável pela segurança física da corporação e o responsável pela segurança tecnológica, pode-se observar que ambos possuem tarefas, demandas, responsabilidades e preocupações extremamente diferentes, apesar de possuírem a mesma missão: zelar pela segurança da empresa. A razão dessa diferença é: as tecnologias e os processos para segurança tecnológica requerem um conhecimento diferente do de segurança física. Até poucos anos atrás os responsáveis pela TI em uma organização preocupavam-se com rotinas como a de proteção da rede, servidores e estações, além de gerenciar senhas e prevenções contra ataques. Atualmente é comum a visão da segurança como acréscimo de valor para os negócios e processos. Por exemplo, preventivas diárias, semanais e\ou mensais que possuem a finalidade de preparar e proteger o ambiente da empresa contra desastres e espionagens que são fatores que impactam todas as áreas da empresa atingindo desde o cargo “mais baixo” até o “mais alto”, estando relacionada a estratégia de segurança estabelecida[7].  Assim pode-se concluir que a segurança é um serviço importante e que influencia toda a organização, além de estar em constante evolução a um papel primordial com responsabilidades de manter, atualizar e melhorar a eficiência tecnológica e operacional de uma organização. Devido a este fato empresas tem tratado a segurança como um processo de negócio delegando responsabilidades a um setor específico para coordenar atividades relacionadas, e esta constatação levou ao surgimento do setor de sistema de gestão da segurança da informação. Visando obter um modelo de boas práticas de gestão da segurança da informação aplicado para empresas de médio porte, este artigo abordará a importância de se padronizar o setor de acordo com normas conhecidas. O objetivo do estudo foi identificar e comparar a gestão da segurança da informação de uma empresa de TI com a ISO 27001.

MÉTODOS

Estudo descritivo transversal de prevalência realizado no setor de Tecnologia da informação (TI) de uma empresa prestadora de serviços de TI no município de Vitória – ES. Foram analisadas documentações relacionadas a infraestrutura, topologia de rede e possíveis vulnerabilidades na estrutura da empresa.

Antes de iniciar a abordagem dos métodos utilizados seguem alguns conceitos iniciais para melhor entendimento do leitor:

Vulnerabilidade: é a fraqueza, configuração incorreta, erro ou qualquer condição que poderiam possibilitar uma exploração indevida ou não autorizada.

...