Política De Segurança Da Informação Nas Organizações

Política de Segurança da Informação nas Organizações

Introdução

Atualmente as organizações precisam proteger a sua informação em função de que este recurso é fundamental para o atendimento de seus objetivos. Silva e Tomaél (2007) consideram a importância da informação para organizações quando declaram:

É evidente, na atualidade, que nada poderia funcionar sem uma quantidade significativa de informação como um elemento que

impulsiona os fenômenos sociais e que é por eles impulsionada. Pessoas e organizações – públicas e privadas – dependem da informação em seus processos decisórios. [1]

Sendo a informação um bem para a organização, é necessária a existência de um processo de segurança da informação. Para tanto a NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação, orienta:

Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. [2]

A NBR ISO/IEC 27002:2005 define 133 controles de segurança da informação e as organizações, personificadas nos seus gestores, sentem dificuldades em definir sua política de segurança da informação, principalmente as organizações que estão começando seu processo de proteção da informação.

Com o objetivo de facilitar estas organizações surgiu a seguinte indagação: seria possível elaborar e formalizar uma política de segurança da informação para um primeiro estágio de maturidade em segurança considerando apenas alguns desses controles? Esta situação é considerada na NBR ISO/IEC 27001:2006 quando afirma:

É esperado que a implementação de um Sistema de Gestão de Segurança da Informação seja escalada conforme as necessidades da organização. [3]

Desta maneira a pesquisa considerou a seguinte questão problema: quais são os elementos que devem compor um padrão mínimo para a política de segurança da informação de uma organização?

Baseado neste cenário foi realizada uma pesquisa nas políticas de segurança da informação de dez organizações de nove seguimentos de negócio, com o objetivo de identificar controles comuns nestes regulamentos.

Na pesquisa realizada [4] foi utilizado o termo política, significando a orientação básica para o assunto segurança da informação. Define Maximiniano [5]:

Política é sinônimo de diretriz. Uma política ou diretriz é uma orientação genérica que define em linhas gerais o curso de ação a ser seguido quando determinado tipo de problema se apresenta. A política orienta o processo de tomada de decisões através da definição de critérios que devem ser seguidos.

Complementando, a própria NBR ISO/IEC 27002:2005 tem a sua definição do termo política [2]:

2. Termos e definições

2.8 Política

Intenções e diretrizes globais formalmente expressas pela direção.

A pesquisa realizada [4] considerou as seguintes delimitações:

* o foco do trabalho diz respeito aos documentos de políticas e não considera os documentos de procedimentos ou de regras detalhadas que indicam como executar o que as políticas definem;

* o trabalho foi baseado no conjunto de controles definidos na NBR ISO/IEC 2002:2005

Metodologia

A metodologia utilizada na pesquisa considerou o estudo de caso integrado (unidades múltiplas de análise) utilizando a pesquisa exploratória.

No estudo realizado a metodologia considerou as seguintes etapas [4]:

a) Levantamento da literatura sobre o assunto política de segurança da informação, considerando fontes acadêmicas e empresariais.

b) Estudo teórico do tema política de segurança da informação.

c) Desenvolvimento de um estudo de caso múltiplo de modo a analisar políticas de segurança da informação já implantadas em organizações e identificar elementos comuns que podiam estabelecer um padrão mínimo de política de segurança da informação.

Resultados [4]

Foram consideradas nesta pesquisa dez organizações. Destas dez organizações, duas não responderam ao questionário sobre o ambiente de segurança da organização. Desta maneira os percentuais referentes às políticas de segurança da informação se referem às dez organizações participantes e os percentuais referentes aos profissionais e a prioridade dos riscos se refere às oito organizações cujos questionários foram completamente respondidos.

Resultado - Análise das organizações

As dez organizações participantes estão distribuídas, sem grande concentração, em nove segmentos de negócios. Duas organizações pertencem ao segmento financeiro e cada uma das demais organizações pertence a um desses segmentos: Ensino, Varejo, Construção, Transporte de passageiros, Seguros, Serviços de informação (TV, Internet, telefonia), Serviços TI/Telecom e Bolsa de Valores,

Todas as organizações possuem políticas há vários anos. Noventa por cento das organizações pesquisadas possuem políticas há mais de cinco anos e apenas dez por cento das organizações pesquisadas possuem políticas há

menos de cinco anos. Porém se considerarmos um tempo menor, todas as organizações possuem políticas há mais de quatro anos.

Outra informação que reforça a maturidade das políticas consideradas é o fato de que todas as organizações tiveram suas políticas de segurança da informação assinadas por um nível hierárquico de diretoria. Sendo que, 30% foram aprovadas por um Comitê Executivo e 30% assinadas pelo presidente ou vice-presidente.

Setenta por cento das organizações possuem uma área específica para a segurança

...