Definição de responsabilidades dos usuários em sistemas de informação

image_pdfimage_print

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam.

Gestores, profissionais e usuários de tecnologia da informação necessitam de uma base consistente de conhecimento de segurança em plataformas de informática.

Isto lhe assegurará bem exercer suas atividades, com vista à otimização da
qualidade funcional e à continuidade das atividades diárias. Para tanto, tais
profissionais e usuários devem identificar-se com os parâmetros macro de
segurança, quais sejam:

  • os profissionais de tecnologias e demais áreas devem incorporar ao desempenho de suas funções, as tarefas de criação, atendimento e monitoração da visão de segurança;
  • segregação de funções é componente essencial do foco de segurança, em nível de dolo, erro, omissão e falha;
  • segurança ocorre em todos os momentos das atividades operacionais, em termos dos binômios eficiência/segurança dos processos organizacionais e eficácia/segurança dos resultados organizacionais;
  • cultura formal – via legislação e normas, e cultura informal – via treinamento e práticas profissionais, são a sustentação e a real formatação das atividades de segurança.

Ferreira e Araújo (2003) sugerem uma estrutura de gestão da segurança da
informação, com atribuição de regras e responsabilidades, para diferentes áreas
da organização. Essa estrutura é constituída dos seguintes elementos:

  • comitê de segurança da informação;
  • proprietário das informações;
  • área de segurança da informação;
  • usuário das informações;
  • recursos humanos.

Na sequência, é apresentado cada um destes elementos.

Comitê de segurança da informação
O Comitê tem por função divulgar e estabelecer os procedimentos de segurança,
bem como analisar a política periodicamente, ou a qualquer momento que
seja necessário. Também deve buscar o envolvimento de todas as áreas da
organização: comercial, jurídica, negócio, financeira, auditoria entre outras,
conforme a estrutura da empresa.

Sugere-se que o conteúdo das reuniões realizadas seja relatado em atas. Ainda:
em um determinado intervalo de tempo, que pode ser semestral, deve-se elaborar um relatório de avaliação da efetividade do sistema de controles de segurança, incluindo as deficiências detectadas com as respectivas recomendações para análise da administração da empresa. (FERREIRA; ARAÚJO, 2003, p. 44)

Proprietário da informação

O proprietário da informação é o responsável pela autorização do acesso a ela.
Ferreira e Araújo (2003) sugerem que estes profissionais devem fazer parte das
unidades de negócio da organização, as quais podem ser diretamente afetadas
caso alguma informação torne-se pública, corrompida ou perdida.

No início da implantação da política da informação, recomenda-se identificar os
proprietários da informação para os dados críticos e, na sequência, os demais
profissionais.

Área de segurança da informação

Esta área é responsável pela proteção dos ativos de segurança. Suas
responsabilidades incluem:

  • fazer cumprir a política de segurança da informação;
  • definir, implementar e revisar os controles;
  • identificar os riscos inerentes e residuais da segurança;
  • definir os critérios e procedimentos para a realização da classificação da informação, protegendo o que for mais crítico;
  • avaliar os procedimentos de segurança, analisar os seus resultados e discutir as melhorias necessárias em relação a eles;
  • definir soluções de segurança antes da implementação e durante a manutenção;
  • elaborar programas de treinamento para capacitação de usuários e proprietários da informação;
  • desenvolver, implementar e manter planos de continuidade os quais
  • visem garantir as operações em casos de desastre e indisponibilidade dos sistemas de informação;
  • monitorar o uso da web e do tráfego de mensagens de correio eletrônico. (FERREIRA; ARAÚJO, 2003, p. 45).

Usuários das informações
Todos os indivíduos que acessam as informações da organização são usuários, seja funcionário,seja contratado da empresa. Cabe aos usuários:

  • entender, respeitar e fazer cumprir a política de segurança;
  • utilizar as informações apenas para os propósitos do negócio;
  • informar imediatamente ao canal de comunicação disponível qualquer
  • incidente ou violação de segurança. (FERREIRA; ARAÚJO, 2003, p. 46).

Recursos humanos
O setor de Recursos Humanos deve estabelecer sanções e penalidades a serem
aplicadas nos casos em que a política for desrespeitada. Esta área deve comunicar à área de Tecnologia da Informação a ausência ou desligamento de funcionários para as devidas providências no controle de acesso aos sistemas de informação.

Além disso, a área de recursos humanos deve apoiar a área de tecnologia na
coleta de assinaturas do Termo de Responsabilidade de Segurança da Informação, bem como nos programas de treinamento e educação para a implementação e manutenção da política de segurança.

Atenção: Cada organização deve avaliar como fará a atribuição de
responsabilidades na implementação e manutenção da segurança da
informação; se, conforme o tamanho da organização, não for possível
agrupar diferentes áreas, é fundamental que as ações descritas
anteriormente sejam conduzidas por uma equipe específica, ou
mesmo, por um gestor individual.

Referências
– ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação. 2005. 120 p.

– FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação: guia prático para elaboração e implementação. 2. ed.
Rio de Janeiro: Ciência Moderna. 2008.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!