Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam.

Gestores, profissionais e usuários de tecnologia da informação necessitam de uma base consistente de conhecimento de segurança em plataformas de informática.

Isto lhe assegurará bem exercer suas atividades, com vista à otimização da
qualidade funcional e à continuidade das atividades diárias. Para tanto, tais
profissionais e usuários devem identificar-se com os parâmetros macro de
segurança, quais sejam:

  • os profissionais de tecnologias e demais áreas devem incorporar ao desempenho de suas funções, as tarefas de criação, atendimento e monitoração da visão de segurança;
  • segregação de funções é componente essencial do foco de segurança, em nível de dolo, erro, omissão e falha;
  • segurança ocorre em todos os momentos das atividades operacionais, em termos dos binômios eficiência/segurança dos processos organizacionais e eficácia/segurança dos resultados organizacionais;
  • cultura formal – via legislação e normas, e cultura informal – via treinamento e práticas profissionais, são a sustentação e a real formatação das atividades de segurança.

Ferreira e Araújo (2003) sugerem uma estrutura de gestão da segurança da
informação, com atribuição de regras e responsabilidades, para diferentes áreas
da organização. Essa estrutura é constituída dos seguintes elementos:

  • comitê de segurança da informação;
  • proprietário das informações;
  • área de segurança da informação;
  • usuário das informações;
  • recursos humanos.

Na sequência, é apresentado cada um destes elementos.

Comitê de segurança da informação
O Comitê tem por função divulgar e estabelecer os procedimentos de segurança,
bem como analisar a política periodicamente, ou a qualquer momento que
seja necessário. Também deve buscar o envolvimento de todas as áreas da
organização: comercial, jurídica, negócio, financeira, auditoria entre outras,
conforme a estrutura da empresa.

Sugere-se que o conteúdo das reuniões realizadas seja relatado em atas. Ainda:
em um determinado intervalo de tempo, que pode ser semestral, deve-se elaborar um relatório de avaliação da efetividade do sistema de controles de segurança, incluindo as deficiências detectadas com as respectivas recomendações para análise da administração da empresa. (FERREIRA; ARAÚJO, 2003, p. 44)

Proprietário da informação

O proprietário da informação é o responsável pela autorização do acesso a ela.
Ferreira e Araújo (2003) sugerem que estes profissionais devem fazer parte das
unidades de negócio da organização, as quais podem ser diretamente afetadas
caso alguma informação torne-se pública, corrompida ou perdida.

No início da implantação da política da informação, recomenda-se identificar os
proprietários da informação para os dados críticos e, na sequência, os demais
profissionais.

Área de segurança da informação

Esta área é responsável pela proteção dos ativos de segurança. Suas
responsabilidades incluem:

  • fazer cumprir a política de segurança da informação;
  • definir, implementar e revisar os controles;
  • identificar os riscos inerentes e residuais da segurança;
  • definir os critérios e procedimentos para a realização da classificação da informação, protegendo o que for mais crítico;
  • avaliar os procedimentos de segurança, analisar os seus resultados e discutir as melhorias necessárias em relação a eles;
  • definir soluções de segurança antes da implementação e durante a manutenção;
  • elaborar programas de treinamento para capacitação de usuários e proprietários da informação;
  • desenvolver, implementar e manter planos de continuidade os quais
  • visem garantir as operações em casos de desastre e indisponibilidade dos sistemas de informação;
  • monitorar o uso da web e do tráfego de mensagens de correio eletrônico. (FERREIRA; ARAÚJO, 2003, p. 45).

Usuários das informações
Todos os indivíduos que acessam as informações da organização são usuários, seja funcionário,seja contratado da empresa. Cabe aos usuários:

  • entender, respeitar e fazer cumprir a política de segurança;
  • utilizar as informações apenas para os propósitos do negócio;
  • informar imediatamente ao canal de comunicação disponível qualquer
  • incidente ou violação de segurança. (FERREIRA; ARAÚJO, 2003, p. 46).

Recursos humanos
O setor de Recursos Humanos deve estabelecer sanções e penalidades a serem
aplicadas nos casos em que a política for desrespeitada. Esta área deve comunicar à área de Tecnologia da Informação a ausência ou desligamento de funcionários para as devidas providências no controle de acesso aos sistemas de informação.

Além disso, a área de recursos humanos deve apoiar a área de tecnologia na
coleta de assinaturas do Termo de Responsabilidade de Segurança da Informação, bem como nos programas de treinamento e educação para a implementação e manutenção da política de segurança.

Atenção: Cada organização deve avaliar como fará a atribuição de
responsabilidades na implementação e manutenção da segurança da
informação; se, conforme o tamanho da organização, não for possível
agrupar diferentes áreas, é fundamental que as ações descritas
anteriormente sejam conduzidas por uma equipe específica, ou
mesmo, por um gestor individual.

Referências
– ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação. 2005. 120 p.

– FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação: guia prático para elaboração e implementação. 2. ed.
Rio de Janeiro: Ciência Moderna. 2008.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: CompTIA Security+, EXIN EHF, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação, Ethical Hacking e Perícia Forense.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!