Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle
O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.
Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam.
Gestores, profissionais e usuários de tecnologia da informação necessitam de uma base consistente de conhecimento de segurança em plataformas de informática.
Isto lhe assegurará bem exercer suas atividades, com vista à otimização da
qualidade funcional e à continuidade das atividades diárias. Para tanto, tais
profissionais e usuários devem identificar-se com os parâmetros macro de
segurança, quais sejam:
- os profissionais de tecnologias e demais áreas devem incorporar ao desempenho de suas funções, as tarefas de criação, atendimento e monitoração da visão de segurança;
- segregação de funções é componente essencial do foco de segurança, em nível de dolo, erro, omissão e falha;
- segurança ocorre em todos os momentos das atividades operacionais, em termos dos binômios eficiência/segurança dos processos organizacionais e eficácia/segurança dos resultados organizacionais;
- cultura formal – via legislação e normas, e cultura informal – via treinamento e práticas profissionais, são a sustentação e a real formatação das atividades de segurança.
Ferreira e Araújo (2003) sugerem uma estrutura de gestão da segurança da
informação, com atribuição de regras e responsabilidades, para diferentes áreas
da organização. Essa estrutura é constituída dos seguintes elementos:
- comitê de segurança da informação;
- proprietário das informações;
- área de segurança da informação;
- usuário das informações;
- recursos humanos.
Na sequência, é apresentado cada um destes elementos.
Comitê de segurança da informação
O Comitê tem por função divulgar e estabelecer os procedimentos de segurança,
bem como analisar a política periodicamente, ou a qualquer momento que
seja necessário. Também deve buscar o envolvimento de todas as áreas da
organização: comercial, jurídica, negócio, financeira, auditoria entre outras,
conforme a estrutura da empresa.
Sugere-se que o conteúdo das reuniões realizadas seja relatado em atas. Ainda:
em um determinado intervalo de tempo, que pode ser semestral, deve-se elaborar um relatório de avaliação da efetividade do sistema de controles de segurança, incluindo as deficiências detectadas com as respectivas recomendações para análise da administração da empresa. (FERREIRA; ARAÚJO, 2003, p. 44)
Proprietário da informação
O proprietário da informação é o responsável pela autorização do acesso a ela.
Ferreira e Araújo (2003) sugerem que estes profissionais devem fazer parte das
unidades de negócio da organização, as quais podem ser diretamente afetadas
caso alguma informação torne-se pública, corrompida ou perdida.
No início da implantação da política da informação, recomenda-se identificar os
proprietários da informação para os dados críticos e, na sequência, os demais
profissionais.
Área de segurança da informação
Esta área é responsável pela proteção dos ativos de segurança. Suas
responsabilidades incluem:
- fazer cumprir a política de segurança da informação;
- definir, implementar e revisar os controles;
- identificar os riscos inerentes e residuais da segurança;
- definir os critérios e procedimentos para a realização da classificação da informação, protegendo o que for mais crítico;
- avaliar os procedimentos de segurança, analisar os seus resultados e discutir as melhorias necessárias em relação a eles;
- definir soluções de segurança antes da implementação e durante a manutenção;
- elaborar programas de treinamento para capacitação de usuários e proprietários da informação;
- desenvolver, implementar e manter planos de continuidade os quais
- visem garantir as operações em casos de desastre e indisponibilidade dos sistemas de informação;
- monitorar o uso da web e do tráfego de mensagens de correio eletrônico. (FERREIRA; ARAÚJO, 2003, p. 45).
Usuários das informações
Todos os indivíduos que acessam as informações da organização são usuários, seja funcionário,seja contratado da empresa. Cabe aos usuários:
- entender, respeitar e fazer cumprir a política de segurança;
- utilizar as informações apenas para os propósitos do negócio;
- informar imediatamente ao canal de comunicação disponível qualquer
- incidente ou violação de segurança. (FERREIRA; ARAÚJO, 2003, p. 46).
Recursos humanos
O setor de Recursos Humanos deve estabelecer sanções e penalidades a serem
aplicadas nos casos em que a política for desrespeitada. Esta área deve comunicar à área de Tecnologia da Informação a ausência ou desligamento de funcionários para as devidas providências no controle de acesso aos sistemas de informação.
Além disso, a área de recursos humanos deve apoiar a área de tecnologia na
coleta de assinaturas do Termo de Responsabilidade de Segurança da Informação, bem como nos programas de treinamento e educação para a implementação e manutenção da política de segurança.
Atenção: Cada organização deve avaliar como fará a atribuição de
responsabilidades na implementação e manutenção da segurança da
informação; se, conforme o tamanho da organização, não for possível
agrupar diferentes áreas, é fundamental que as ações descritas
anteriormente sejam conduzidas por uma equipe específica, ou
mesmo, por um gestor individual.
Referências
– ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação. 2005. 120 p.
– FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação: guia prático para elaboração e implementação. 2. ed.
Rio de Janeiro: Ciência Moderna. 2008.