Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam.

Gestores, profissionais e usuários de tecnologia da informação necessitam de uma base consistente de conhecimento de segurança em plataformas de informática.

Isto lhe assegurará bem exercer suas atividades, com vista à otimização da
qualidade funcional e à continuidade das atividades diárias. Para tanto, tais
profissionais e usuários devem identificar-se com os parâmetros macro de
segurança, quais sejam:

• os profissionais de tecnologias e demais áreas devem incorporar ao desempenho de suas funções, as tarefas de criação, atendimento e monitoração da visão de segurança;
• segregação de funções é componente essencial do foco de segurança, em nível de dolo, erro, omissão e falha;
• segurança ocorre em todos os momentos das atividades operacionais, em termos dos binômios eficiência/segurança dos processos organizacionais e eficácia/segurança dos resultados organizacionais;
• cultura formal – via legislação e normas, e cultura informal – via treinamento e práticas profissionais, são a sustentação e a real formatação das atividades de segurança.

Ferreira e Araújo (2003) sugerem uma estrutura de gestão da segurança da
informação, com atribuição de regras e responsabilidades, para diferentes áreas
da organização. Essa estrutura é constituída dos seguintes elementos:

• comitê de segurança da informação;
• proprietário das informações;
• área de segurança da informação;
• usuário das informações;
• recursos humanos.

Na sequência, é apresentado cada um destes elementos.

Comitê de segurança da informação
O Comitê tem por função divulgar e estabelecer os procedimentos de segurança,
bem como analisar a política periodicamente, ou a qualquer momento que
seja necessário. Também deve buscar o envolvimento de todas as áreas da
organização: comercial, jurídica, negócio, financeira, auditoria entre outras,
conforme a estrutura da empresa.

Sugere-se que o conteúdo das reuniões realizadas seja relatado em atas. Ainda:
em um determinado intervalo de tempo, que pode ser semestral, deve-se elaborar um relatório de avaliação da efetividade do sistema de controles de segurança, incluindo as deficiências detectadas com as respectivas recomendações para análise da administração da empresa. (FERREIRA; ARAÚJO, 2003, p. 44)

Proprietário da informação

O proprietário da informação é o responsável pela autorização do acesso a ela.
Ferreira e Araújo (2003) sugerem que estes profissionais devem fazer parte das
unidades de negócio da organização, as quais podem ser diretamente afetadas
caso alguma informação torne-se pública, corrompida ou perdida.

No início da implantação da política da informação, recomenda-se identificar os
proprietários da informação para os dados críticos e, na sequência, os demais
profissionais.

Área de segurança da informação

Esta área é responsável pela proteção dos ativos de segurança. Suas
responsabilidades incluem:

• fazer cumprir a política de segurança da informação;
• definir, implementar e revisar os controles;
• identificar os riscos inerentes e residuais da segurança;
• definir os critérios e procedimentos para a realização da classificação da informação, protegendo o que for mais crítico;
• avaliar os procedimentos de segurança, analisar os seus resultados e discutir as melhorias necessárias em relação a eles;
• definir soluções de segurança antes da implementação e durante a manutenção;
• elaborar programas de treinamento para capacitação de usuários e proprietários da informação;
• desenvolver, implementar e manter planos de continuidade os quais
• visem garantir as operações em casos de desastre e indisponibilidade dos sistemas de informação;
• monitorar o uso da web e do tráfego de mensagens de correio eletrônico. (FERREIRA; ARAÚJO, 2003, p. 45).

Usuários das informações
Todos os indivíduos que acessam as informações da organização são usuários, seja funcionário,seja contratado da empresa. Cabe aos usuários:

• entender, respeitar e fazer cumprir a política de segurança;
• utilizar as informações apenas para os propósitos do negócio;
• informar imediatamente ao canal de comunicação disponível qualquer
• incidente ou violação de segurança. (FERREIRA; ARAÚJO, 2003, p. 46).

Recursos humanos
O setor de Recursos Humanos deve estabelecer sanções e penalidades a serem
aplicadas nos casos em que a política for desrespeitada. Esta área deve comunicar à área de Tecnologia da Informação a ausência ou desligamento de funcionários para as devidas providências no controle de acesso aos sistemas de informação.

Além disso, a área de recursos humanos deve apoiar a área de tecnologia na
coleta de assinaturas do Termo de Responsabilidade de Segurança da Informação, bem como nos programas de treinamento e educação para a implementação e manutenção da política de segurança.

Atenção: Cada organização deve avaliar como fará a atribuição de
responsabilidades na implementação e manutenção da segurança da
informação; se, conforme o tamanho da organização, não for possível
agrupar diferentes áreas, é fundamental que as ações descritas
anteriormente sejam conduzidas por uma equipe específica, ou
mesmo, por um gestor individual.

Referências
– ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação. 2005. 120 p.

– FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação: guia prático para elaboração e implementação. 2. ed.
Rio de Janeiro: Ciência Moderna. 2008.