Sie sind auf Seite 1von 13

PROTEJA O MAIOR BEM DA SUA EMPRESA, A INFORMAÇÃO, COM: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Byron Lanverly de M. Júnior 1 , Érica Acioli da Silva 1 , José Humberto Souza 1, Rodrigo Pereira Neves 1 , Francisco Abud Nascimento 2 , Almir Pereira Guimarães 2 , Hélio Martins do Nascimento Junior 2 .

1 Pós-Graduandos - FAL

2 Curso de Sistemas de Informação – Faculdade de Alagoas (FAL)

Rua PIO XII, 70, Jatiúca , Maceió, AL – Brasil

{lanverly , erica.acioli, rodrigo.pneves, heliomartins79} @gmail.com, jhumbertosouza@hotmail.com, fabud@oi.com.br, almirpg@yahoo.com

Resumo. Este artigo apresenta uma Política de Segurança da Informação para uma empresa proteger seu maior bem, que é a Informação. Visando mostrar as características da segurança da informação num ambiente de T.I, exibindo aspectos a serem levados em conta na elaboração de uma política de segurança da informação.

1. Introdução

Atualmente a economia mundial evoluiu de um modelo industrial para um modelo baseado em conhecimento, assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da empresa, ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela empresa. As ameaças à vulnerabilidade nos sistemas computacionais vêm crescendo em uma velocidade proporcional e muitas vezes superior ao avanço tecnológico, dessa forma, faz-se necessário implementar uma política de segurança.

Uma política de segurança de uma empresa define as normas e procedimentos que melhor atendam ao propósito da mesma, minimizados os riscos com perdas e violações de qualquer um de seus bens. Em toda política de segurança da informação faz-se necessário ter uma idéia clara daquilo que se quer proteger, contra quem queremos defender e quais obstáculos que essa política oferece para funcionamento normal do sistema. Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu patrimônio. Esta Política de Segurança da Informação restringe-se à defesa das informações e sistemas computacionais de software e hardware da empresa. Assim como ao acesso físico e lógico às informações.

O restante do artigo está organizado da seguinte forma: Na seção 2, explana a importância da segurança da informação. Na seção 3, mostra a implantação da política de segurança da informação. Na seção 4, as considerações finas são expostas.

2.1. Dados e informação

Do ponto de vista da teoria das decisões, a organização pode ser visualizada como uma série estruturada de redes de informação que ligam as necessidades de informação de cada processo decisório às fontes de dados. Embora separadas, essas redes de informação sobrepõem-se e interpretam-se de maneira complexa.

CHIAVENATO (2000) diz que, os dados são os elementos que servem de base para a formação de juízos ou para a resolução de problemas. Um dado é apenas um índice, um registro, uma manifestação objetiva, passível de uma análise subjetiva, isto é, existe a interpretação da pessoa para a sua manipulação. Em si, os dados têm pouco valor. Todavia, quando classificados, armazenados e relacionados entre si, os dados permitem a obtenção da informação. Assim, os dados isolados não são significativos e não constituem informação. Os Dados exigem processamento (classificação, armazenamento e relacionamento), para que possam ganhar significado e conseqüentemente informar. A Informação apresenta significado e intencionalidade, aspectos que a diferenciam do conceito de Dado.

As informações constituem um dos objetos de maior valor para as empresas. BALLONI (2002) diz que, atualmente a informação é de valor altamente significativo e pode representar grande poder para quem a possui, seja pessoa, seja a empresa. A informação apresenta-se como recurso estratégico sob a ótica da vantagem competitiva. Possui valor, pois está presente em todas as atividades que envolvem pessoas, processos, sistemas, recursos financeiros, tecnologias e etc.

2.2 Segurança da informação

A empresa pode ser constituída por equipamentos, tecnologias e pessoas. Os

equipamentos e tecnologia não pensam, não tem sentimentos, não roubam, não

cometem fraudes, enfim, não agem dolosamente. O homem sim!

“A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.” (WADLOW, 2000)

Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento.

A segurança da informação, por ser um assunto tão importante para todos,

pois afeta diretamente todos os negócios de uma organização ou de um indivíduo, tem como propósito proteger os chamados ativos de informação, não importando onde eles estejam armazenados ou representados: impressos em papel, armazenados em discos rígidos de computadores ou até mesmo na memória das pessoas que os conhecem. Entendemos por ativos de informação todas as peças de informação que uma empresa possui, como arquivos e sistemas, que possuam valor, demandando necessidades em termos de proteção.

WADLOW (2000) afirma que, a segurança não é uma tecnologia. Não é possível comprar um dispositivo que torne sua rede segura, assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro. A falácia dessas promessas se baseia na implicação de a segurança ser um estado que se pode

alcançar. Isso não é possível. A segurança é a direção em que se pode viajar, mas nunca chegando de fato ao destino. Diz também que:

“A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantém e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo, sua segurança será cada vez pior, à medida que surgem novas ameaças e técnicas.”

A segurança está relacionada à necessidade de proteção contra o acesso ou

manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou seus dispositivos periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos e dos objetivos de uma organização, formalizada nos termos de uma política de segurança (SOARES, 1995).

A segurança é um requisito essencial para o funcionamento confiável e robusto

dos sistemas de informação. A crescente dependência do uso da informática em todos os setores da atividade humana, aliada à facilidade de acesso aos sistemas de

informação através da Internet, trouxe à tona muitos problemas e desafios para a operação segura desses sistemas. A Figura 1 mostra a pirâmide comportamental de acesso a dados.

1 mostra a pirâmide comportamental de acesso a dados. Figura 1. Pirâmide comportamental de acesso aos

Figura 1. Pirâmide comportamental de acesso aos dados

AMOROSO (1994) relata em seu livro que, segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade (Salvaguarda da exatidão e completeza da informação e dos métodos de processamento), disponibilidade(garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário) e confidencialidade(garantia de que o acesso à informação seja obtido somente por pessoas autorizadas). Esses elementos constituem os três pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção têm por objetivo prover suporte a restauração de sistemas de informações, adicionando-lhes capacidades detecção, reação e proteção. A Figura 2 mostra os três pilares segurança da

informação. Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma estratégia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos três pilares. A Figura2 mostra os pilares para a segurança da informação.

Figura2 mostra os pilares para a segurança da informação. Figura 2. Pilares para a segurança da

Figura 2. Pilares para a segurança da informação

2.3 Política de segurança

Em toda Política de Segurança faz-se necessário ter uma idéia clara daquilo que se quer defender, contra quem queremos defender e quais os entraves que essa política oferece para funcionamento normal do sistema. Uma Política de Segurança de uma empresa define as normas e procedimentos que melhor atendam ao propósito da mesma, minimizando os riscos com perdas e violações de qualquer um dos seus bens. Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu patrimônio.

A política de segurança é um instrumento importante para proteger a sua

organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribuem direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem (CERT, 2003).

A implantação de uma política de segurança baseia-se na aplicação de regras

que limitam o acesso de uma entidade às informações e recursos com base na comparação do seu nível de autorização relativo a essa informação ou recurso, na designação da sensibilidade da informação ou recurso e na forma de acesso empregada. Assim, a política de segurança define o que é, e o que não é permitido em

termos de segurança, durante a operação de um dado sistema. A base política de segurança é a definição do comportamento autorizado para os indivíduos que interagem com um sistema. (SOARES, 1995).

É importante a Política de Segurança da Informação na empresa, uma vez que a informação é um bem de valor intangível, e que não basta apenas estas possuírem

meios tecnológicos e informatizados para protegê-las contra danos e ataques internos

e externos, desta forma, a Empresa necessita de uma Política de Segurança da

Informação bem estruturada, com o objetivo de alcançar a solução que deixe as

informações íntegras e seguras tomando como base a norma de segurança ISO

17799/27001.

As conseqüências de uma política de segurança implementada e corretamente

seguida podem ser resumidas em três aspectos: Redução da probabilidade de ocorrência, Redução de danos causados por eventuais ocorrências, Criação de procedimentos para se recuperar de eventuais danos.

A implantação da Política de Segurança da Informação dar-se-á: Gestão à

Informação, Classificação das Informações, Impressão da Informação; Eliminação da Informação, Acesso Físico, Equipamentos, Hardware e Software, Acesso à Rede, Acesso

à Internet, Uso de Correio Eletrônico, Quanto ao Registro de Eventos e Evidências (LOG), Monitoramento.

Uma Política de Segurança da Informação bem elaborada e devidamente implantada protege a informação e ajuda a minimizar os problemas de acessos indevidos internos, vírus, pirataria, falta de cultura dos usuários que não se preocupam com segurança e fraudes. Porém, apenas a criação e implantação desta política não são suficientes se não existirem mecanismos de controle para assegurar que as normas estipuladas nessa política estão sendo efetivamente adotadas. Uma das maneiras de controlar tudo isso é através de auditorias permanentes, fazendo com que, uma das responsabilidades da auditoria interna seja, não somente verificar a existência de uma Política de Segurança da Informação, mas também de verificar se suas normas estão sendo efetivamente cumpridas e de redigir relatórios de recomendações de melhoria a cada trabalho realizado, a fim de evidenciar que falhas foram encontradas e que devem ser corrigidas (BIANCO, 2004).

2. Implementação de uma política de segurança da informação

A informação é um bem de valor intangível, e não basta apenas meios

tecnológicos e informatizados para protegê-la contra danos e ataques internos e externos de sua rede, necessitando assim de uma política de segurança da informação bem estruturada, deixando as informações íntegras e seguras.

3.1 A política de segurança da informação

De acordo com o que foi descrito no capítulo anterior, a informação representa um valioso patrimônio para a Empresa, sendo assim, a política segurança da informação torna-se uma premissa de máxima importância para realização de suas atividades com total eficácia e confidencialidade. Com isso, pretende lidar com

determinadas situações, sejam elas contingenciais ou de rotinas que impliquem em riscos e incertezas no tocante à segurança da informação, nos seus aspectos físicos, lógicos e comportamentais.

“Na implantação de uma política de segurança a primeira tarefa a ser realizada é a definição do que se deseja, fixando-se os objetivos a serem atendidos, definindo-se os meios e recursos necessários, estabelecendo-se as etapas a cumprir e os prazos das mesmas. Só após haver uma avaliação do que é necessário fazer é que se começa a executar o planejado. Ainda assim, o planejado raramente atende todas as situações que aparece, de modo que, frequentemente, a necessidade de acertar desvios de rota ou até mesmo mudar radicalmente o planejado originalmente.” (CARUSO, 1999)

De acordo com GIL (1998) um bom planejamento de segurança é a base para um programa de segurança abrangente e efetivo em relação ao investimento efetuado, entretanto, o principal requisito para o planejamento é o contínuo apoio e participação da alta administração. O planejamento da segurança em informática implica a atuação dos profissionais envolvidos com a tecnologia de informática em atividades dos focos:

Determinações dos processos a serem praticados e estabelecimentos dos resultados esperados, uma vez estabelecidas/instaladas as condições de insegurança empresarial;

Montagem/criação de cenários futuros, de maior probabilidade de ocorrência, para estudo de “causas” e de “conseqüências”, com a concomitante caracterização das práticas e resultados prováveis, em termos de medidas de segurança preventivas, detectivas, corretivas e restauradoras;

Definição de atividades para analista de segurança de informática, para usuários e para profissionais de informática e de segurança empresarial/patrimonial;

Elaboração de normas de planos, bem como definição de softwares a serem adquiridos e de sustentação de hardware de terceiros, para situações de insegurança em informática com forte potencial de ocorrência, como greve total ou paralisação parcial do sistema computacional, acarretando atraso de processamento e conseqüentes perdas financeiras para as organizações;

Criação de sistemas de informação para captação de indícios e identificação de tendências, tanto de novas práticas de segurança, quanto de ocorrências com elevado poder de desestabilização do ambiente de informática;

Definição de simulações e de testes que garantam/estabeleçam confiança nas medidas de segurança consideradas adequadas;

Estabelecimento de objetivos, diretrizes, do perfil, dos custos e do nível de impacto da segurança em informática almejada.

3.2 A aplicação da política de segurança

A política de segurança da informação compromete e responsabiliza cada um que faz parte da empresa, estando todos cientes também que os ambientes da empresa, inclusive correio eletrônico e Internet estão sujeitos a monitoramento. É também obrigação de cada um manter-se atualizado com as regras da empresa.

3.3

Princípios da política de segurança da informação

Uma das diretrizes citadas por CARUSO (1999) é a responsabilidade sobre os ativos. Nessa etapa é determinado quem é responsável e qual o grau de responsabilidade envolvido na política de segurança para cada uma das funções tenham ativos a ser regulados no âmbito da política de segurança. Não se deve confundir responsabilidade sobre ativos com responsabilização; este último conceito

envolve a identificação clara das pessoas que acessam ativos e o nível de acesso que estão tendo sobre os mesmos. Não é preciso ser responsável por um ativo para se ter

o direito de acesso a ele. Para garantir a Segurança da Informação, é necessário que todos os colaboradores da empresa zelem para que os seguintes princípios sejam respeitados:

Vigilância: agir como guardiões dos ativos de informação da Empresa, evitando o uso inadequado dos mesmos. Atitude: assumir uma postura adequada no tratamento da segurança da informação, tendo como base o comprometimento com a política definida. Visão: considerar a política de segurança como uma estratégia da empresa e um diferencial de negócio. Tecnologia: contribuir com recursos de hardware e software que permitam implementar, auxiliar, monitorar e controlar para que os ativos de informação da empresa sejam usados de modo seguro e adequado por seus colaboradores.

3.4 Diretrizes da política de segurança da informação

a

governar a proteção a ser dada a ativos da empresa.

Segundo STEFFEN (1999) as conseqüências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos:

Redução da probabilidade de ocorrência, Redução de danos causados por eventuais, Criação de procedimentos para se recuperar de eventuais danos.

A Política de Segurança deverá ser comunicada oficialmente a todos os

colaboradores da empresa, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem na Empresa.

A política

de segurança é um

conjunto de

diretrizes gerais destinadas

Deverá haver um Comitê responsável pela Gestão da Segurança da Informação.

atualizada

periodicamente, cabendo ao Comitê responsável estabelecer a periodicidade.

Responsabilidades de segurança de informações devem ser atribuídas na fase de recrutamento dos recursos humanos da empresa, incluídas nos contratos e monitorados durante a vigência destes contratos.

Um plano de contingência e continuidade do negócio deverá ser implementado e testado periodicamente, visando reduzir riscos de perda de disponibilidade e

integridade dos ativos de informação, por meio da combinação de ações de prevenção

e recuperação.

A

Política

de

Segurança

da

Informação

será

revisada

e

Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas aos riscos identificados e controle de acesso.

Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo por pessoas não autorizadas e adotados controles de forma a minimizar sua perda ou dano.

3.5 Controles e normas de uso da informação

Algumas atividades necessitam de controles firmes, e segurança de informações é uma delas. É necessário controlar o domínio de usuários, o domínio de recursos e as interações entre os dois domínios.

3.5.1 Quanto à gestão da informação

A informação é o maior bem da empresa, de uso restrito e confidencial, para

isso precisa-se de um responsável.

3.5.2 Quanto à classificação das informações

Informação é o elemento que sintetiza a natureza de qualquer entidade, expressando suas características.

As informações precisam ser classificadas quanto a sua criticidade de forma que possam receber o tratamento adequado para que esse ativo seja protegido.

As informações podem ser: Públicas, Sensível, Confidenciais, Restritas.

As regras e metodologia que embasam a classificação de criticidade das informações, e visam identificar o risco para o negócio caso uma informação seja divulgada indevidamente, devem ser consultadas pelos proprietários da informação ao classificarem as informações/ativos sob sua responsabilidade.

É de responsabilidade da área de Segurança da Informação definir as regras e

metodologia em procedimento que deve ser divulgado e disponível para consulta.

3.5.3 Quanto à eliminação da informação

O processo de eliminação da informação é tão ou mais importante que a

própria geração ou armazenamento da mesma. Por isso, o descarte de mídias ou eliminação de conteúdos de informação sensível ou sigilosa deve atender aos seguintes procedimentos para o descarte seguro:

As mídias contendo informações sensíveis devem ser descartadas através de incineração ou trituração, ou da eliminação dos dados para uso por uma outra aplicação dentro da organização.

Os itens que possivelmente requerem descarte seguro: Gravação de Voz; Papel- Carbono; Relatórios Impressos; Fitas de Impressão descartáveis; Fitas magnéticas; Discos Removíveis e cartuchos; Meio de armazenamento ótico;

Listagem de Programas; Dados de teste; Documentação de Sistemas; Documentos em Papel.

3.5.4. Quanto ao acesso físico

Segurança física em informática corresponde à manutenção das condições operacionais e da integridade dos recursos materiais componentes dos ambientes e plataformas computacionais.

Controle de acesso: processo destinado a garantir que todos os acessos aos recursos sejam acessos autorizados.

Nível especial de acesso: Algumas pessoas da Empresa, para o desempenho adequado de suas funções, possuem níveis especiais de acesso. Estes são nossos colaboradores especiais. Quando se tratar de um software de controle de acesso,

um nível especial de acesso caracteriza-se em possuir a senha e o direito de usar

com privilégios especiais de

acesso ao ambiente computacional, privilégios estes que um usuário normal não possui.

uma identificação para o sistema (userid, chave

)

3.5.5. Quanto aos equipamentos, hardware e software

Esta política visa nos auxiliar a coibir o mau uso dos equipamentos, diminuindo assim a incidência de ataque de vírus e desvio de informações confidenciais.

3.5.6. Quanto ao acesso à rede

Dentro da Intranet cada serviço que é acessado tem uma carga de risco associada, que pode causar impactos em seu ambiente. Com isso, STEFFEN(1999) explica que uma política de segurança deve, antes de mais nada, definir quais os serviços que serão disponibilizados na rede interna, por exemplo: correio eletrônico, transferência de arquivos, acesso remoto por terminal e execução de comandos, WWW, nome de domínio, serviço de gerenciamento de redes, sistemas de arquivos na rede; com base nos serviços atendidos é que serão montados os dispositivos de proteção.

Os dispositivos de proteção que poderão ser utilizados para um melhor desempenho dos serviços e uma melhor segurança na empresa, como por exemplo:

Proxy, Firewall, Proxy transparente, VPN, IDS, Criptografia e Assinatura Digital.

transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível
transparente, VPN, IDS, Criptografia e Assinatura Digital. Figura3. Acesso de computadores a rede, onde é possível

Figura3. Acesso de computadores a rede, onde é possível compartilhar informações.

3.5.7.

Quanto ao acesso à internet

A Internet também tem o seu lado recreativo, que copia, modifica e amplifica soluções já adotadas em outros veículos. Sites que oferecem sorteio, que pagam por clicks, que dão prêmios por quem ficam neles navegando, pornografia, notícias de esportes, etc., são grandes consumidores de tempo e, portanto REDUTORES DA PRODUTIVIDADE. A EMPRESA pode e deve zelar para que isso não aconteça. A Figura 4 mostra como é feito o acesso dos computadores a Internet.

4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através
4 mostra como é feito o acesso dos computadores a Internet. Figura4. Acesso dos computadores através

Figura4. Acesso dos computadores através da Internet por onde trafega milhares de informações

3.5.8. Quanto ao uso de correio eletrônico

O serviço de correio eletrônico foi projetado para ter como uma de suas principais características a simplicidade. O problema deste serviço é que foi comparado com o correio terrestre, dando a falsa idéia de que os e-mails são cartas fechadas. Mas eles são, na verdade, como cartões postais, cujo conteúdo pode ser lido por qualquer um que obtenha acesso a eles. Por isso, a importância de conter sempre as assinaturas nos e-mails, podendo seguir o seguinte formato: Nome do Colaborador, Função, Telefone Comercial, Nome da Empresa, E-mail ou Site, Mensagem Corporativa Padrão da EMPRESA,

Obs: Também é obrigatória a inclusão dos seguintes dizeres abaixo da assinatura do e- mail:

“Esta mensagem pode conter informações confidenciais, somente podendo ser usada pelo indivíduo ou entidade a quem foi endereçada. A transmissão incorreta da mensagem não acarreta a perda de sua confidencialidade. Caso esta mensagem tenha sido recebida por engano, solicitamos que comunique o remetente e apague-a de seu sistema imediatamente. É vedado a qualquer pessoa que não seja o destinatário usar, revelar, distribuir ou copiar qualquer parte desta mensagem. Ambiente sujeito a monitoramento. “

3.5.9. Quanto ao registro de eventos e evidências (Log)

Devem ser produzidas e mantidas trilhas de auditorias registrando as exceções e outros eventos de segurança relevantes, a fim de auxiliar investigações futuras e a monitoração do controle de acesso.

“O custo do sistema de segurança deverá ser proporcional ao valor do que o sistema está protegendo. É bem mais provável descobrir ataques e atacantes pela análise de registro do que detectá-los no momento do ataque.” (WADLOW, 2000).

3.5.10. Quanto ao monitoramento

Para garantir as regras desta Política de segurança, a empresa terá que:

Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, e-mails, navegação, Internet e outros componentes da rede;

Inspecionar qualquer arquivo armazenado na rede, esteja no disco local da estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política;

Instalar sistemas de proteção e detecção de invasão à rede (firewall, IDS, etc.), para garantir a segurança e integridade dos dados e programas armazenados na rede;

A Figura 5 mostra a arquitetura de uma rede onde todas as informações estão sendo monitoradas.

rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações
rede onde todas as informações estão sendo monitoradas. Figura 5. Mostra uma rede onde as informações

Figura 5. Mostra uma rede onde as informações que está sendo monitoradas.

3.5.11. Quanto ao backup das informações

A política de backup é uma importante preocupação da estratégia de segurança física. O backup adequado será sua salvação, se ocorrer algo muito sério. Mas os backups apresentam vários perigos, pois se um visitante tiver acesso ao backup poderá por em risco a informação. Porém sem eles, se houver alguma perda dos dados não haverá recuperação.

4. Considerações Finais

Com base nos princípios da Política de Segurança da Informação, foi possível avaliar o segmento dos paradigmas básicos em sua composição: a integridade, como sendo condição na qual a informação ou os recursos da informação são protegidos contra modificações não autorizadas, a confidencialidade, visando a propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização

prévia do seu dono e a disponibilidade, característica essa que se relaciona diretamente a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades a qualquer hora.

5. Referências Bibliográficas

CASTELLS, M. A sociedade em rede – a era da informação: economia, sociedade e cultura. Vol 1. 5. Ed. São Paulo: Paz e Terra, 1999.

CARUSO, Carlos Alberto Antônio; STEFFEN, Flavio Deny. Segurança em informática e de informações. 2. ed. rev. e ampl. São Paulo: SENAC, 1999. 366 p.

CHIAVENATO, Idalberto. Introdução à teoria geral da administração. 6. ed. rev. e atual. Rio de Janeiro: Campus, 2000. 700 p.

GIL, Antonio de Loureiro. Segurança em informática. 2. ed. São Paulo: Atlas, 1998. 192 p.

IMONIANA, Joshua Onome, Auditoria de Sistemas de Informação; Editora Atlas,

2001.

OLIVEIRA, Jayr Figueiredo de, Sistemas de Informação: um Enfoque Gerencial Inserido no Contexto Empresarial e Tecnológico. São Paulo : Érica, 2000

SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de computadores: das LANs, MANs e WANs as redes ATM. 2. ed. rev. e ampl. Rio de Janeiro: Campus, 1995. 705 p.

TANENBAUM, As, Redes de Computadores, 4ª edição. Editora Campus, 2001.

e

TEIXEIRA Junior,

J.H. etal,

Redes de Computadores:

serviços,

administração

segurança. São Paulo: Makron, 1999.

TOFFLER, Alvin. Terceira onda. Tradução João Távora. Rio de Janeiro: Record, 1999. 491p - Civilização moderna, 1945

KUROSE James f., Ross, K.W., Redes de computadores e a Internet – Uma nova abordagem. Ed. São Paulo: Addson Weslwy, 2003.

WADLOW, A.Thomas, Projeto e Gerenciamento de Redes Seguras; Editora Campus,

2000.

6. Referências Bibliográficas Eletrônicas

BALLONI, Antonio José. Porque gestão em sistemas e tecnologias da informação? Revista Unicamp, Campinas, 2002. Disponível em:

http://www.revista.unicamp.br/infotec/artigos/balloni.html>. Acessado em: outubro de 2005.

CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, Práticas de Segurança para Administradores de Redes Internet, 05 de JUN de 2005. Disponível em:< http://www.cert.br/docs/seg-adm-redes/seg-adm- redes.html#subsec2.1 >. Acessado em: 10 de agosto de 2006.

FERREIRA, Fernando Nicolau Freitas, Política, Treinamento e Conscientização em Segurança, 18 de Abr de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 10 de agosto de 2006.

FERREIRA, Fernando Nicolau Freitas, Segurança no acesso de prestadores de serviço, 29 de Nov de 2004. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto de 2006.

ROCKENBACH,

<

Aléxis,

Políticas

de

Segurança.

Disponível

em:

http://penta.ufrgs.br/gereseg/rfc2196/>. Acessado em: < 10 de ago de 2006>

UEMURA, Cláudio Norikazu, A importância da segurança da informação, 28 de Mar de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto de 2006.