Beruflich Dokumente
Kultur Dokumente
INFORMAES GERENCIAIS
(SIG)
Anlise detalhada do capitulo 12
(Questes ticas e sociais em
sistemas de informao)
aes devem ser realizadas mesmo que no incidam diretamente nos processos do
negcio da organizao.
O mapa de relacionamento na fase preliminar do levantamento contribui
para um melhor desenvolvimento da anlise entre os processos do negcio e as
aplicaes de infra-estrutura fsica, tecnolgica e humana, conforme Figura 8, pois
se trata de uma tarefa complexa em funo de fatores dificultadores como: viso
corporativa, complexidade dos ambientes organizacionais e a acessibilidade e
flexibilidade no uso de tecnologias.
Ameaas e vulnerabilidades so elementos do grupo denominado risco,
que so visualizados com a possibilidade de explorao nos SI, a partir da sua
complexidade e dinmica, que exigem das organizaes, atravs da gesto de
segurana da informao, a identificao, atravs de mtodos detectivos, de outros
elementos do grupo de risco que so o ataque, o incidente e o impacto e, prevenir
para alcanar os objetivos de segurana, especficos para o negcio, Figura 9.
Esse processo precisa ser desenvolvido de forma permanente e interativa.
mudana organizacional, ou tecnolgicas com implicaes nos critrios de
segurana que podem criar novas ameaas e aumentar significativamente a
possibilidade de um incidente causando impactos no negcio. importante perceber
que, mesmo aplicando todas as medidas de segurana, sempre haver
possibilidade de um incidente ocorrer.
O risco a probabilidade de que agentes, que so as ameaas, explorem
vulnerabilidades, expondo os ativos a perdas de confidencialidade e
disponibilidade, e causando impactos nos negcios. Estes impactos so
limitados por medidas de segurana que protegem os ativos, impedindo
que as ameaas explorem as vulnerabilidades, diminuindo, assim, o risco.
(SMOLA, 2003, p. 55).
Figura 9 Elementos que geram risco nos SI.
10
das atividades;
_ Controles de instalao proteo fsica, controles de falhas,
telecomunicaes e seguros, executados atravs da segurana de
redes com softwares de monitoramento, criptografia, firewalls e
antivrus, constitudos de mtodos criados para proteo de
instalaes de hardwares e redes, contra perdas ou destruio,
provocadas por ameaas naturais, involuntrias ou voluntrias.
Para Ferreira (2003, p. 97) os controles so classificados em duas
categorias, sejam de mtodos ou no, a saber:
_ Controles preventivos previnem tentativas de violao a PSI,
implementado mecanismos de controle de acesso como criptografia e
autenticao;_ Controles detectivos visualizam e informam sobre tentativas de
violao a PSI, incluindo procedimentos de auditoria, firewalls e
antivrus para detectar intrusos.
Os recursos humanos, por serem considerados o elo mais frgil do SI,
precisam ser treinados, conscientizados e sensibilizados para a necessidade e a
responsabilidade de criar e manter a segurana da informao no ambiente
organizacional no desenvolvimento das atividades. Esse processo pode parecer, ou
ser difcil de ser executado, pelo fato do ser humano ser complexo, dotado de
iniciativas, criatividade e sofrer influncias de fatores externos, mas o nvel de
conhecimento e o perfil dos funcionrios tm grande valor nesse contexto.
A especificao e criao de normas, procedimentos e diretrizes para
criao, manuseio, armazenamento, transporte, descarte de recursos de auditorias e
autenticao no garantem uma segurana eficiente para o ambiente e os SI, se a
cpula da organizao no estiver comprometida e os usurios envolvidos, para
implementao da PSI.
Segundo Smola, (2003, p. 130) essa fragilidade precisa ser tratada de
15
Ferreira (2003, p. 30) afirma que, de acordo com a norma tcnica NBR
ISO/IEC 17799 Cdigo de Prtica para Gesto de Segurana da Informao,
seo 6.2, o treinamento deve garantir que os usurios estejam cientes das
ameaas e da preocupao de segurana da informao e equipados para apoiar a
PSI da organizao durante a execuo normal do seu trabalho. Prestadores de
servios e fornecedores tambm devem receber treinamentos e atualizaes
regulares sobre a PSI.
organizacional, que vem tornando-se a cada dia mais complexo, com definies de
certo ou errado nem sempre claras no PDS elaborado com as polticas de
segurana e os tipos de controles adotados para implementao pela gesto de
segurana da informao.
Definir o cdigo tica, que um conjunto de princpios da organizao,
fundamental para servir de guia nas tomadas de decises na gesto de segurana,
considerando os princpios e as questes ticas. Segundo Turban (2003, p. 503) a
diversidade de aplicaes de TI e o crescente desenvolvimento criaram diversas
questes ticas que foram estruturadas por R. O . Manson e outros em quatro
categorias, que so:
_ Privacidade coleta, armazenagem e disseminao de informaes
sobre os indivduos;
_ Preciso autenticidade, fidelidade, preciso das informaes
coletadas e processadas;
_ Propriedade valor intelectual da informao;
_ Acessibilidade direito de acesso informao ou pagamento pelo
acesso.
As organizaes e, conseqentemente, a gesto de segurana devem
estar preparadas para elaborar e implementar regras e para monitorar e controlar o
ciclo da informao no SI da organizao, considerando os princpios e filosofias
ticos da instituio. Isso deve ser compartilhando com cada ser humano
comprometido ou envolvido nos processos do negcio da organizao, visto que so
diversos os modelos ticos utilizados pelos seres humanos na aplicao das suas
filosofias ticas nas escolhas feitas diariamente, seja na vida pessoal ou no trabalho.
O ser humano, no seu desenvolvimento, passa por diversos estgios da
revoluo moral que est dividida em vrios ambientes, conforme Figura 11, at
absorver em um nvel de raciocino tico capaz de perceber que necessariamente o
18
22
23