REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento da competitividade no mercado, as empresas buscam através do setor de tecnologia da informação e comunicação (TIC) estruturas que proporcione maior segurança e eficácia na tomada de decisões. Para tanto se faz necessária à criação de uma política administrativa ágil e de qualidade, capaz de gerar um controle efetivo dos processos e suprir as necessidades que aparecem constantemente. As organizações dependem do setor de TIC protegerem as suas informações. Percebe-se que falhas de segurança em um sistema de informações de uma entidade podem causar grandes prejuízos, até mesmo influenciar diretamente na continuidade dos negócios da entidade. Com isso empresas precisam de uma melhor governança, baseada em normas, metodologias e procedimentos de segurança. A implantação de um sistema de segurança pode favorecer na proteção de informações sigilosas e, paralelamente, agregar valor à empresa. A gestão de incidentes baseada em uma política de segurança proposta nesta dissertação busca aplicar entender o ambiente existente e mostrar como solucionar os problemas aplicando regras de gerenciamento de ambientes corporativos. É importante relatar a dependência da tecnologia nos negócios, somado a facilidade de acesso e evolução das técnicas usadas para ataques eletrônicos, resultando no aumento de incidentes de segurança, o que faz com que as organizações tenham uma proteção maior. Como isso, entender os problemas e as formas de resolvê-los torna-se imprescindível, principalmente porque não se pode proteger contra riscos que não se conhece (Nakamura e De Geus, 2007). Casos relacionados à perda de informações ocorrem com frequência maior no cenário nacional e internacional. 1
Entre os exemplos sobre esse cenário têm-se relatórios publicados informando prejuízos declarados com incidentes de segurança nos EUA alcançaram cifras da ordem de 130 milhões de dólares CSI/FBI¹. No Brasil, os indicadores publicados têm prejuízos altos CERT BR². Ex-engenheiro da Intel³ Biswahoman Pani que está sendo investigado pelo FBI por roubo de informações secretas da empresa. De acordo com as autoridades americanas, um documento com cerca de 100 páginas contendo dados e desenhos confidenciais de projetos de processadores da Intel foram encontrados com pane. PROBLEMA DE PESQUISA Medidas de segurança são adotadas por organizações para prevenir que ameaças não ataquem as vulnerabilidades existentes provocando incidentes, porém são tomadas apenas medidas repressivas na maioria dos casos minimizando o dano. Logo são importantes, mas não suficientes. No caso da utilização das medidas de controle para o ciclo de incidentes, como tomar decisões para solucionar a ocorrência evitando que passe a ser um problema? Desta maneira, o problema de pesquisa tem a finalidade de analisar porque empresas não aplicam medidas corretivas para que aquelas ameaças não voltem a atacar novas vulnerabilidades e provocando novos incidentes. 2 REFERENCIAL TEÓRICO Com o propósito de aumentar o conhecimento sobre o tema em estudo são abordados assuntos envolvendo informação, segurança, gestão de tecnologia da informação. INFORMAÇÃO Conforme Stair (1998) dados são fatos em sua forma primária e informação é um conjunto de fatos organizados de tal forma que adquirem valor adicional além do fato em si. De acordo com o autor a informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional da
empresa, independente do ramo em que atua. Neste sentido, de acordo com o ISO/IEC 17799:2000 (2010) (atual ISO/IEC 27002:2005): Informações são ativos que, como qualquer outro ativo importante para os negócios, possue valor para uma organização e consequentemente precisam ser protegidos adequadamente. SISTEMAS DE INFORMAÇÃO Segundo Prates (1994) os sistemas de informação são formados pela combinação estruturada de vários elementos, organizados da melhor maneira possível, visando atingir os objetivos da organização. São integrantes destes sistemas: a informação (dados formatados, textos livres, imagens e sons), recursos humanos (pessoas que coletam, armazena, recuperam, processam, disseminam e utilizam as informações), tecnologias de informação (o hardware e o software usados no suporte aos sistemas de informação) e as práticas de trabalho (métodos utilizados pelas pessoas no desempenho de suas atividades). Barbetta (2002) expõe que um sistema de informação deve apresentar informações claras, sem interferência de dados que não são importantes, e necessita possuir um alto grau de precisão e rapidez para não perder sua razão de ser em momentos críticos. Além disso, a informação deve sempre chegar a quem tem necessidade dela. 3 ISO/IEC 17799:2000, ATUAL ISO/IEC 177:2005 As normas ISO/IEC 17799:2000, atual ISO/IEC 177:2005 surgiram como diretrizes para a boa gestão da informação, em especial no que se refere à segurança dos sistemas de informação. De acordo com Casanas e Machado (2010) o esforço ao qual resultaram a ISO 17799:2000 e ISO 27002:2005 remonta ao ano de 1987, quando o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre) que, dentre suas atribuições, tinha a tarefa de criar uma norma de segurança das informações para
companhias britânicas que comercializavam produtos para segurança de TI (Tecnologia da Informação). Conforme os autores citados acima, outro objetivo do CCSC era a criação de um código de segurança para os usuários das informações. Assim, com base nesse segundo objetivo, em 1989 foi publicada a primeira versão do código se segurança, denominado PD0003 - Código para Gerenciamento da Segurança da Informação. Já em 1995 esse código foi revisado e publicado como uma norma britânica, a BS 7799:1995. De acordo Cavalcante e Ramos (2002) lembram que, no Brasil, a Associação Brasileira de Normas Técnicas (ABNT) criou uma versão brasileira conhecida como NBR ISO/IEC 17799:2000 e foi homologada em setembro de 2001. Para os autores o modelo ISO/IEC 17799:2000 propõe requisitos os quais precisam ser adequados para que se alcance a eficácia desejada e, consequentemente, se diminuam os perigos e danos causados pela quebra na segurança corporativa. Com o passar dos anos a norma ISO/IEC 17799:2000 passou por sucessivos aprimoramentos. Conforme Silva Neto e Silveira (2007) o comitê que trata da segurança da informação na ISO aprovou a criação de uma família de normas sobre gestão da segurança da informação, batizada pela série 27000, onde a então ISO/IEC 17799:2000 foi rebatizada por ISO/IEC 27002:2005. De acordo com os autores citados acima a adequação de qualquer empresa à norma ISO/IEC 27002:2005 garante conformidade com as melhores práticas em gestão da segurança da informação, sendo que as normas são criadas para estabelecerem diretrizes e princípios para melhorar a gestão de segurança nas empresas e organizações. Assim, compreende-se a importância das empresas seguirem as diretrizes da norma ISO/IEC 27002:2005, uma vez que sua observância influi diretamente na segurança dos sistemas de informação da entidade, favorecendo significativamente para o bom andamento das suas funções junto ao público interno e externo, fazendo a organização destacarem-se ante a concorrência. 4 CONSIDERAÇÕES FINAIS
Percebeu-se que o crescimento de ameaças devido à exploração de vulnerabilidades causando incidentes de segurança é um fato existente nos ambientes corporativos. Cresce em um ritmo acelerado, sem um controle pela falta de um gerenciamento baseado em procedimentos. A utilização de normas de segurança deve ser entendida pelos profissionais de tecnologia da informação como um facilitador ao tratamento de incidentes. Com isso, em etapas os resultados serão obtidos. REFERÊNCIAS BARBETTA, Ermelino. Sistema de Informação Gerencial (SIG) aplicado à oficina mecânica de máquinas agrícolas. Blumenau: URB, 2002. Trabalho de conclusão de curso. Disponível em: <http://campeche.inf.furb.br/tccs/2002-ii/2002-2ermelindobarbettavf.pdf>. Acesso em: 02 out. 2011. CAVALCANTE, Sazonara de Medeiros; RAMOS, Ana tália Saraiva Martins. Gestão de segurança da informação em ambiente Internet: considerações sobre a utilização do correio eletrônico segundo a norma ISO/IEC 17799. In: XXII Encontro Nacional de Engenharia de Produção, Curitiba, 23/25 out. 2002. Disponível em: <http://www.abepro.org.br/biblioteca/enegep2002_tr11_1022.pdf>. Acesso em: 03 out. 2011. CASANAS, Alex Delgado Gonçalves; MACHADO, César de Souza. O impacto da implementação da norma NBR ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação - nas empresas. Disponível em: <http://www.fatec.br/html/fatecam/images/stories/dspti_ii/asti_ii_material_apoio_3_seg uranca_informacao_texto_base1.pdf>. Acesso em: 10 out. 2011. PRATES, Maurício. Conceituação de sistemas de informação do ponto de vista do gerenciamento. In: Revista do Instituto de Informática. São Paulo, v.4, n.16, p. 17-21, mar./set. 1994. SILVA NETTO, Abner da; SILVEIRA, Marco Antonio Pinheiro da. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias empresas. In: Revista de Gestão da Tecnologia e Sistemas de Informação, v. 4, n. 3, 5
2007, p. 375-397. Disponível em: <http://www.revistasusp.sibi.usp.br/pdf/jistem/v4n3/07.pdf>. Acesso em: 10 nov. 2011. STAIR, Ralph M. Princípios de sistemas de informação: uma abordagem gerencial. Rio de Janeiro: LTC, 1998. 6