Administração Estratégica da Segurança da Informação

 

cyber

O termo estratégia pode ser compreendido como o conhecimento necessário para a consolidação de planos hábeis que proporcionam uma posição privilegiada para a organização. Neste sentido, a organização tem em suas mãos, uma perspectiva racional para o ato estratégico, definindo-o com coerência, possibilitando realizar o plano de forma hábil e eficaz.

Atualmente, os gestores organizacionais buscam garantir que seus produtos, serviços e ativos, sejam bem sucedidos no mercado. Desta forma, a estratégia organizacional tem papel determinante, pois possibilita tomar decisões fundamentadas, decisões que pondere as relações internas e externas à organização. A estratégia organizacional é também uma forma de criar uma cultura organizacional nas atitudes dos administradores, elas são particulares de cada organização e se adaptam ao meio em que estão inseridas.

A estratégia organizacional deve ser capaz de garantir a continuidade dos negócios e oferecer métodos capazes de proteger e garantir a integridade das informações geradas pela organização, pois a informação é um ativo que, como qualquer outro ativo é importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. Além disso, a informação faz parte da inteligência competitiva e deve ser administrada em seus particulares, diferenciada e salvaguarda. Ela é um recurso vital para a definição de estratégias alternativas capazes de constituir uma organização mais flexível onde o aprendizado é constante.

Política de Segurança da Informação

De acordo com a Academia Latino Americana de Segurança da Informação (2006):

“Uma política de segurança é um conjunto de diretivas, normas, procedimentos e instruções que comanda as atuações de trabalho e define os critérios de segurança para que sejam adotados em nível local ou institucional com o objetivo de estabelecer, padronizar e normalizar a segurança tanto no escopo humano como no tecnológico. A partir desses princípios, é possível fazer da segurança das informações um esforço comum, desde que todos possam contar com um arsenal informativo documentado e normalizado dedicado à padronização do método de operação de cada um dos indivíduos envolvidos na gestão da segurança da informação”.

O objetivo principal da política de segurança da informação é oferecer subsídios para que seja possível alcança a segurança da informação. Segundo a NBR ISO/IEC17799 (2003) “Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização”. Ou seja, para que a política seja implantada faz-se necessário comunicar e publicar de maneira adequada para todos os colaboradores da organização.

As politicas de segurança devem conter informações claras sobre o comportamento do colaborador ao guardar informações da organização, neste sentido, elas são fundamentais no desenvolvimento de controles efetivos para contra-atacar possíveis ameaças à segurança e integridade da informação. Essas políticas ganham seu devido destaque principalmente no que diz respeito a evitar e detectar ataques provenientes da engenharia social.

Os Planos da Segurança

As políticas de segurança são apresentadas como códigos de conduta aos quais as pessoas devem se adequar para garantir a integridade e segurança da informação. Além disso, a necessidade de uma segurança da informação efetiva deve estar alinhada com a necessidade e capacidade da organização, desta forma, é importante definir de forma clara e objetiva os requisitos almejados para satisfazê-la. É neste momento que entram em cena os planos de segurança. Eles são capazes de proporcionar um gerenciamento organizado da segurança da informação.

Plano Diretor de Segurança

O Plano Diretor de Segurança (PDS) trata-se do ponto de partida para quem pretende gerir a segurança da informação de forma organizada. É caracterizado por ser um documento dinâmico e flexível, capaz de se adequar às novas necessidades de segurança quem possam surgir no contexto organizacional. Este plano deve fornecer informações sobre como a organização deve agir frente à segurança da informação, proporcionado o seu funcionamento sob-risco controlado e em nível tolerado. Cada organização deve produzir um PDS voltado para suas necessidades, ameaças, vulnerabilidades e exposição a riscos, com o objetivo de montar um mapa de relacionamento e dependência entre processos de negócios, aplicações e infraestrutura física, tecnológica e humana.

Plano de Continuidade de Negócios

O Plano de Continuidade de Negócios (PCN) é composto por um conjunto de procedimentos previamente definidos e testados para garantir a continuidade dos processos e serviços vitais de uma organização, mesmo que sob impacto de um desastre inesperado, previamente identificado, ou seja, é voltado para a manutenção das funções críticas do negócio de uma organização durante e após a ocorrência de algum tipo de sinistro, assegurando a continuidade das atividades exercidas por cada processo dentro da organização. O PCN deve garantir a segurança dos colaboradores e visitantes, minimizar danos imediatos e perdas em uma situação de emergência, assegurar a restauração das atividades, instalações e equipamentos o mais rápido possível, assegurar a rápida ativação dos processos de negócios críticos e fornecer conscientização e treinamento para as pessoas envolvidas nos processos organizacionais.

Plano de Contingência

O Plano de Contingência deve ser elaborado para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos que devem ser executados em um estado de contingência. Ele deve ser capaz de detalhar procedimentos e capacidades para a recuperação de uma aplicação específica ou sistemas mais complexos. Por meio das estratégias de contingência é possível adotar métodos e procedimentos que auxiliam a tomada de decisão quando uma situação de risco ocorrer.

Plano de Administração de Crise

Este plano possui como premissa definir, de forma detalhada, o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência de algum incidente que coloca em risco a segurança da informação. Além disso, o Plano de Administração de Crise deve definir os procedimentos que serão executados pela mesma equipe no período de retorno a normalidade. Como exemplo deste plano é possível citar o comportamento da organização na comunicação de um fato à imprensa .

Plano de Continuidade Operacional

O Plano de Continuidade Operacional possui como premissa, definir os procedimentos para a contingência dos ativos que suportam cada processo de negócio, objetivando diminuir o tempo de indisponibilidade e, consequentemente, os impactos potenciais ao negócio. A orientação para a execução de ações diante de uma queda da Internet exemplifica os desafios organizados por este plano.

Plano de Recuperação de Desastres

Este plano é incumbido de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, com o objetivo de restabelecer o ambiente e as condições originais de operação. O Plano de Recuperação de Desastres serve ao propósito de juntar todos os detalhes do processo de negócio, sendo este nível de detalhe vital porque, no caso de uma emergência, o plano pode ser a única coisa que restou do seu centro de dados (backups, por exemplo) para ajudar na reconstrução e restauração das operações.

Referências

ACADEMIA LATINO AMERICANA DE SEGURANÇA DA INFORMAÇÃO. Segurança da Informação. Disponível em: <https://www.microsoft.com/brasil/technet/>. Acesso em: 12 fev. 2013.

FONSECA, Paula Fernanda. Gestão de Segurança da Informação: O Fator Humano. 2009. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda%20Fonseca%20-%20Artigo.pdf>. Acesso em: 12 fev. 2013.

ISO 17799. ABNT NBR ISO/IEC 17799:2003 – Tecnologia da Informação. Código de Prática para Gestão da Segurança da Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2003.

LAUREANO, Marcos Aurélio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. In: Revista Economia & Tecnologia, v. 8, fasc. 3, p. 38-44, 2005. Disponível em: <http://www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/economia_tecnologia_seguranca_2005.pdf>. Acesso em: 12 fev. 2013.

LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253 p.

SACCONI, Luiz Antonio. 1998. Dicionário da Língua Portuguesa, São Paulo: Atual.