Table Of Content(cid:71)(cid:70)(cid:67)(cid:224)(cid:75)(cid:64)(cid:58)(cid:56)(cid:23)(cid:59)(cid:60)
(cid:74)(cid:60)(cid:62)(cid:76)(cid:73)(cid:56)(cid:69)(cid:120)(cid:56)(cid:23)(cid:59)(cid:60)(cid:23)(cid:64)(cid:69)(cid:61)(cid:70)(cid:73)(cid:68)(cid:56)(cid:120)(cid:195)(cid:60)(cid:74)
Politica.indb 1 26/7/2010 08:39:47
(cid:56)(cid:99)(cid:89)(cid:92)(cid:105)(cid:107)(cid:102)(cid:23)(cid:67)(cid:108)(cid:96)(cid:113)(cid:23)(cid:56)(cid:67)(cid:57)(cid:60)(cid:73)(cid:75)(cid:64)(cid:69)(cid:23) (cid:23)(cid:67)(cid:108)(cid:96)(cid:106)(cid:23)(cid:63)(cid:92)(cid:105)(cid:101)(cid:88)(cid:101)(cid:23)(cid:58)(cid:102)(cid:101)(cid:107)(cid:105)(cid:92)(cid:105)(cid:88)(cid:106)(cid:23)(cid:71)(cid:64)(cid:69)(cid:70)(cid:58)(cid:63)(cid:60)(cid:75)
(cid:29)
(cid:71)(cid:70)(cid:67)(cid:224)(cid:75)(cid:64)(cid:58)(cid:56)(cid:23)(cid:59)(cid:60)
(cid:74)(cid:60)(cid:62)(cid:76)(cid:73)(cid:56)(cid:69)(cid:120)(cid:56)(cid:23)(cid:59)(cid:60)(cid:23)(cid:64)(cid:69)(cid:61)(cid:70)(cid:73)(cid:68)(cid:56)(cid:120)(cid:195)(cid:60)(cid:74)
(cid:76)(cid:100)(cid:88)(cid:23)(cid:77)(cid:96)(cid:106)(cid:129)(cid:102)(cid:23)(cid:70)(cid:105)(cid:94)(cid:88)(cid:101)(cid:96)(cid:113)(cid:88)(cid:90)(cid:96)(cid:102)(cid:101)(cid:88)(cid:99)(cid:23)(cid:103)(cid:88)(cid:105)(cid:88)(cid:23)(cid:88)(cid:23)(cid:106)(cid:108)(cid:88)(cid:23)(cid:61)(cid:102)(cid:105)(cid:100)(cid:108)(cid:99)(cid:88)(cid:131)(cid:129)(cid:102)
Politica.indb 3 26/7/2010 08:39:47
© 2010, Elsevier Editora Ltda.
Todos os direitos reservados e protegidos pela Lei no 9.610, de 19/02/1998.
Nenhuma parte deste livro, sem autorização prévia por escrito da editora, poderá ser reproduzida ou
transmitida sejam quais forem os meios empregados: eletrônicos, mecânicos, fotográficos, gravação ou
quaisquer outros.
Copidesque: Adriana Kramer
Revisão: Marco Antônio Corrêa
Editoração Eletrônica: SBNIGRI Artes e Textos Ltda.
Elsevier Editora Ltda.
Conhecimento sem Fronteiras
Rua Sete de Setembro, 111 – 16o andar
20050-006 – Centro – Rio de Janeiro – RJ – Brasil
Rua Quintana, 753 – 8o andar
04569-011 – Brooklin – São Paulo – SP – Brasil
Serviço de Atendimento ao Cliente
0800-0265340
[email protected]
ISBN 978-85-352-3815-0
Nota: Muito zelo e técnica foram empregados na edição desta obra. No entanto, podem ocorrer erros
de digitação, impressão ou dúvida conceitual. Em qualquer das hipóteses, solicitamos a comunicação
ao nosso Serviço de Atendimento ao Cliente, para que possamos esclarecer ou encaminhar a questão.
Nem a editora nem o autor assumem qualquer responsabilidade por eventuais danos ou perdas a
pessoas ou bens, originados do uso desta publicação.
CIP-Brasil. Catalogação-na-fonte.
Sindicato Nacional dos Editores de Livros, RJ
_________________________________________________________________________
A289p Albertin, Alberto Luiz
Política de segurança de informações: uma visão organizacional para
sua formulação / Alberto Luiz Albertin, Luis Herman Contreras Pinochet. –
São Paulo: Elsevier, 2010.
Apêndice
Inclui bibliografia
ISBN 978-85-352-3815-0
1. Sistemas de informação gerencial – Medidas de segurança.
2. Gerenciamento de recursos da informação – Medidas de segurança.
3. Sistemas de recuperação da informação – Medidas de segurança.
4. Empresas – Redes de computadores – Medidas de segurança.
5. Tecnologia da informação. I. Pinochet, Luis Herman Contreras.
II. Título.
10-1770. CDD: 658.4038
__________________________________________________________C_D__U_:_ 0__0_5_.9__4
Politica.indb 4 26/7/2010 08:39:47
Dedicatória
À Rosa, pela sua constante presença e apoio, e à Júlia, que me ensina cons-
tantemente o valor dos desafi os, das descobertas e das conquistas, com muita
alegria e amor.
Alberto Luiz Albertin
Aos meus pais, Hernan e Gloria, pelo amor, afeto e por terem me ensinado os
maiores valores da vida, além de terem acreditado neste sonho.
Luis Hernan Contreras Pinochet
Politica.indb 5 26/7/2010 08:39:47
Capítulo
Introdução à política de
1
segurança de informações
As organizações convivem atualmente em um mundo competitivo e al-
tamente globalizado, no qual a informação vem sendo considerada por mui-
tos como o mais valioso ativo das empresas. Broderick (2001) considera que a
informação é o recurso mais crítico no mundo dos negócios e que as empresas
devem gerenciar os riscos associados às informações como uma prática pa-
drão (SCUDERE, 2007).
Portanto, a informação é de extrema importância para a organização e
para seus negócios, assim como para seus concorrentes. Considerando que,
cada vez mais, a realização de transações econômicas depende da informação,
fi ca claro que sua indisponibilidade acarreta prejuízo fi nanceiro e faz dela tal-
vez o bem mais valioso da organização. Por isso, ela precisa ser preservada e
bem gerenciada.
Carvalho e Eduardo (1998) consideram que a informação deve subsi-
diar três níveis identifi cados em uma organização: o institucional, o interme-
diário e o operacional.
As informações de nível institucional estão voltadas para planos es-
tratégicos. Essas informações devem possibilitar a observação das variáveis
presentes nos ambientes internos, e referem-se às decisões que norteiam os
rumos da organização e têm por fi nalidade auxiliar no monitoramento e na
avaliação do desempenho, no planejamento e nas decisões de um staff geren-
cial hierarquicamente superior, com a responsabilidade de conduzir as dife-
rentes áreas de uma organização.
Para esses mesmos autores, as informações do nível intermediário de-
vem permitir o controle gerencial e são dirigidas para o uso efi ciente dos re-
cursos da empresa, a fi m de alcançar seus objetivos. Devem, ainda, permitir o
monitoramento e a avaliação de seus processos, possibilitar o planejamento e
facilitar a tomada de decisão no nível gerencial.
Politica.indb 1 26/7/2010 08:39:10
Alberto Luiz Albertin – Luis Hernan Contreras Pinochet | Política de Segurança de Informações ELSEVIER
Já as informações de nível operacional devem possibilitar o monito-
ramento do espaço geográfi co sob sua responsabilidade, o planejamento e a
tomada de decisão de nível operacional, sendo voltadas para a execução das
tarefas essenciais ao funcionamento da organização.
Assim, para Moresi (2000), a informação deve atender primordialmente
à necessidade de uma pessoa ou de um grupo de pessoas e estar disponível na
hora e no local certo e de forma correta. A importância da informação é dire-
tamente proporcional ao seu papel no processo decisório.
Segundo Peterlini (2004), uma informação deve: ter qualidade, ou seja,
um mínimo de conteúdo e consistência para permitir ao gerente tomar algum
tipo de decisão; ser adequada, isto é, estar voltada para a questão a decidir; e
ser oportuna, ou seja, existir no momento certo, pois, se for disponibilizada
muito antes ou depois de necessária, perderá o seu valor. A clareza, a veraci-
dade, a organização e o fl uxo adequados são qualidades imprescindíveis para
tornar as informações subsídios para um processo decisório ágil.
Assim, segundo Carvalho e Eduardo (1998), para que uma informação
seja efi caz, é importante uma coleta contínua, regular e confi ável, portanto,
torna-se essencial conhecer sua origem, para garantir sua fi dedignidade, bem
como sua relevância, isto é, sua importância no processo decisório. Sobretu-
do, ela deve estar oportunamente disponível, ou seja, ser facilmente acessível
ou recuperável, para possibilitar uma resposta adequada, em tempo ideal, que
permita subsidiar uma tomada de decisão.
1.1 Breve apresentação do papel dos gestores na tomada
de decisão nas organizações diante da adoção da
tecnologia de informação
É importante considerar que cabe aos gestores o exercício de poder den-
tro de qualquer organização. Nesse sentido, tal prática atua sobre duas frentes:
no âmbito institucional, de modo que a organização possa cumprir seu papel
de produzir valores de uso; e na dimensão dos funcionários, estabelecendo a
possibilidade de construção de espaços de relação entre os funcionários que
poderão mobilizar-se individual e coletivamente para a produção de resulta-
dos (MOTTA, 1997).
O exercício do poder e a tomada de decisão envolvem as dimensões téc-
nica, administrativa e política. Assim, o poder técnico defi ne-se a partir dos
2
Politica.indb 2 26/7/2010 08:39:11
Capítulo 1 | Introdução à política de segurança de informações
conhecimentos utilizados em quaisquer dos níveis de funcionamento dos di-
ferentes modelos de organizações nos setores: indústria, comércio e serviços.
É a capacidade de gerar, aglutinar e lidar com a informação de características
diferentes, em que se pode recorrer a diversas formas de conhecimento: for-
mal ou informal, científi co ou popular, entre outros.
O poder administrativo, segundo Mishima (1995), corresponde ao
desenvolvimento de atividades como processos que manejam recursos ma-
teriais, humanos e tecnológicos e implica capacidade de se apropriar de re-
cursos e distribuí-los, bem como manejar aqueles existentes para atingir o
objetivo estipulado ao desenvolvimento do trabalho. Já o poder político seria
a capacidade de mobilizar grupos sociais em demanda ou reclamações de suas
necessidades e seus interesses.
Vasconcellos et al. (2002) destacam que o processo decisório conduz a
assumir compromissos e que se trata de um processo de escolha, que a cada
dia se torna mais difícil, dada a simultaneidade de problemas e sua complexi-
dade, cada vez mais crescente.
Percebe-se que, quanto mais munido de informações padronizadas e
compatibilizadas estiver o ator social, mais fácil será tomar uma decisão acer-
tada. Já as informações são obtidas por um processo sistemático de obser-
vação de ações e atitudes, por um sistema de informação ofi cial ou por um
processo de avaliação.
Na atualidade, entende-se que os gestores necessitam ter uma visão am-
pla, com maior responsabilidade e compromisso, não apenas com o cliente, in-
dividualmente, mas sobretudo com a comunidade, enfi m, com a sociedade. É
necessário que desempenhe um papel de agente de mudança organizacional e
social, investindo na inovação do processo de trabalho, e, ainda, seja um agente
integrador, tanto no ambiente interno da organização como em contato com a
comunidade externa, devendo, assim, estar preparado para atender às necessi-
dades presentes (MOTTA, 1997).
Os sistemas de informação (SI) têm como objetivo central o auxílio no
processo de tomada de decisão na organização. Se esse objetivo não for alcan-
çado, o SI se tornará inefi ciente e inefi caz. Seu foco deve estar ligado à princi-
pal atividade da organização.
As trocas de informações nos vários setores de uma organização pro-
vêm da relação de interdependência entre os vários subsistemas. Essas prá-
3
Politica.indb 3 26/7/2010 08:39:11
Alberto Luiz Albertin – Luis Hernan Contreras Pinochet | Política de Segurança de Informações ELSEVIER
ticas são essenciais para o funcionamento efetivo das funções empresariais e
dos respectivos sistemas de informação (REZENDE; ABREU, 2003).
Nesse sentido, os gestores de tecnologia de informação (TI) precisam ter
uma visão executiva, entender das necessidades dos negócios, participando
das reuniões da alta direção e estar sempre alinhados com os próximos passos
da empresa. Mas, para que isso ocorra, é necessário que se quebrem alguns
paradigmas estabelecidos em TI, que ainda é vista muito mais como um setor
de custo para a empresa do que como um diferencial competitivo dependendo
do setor em que a organização opera (ALVES, 2006).
1.2 Breve apresentação da gestão da segurança e da
política de segurança de informações
Sêmola (2003) avalia como os avanços tecnológicos têm proporcionado
às empresas maior efi ciência e rapidez na troca de informações e tomada de
decisões. Portanto, o tema da gestão da segurança da informação é um grande
desafi o. Evidente que, quanto mais complexo é o ambiente computacional,
quanto mais recursos são disponibilizados aos usuários, e quanto mais infor-
mação é requerida, mais difícil se torna garantir a confi dencialidade e integri-
dade das informações.
Nesse contexto, a responsabilidade da gestão da segurança da informa-
ção deve ser encarada como uma prática administrativa compartilhada por
todos os integrantes da organização, exigindo, para a efi cácia das medidas de
proteção, o estabelecimento de uma estrutura organizacional capaz de plane-
jar e implementar a segurança e os controles desejados (MENEZES, 2006).
Beal (2005) verifi cou que existe uma grande tendência nas organizações
de se atribuir as atividades e responsabilidades de segurança à unidade de
tecnologia da informação. É comum que o orçamento de segurança esteja su-
bordinado ao orçamento de tecnologia de informação (TI), e que as ações de
segurança se resumam às iniciativas desenvolvidas pela equipe de tecnologia.
Alves (2006) considera que, embora isso ocorra naturalmente, pelo fato
de a maioria dos problemas de segurança relacionar-se, de uma forma ou de
outra, a componentes de tecnologia de informação e informações armazena-
das em computadores, é evidente que esse tipo de simplifi cação das funções de
segurança coloca em risco a qualidade da segurança alcançada, ao considerar
os aspectos tecnológicos de segurança fora do contexto que inclui aspectos
físicos, humanos e de gestão de processos.
4
Politica.indb 4 26/7/2010 08:39:11
Capítulo 1 | Introdução à política de segurança de informações
Mesmo que exista um esforço interno na unidade de tecnologia de in-
formação para desenvolver também iniciativas relacionadas à proteção de ati-
vos físicos e à conscientização de gerentes e funcionários para as questões não
tecnológicas da segurança, o resultado nunca será o mesmo que o obtido com
a existência de uma estrutura mais completa e integradora de todos os proces-
sos de segurança. Nesse sentido, Fugini e Bellettini (2004) verifi caram em suas
pesquisas que a segurança da informação exige uma abordagem que envolva a
cúpula estratégica da organização, como apresentado a seguir:
[...] a segurança da informação exige uma abordagem em nível estraté-
gico plenamente integrada ao negócio da organização. Sem isso, será sem-
pre uma área com pouca importância, reativa, passiva, atuando somente
quando problemas ocorrerem. Infelizmente, a tendência de não implan-
tação de procedimentos de segurança até que ocorra algum problema
é bastante comum na literatura [...] (FUGINI; BELLETTINI, 2004, grifo
nosso).
Nesse contexto, foi elaborada a norma NBR ISO/IEC 17799: Tecnologia
da informação – código de prática para a gestão da segurança da informação,
a qual apresenta em seu corpo um conjunto de diretrizes que pode auxiliar
as empresas na busca da melhoria da segurança de suas informações críticas.
A norma NBR ISO/IEC 17799 também sugere a criação de fóruns apro-
priados de gestão, com liderança de direção, para aprovar a PSI – política
de segurança de informações, atribuir as funções de segurança e coordenar
a implementação da política de segurança. A norma recomenda ainda que
exista um gestor responsável em última instância para todos os aspectos rela-
cionados à segurança da informação na organização.
O código de práticas para segurança da informação, apresentado pela
NBR ISO/IEC 17799 como um padrão ofi cial internacionalmente aceito, ado-
ta uma postura sistêmica e integrada. Constitui-se, por excelência, em uma
base sólida para gerenciadores de tecnologia de informação que desejam apri-
morar gradativamente a segurança de suas informações, tornando-as cada vez
mais íntegras e confi áveis.
Alves (2006) relaciona outros benefícios que as organizações poderão
ter na adoção da norma NBR ISO/IEC 17799: segurança corporativa apri-
morada, planejamento e gerenciamento mais efetivos, auditoria de segurança
mais segura e precisa e redução de responsabilidades legais.
5
Politica.indb 5 26/7/2010 08:39:11
Alberto Luiz Albertin – Luis Hernan Contreras Pinochet | Política de Segurança de Informações ELSEVIER
Menezes (2006) verifi ca que em uma política de segurança se fornecem
os insumos para a elaboração da documentação da política de segurança da
informação, análise crítica e avaliação. O patrocínio da alta administração,
na elaboração e disseminação desses padrões, é de fundamental importância
para o estabelecimento de um modelo de comportamento corporativo volta-
do à proteção das informações.
Solms (1999) considera que a tendência atual é pela difusão de códigos
de práticas em segurança em organizações que sejam intensivas em informa-
ção, necessitem de compartilhamento e realizem colaboração e comunicação
entre pessoal interno, colaboradores e parceiros de negócios.
Todavia, para Ramos e Cavalcante (2005), sabe-se que adotar práticas
mais avançadas de segurança de informação não é trivial, devido à complexi-
dade, ao custo e ao tempo de implantação de tais políticas. Isso se torna mais
crítico em organizações de menor porte.
Scudere (2007) também reforça a ideia de que um sistema de gestão de
segurança deve ser capaz de acompanhar essas alterações e avaliar seu impac-
to sobre as medidas de proteção implantadas. Essas medidas podem rapida-
mente perder a efi cácia, colocando em risco a integridade, disponibilidade e
confi abilidade de informações essenciais para o negócio.
Peltier (2002) e Peltier et al. (2003) defi nem que, na estrutura organiza-
cional a ser encarregada da gestão da segurança da informação, é importante
levar em consideração uma série de variáveis organizacionais. Em toda or-
ganização, a forma como estão estruturadas as pessoas em termos formais e
informais afeta profundamente o desempenho.
Mintzberg (2003) verifi cou que uma organização bem-sucedida apre-
senta uma coerência entre seus parâmetros de design (grau de especialização,
de padronização das tarefas e na descentralização de poder, forma de agrupa-
mento em unidades e tamanho de cada unidade, sistemas de planejamento,
controle e autoridade formal) e os fatores situacionais existentes: tamanho da
organização, sistema técnico (diz respeito à maquinaria e às técnicas relacio-
nadas à produção de bens e serviços na organização), grau de estabilidade e
complexidade do ambiente externo, entre outros.
Num mercado tão complexo e em constante evolução, as empresas não
conseguem sobreviver quando apenas alguns dos gestores estão envolvidos na
formulação e implementação de estratégias. Independentemente do nível e da
6
Politica.indb 6 26/7/2010 08:39:11
