Artigos
[16/07/2010]
O IMPACTO DA SEGURANÇA DA INFORMAÇÃO NO CONHECIMENTO EMPRESARIAL
Por Fabiano Rabaneda
Nas últimas décadas observamos a transformação da economia, tornando o conhecimento como ativo mais importante do negócio.
Numa reserva baseada em conhecimento, o que importa é a inovação, sendo vista como único fator de competitividade. Inovação é a capacidade de criar o novo, vem de gente e não de máquina, estreitando-se no empreendedorismo como índice de raridade e importância.
Quanto mais raro, mais importante o conhecimento. E tudo o que é raro precisa ser adequadamente protegido.
Notadamente, o aumento da interconectividade, que propicia acesso amplo à informação ofertando inúmeras possibilidades de inovação, expõe o negócio a um crescente número de variedades de ameaças e vulnerabilidades.
Torna-se necessária para a organização implementar medidas de controles adequados, com objetivo de preservar a confidencialidade, integridade e disponibilidade das informações, garantindo que os objetivos do negócio sejam atendidos.
Conhecemos que a informática é ponto fundamental de apoio a sistemas gerenciais organizados, assegurando competitividade mediante controle do fluxo de caixa, estoque e recursos humanos.
Essa visão está incorporada aos Sistemas Integrados de Gestão (Enterprise Resource Planning), disponibilizando todos os dados do fluxograma num único banco de dados, trafegando a informação atualizada em tempo real (real time), sempre propondo melhorias aos processos administrativos e de apoio à produção mediante a verticalização das decisões empresariais.
Na transmissão das informações, através da mineração de dados (data mining) realizada mediante consulta ao repositório de dados, solicitadas pelas as entidades estratégicas (planejamento), táticas (organização) e operacionais (execução) da organização, há a necessidade de assegurar que não incidirão ameaças à segurança, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, danos causados por códigos maliciosos, ataques DoS (denial of services).
A eficácia da segurança diminui a cada tempo, uma vez que com a distribuição dos sistemas, em especial na adoção da Computação em Nuvem (Clould Computing), há redução na eficácia da implementação de controles de acesso centralizados.
Nessa orbe, a segurança pretendida não é obtida apenas com regras (rules) e dispositivos eletrônicos de contenção de acesso (firewall). Há a necessidade de políticas claras, regulamentos, processos definidos e procedimentos com base de controle jurídico.
Os pilares efetivos de aplicação dessas contenções estão alicerçados com a participação dos setores de Tecnologia da Informação, Jurídico e Recursos Humanos da organização.
Como controle de tecnologia está na utilização de softwares que monitoram as atividades dos empregados, no ambiente corporativo, bloqueando o acesso a sites indesejados e controlando o tráfego de e-mail.
Mesmo o com uso da tecnologia de contenção, existem meios eficazes de burlar a restrição imposta, havendo necessidade do departamento jurídico em elaborar regulamentos de segurança da informação, termos de usos dos sistemas, procedimentos de instalação de softwares gratuitos e licenciados, análises e adaptações de contratos de trabalho e acompanhamento da jurisprudência aplicada ao tema com objetivo de atualizar a segurança conforme o entendimento predominante dos E. Tribunais, considerando as inúmeras peculiaridades que envolvem o tema e a rapidez com que evolui a tecnologia.
O último controle vem do departamento de Recursos Humanos, responsável por realizar treinamentos e conscientização dos usuários, colocando-os a par da legislação e dos procedimentos adotados, evitando que as pessoas -- elo mais frágil dos sistemas de segurança -- cometam transgressões sem consciência da ilegalidade.
Sendo identificados os requisitos de segurança da informação, depois que as decisões para o tratamento de incidentes tenham sido tomadas, é importante que os controles apropriados sejam selecionados e implementados para assegurar que os riscos elencados sejam reduzidos a níveis aceitáveis.
São pontuais os fatores de risco do sucesso na implantação de mecanismos da segurança da informação dentro de uma organização, estando ligados a objetivos e finalidades que reflitam o planejamento estratégico do negócio.
Uma abordagem e estrutura adequada de implementação, manutenção e monitoramento são premissas para que a segurança da informação seja consistente com a cultura organizacional.
O comprometimento e apoio visível de todos os níveis gerenciais, com a participação dos chefes departamentais, funcionários e outras partes envolvidas, são garantias de um bom entendimento dos requisitos de segurança proposta na avaliação de riscos, alcançando a conscientização necessária para a distribuição de diretrizes e normas sobre a política adotada.
Quanto ao programa de projeto, existe necessidade da organização realizar provisão de recursos financeiros para a atividade de gestão de segurança da informação, adotando um sistema de medição que seja utilizado para avaliar o desempenho da gestão de segurança da informação e obtenção constante de sugestões para a melhoria do procedimento.
As diretrizes devem ser aplicadas conforme as políticas insculpidas na ISSO/IEC 13335-1:2004 e ABNT NBR ISSO/IEC 17799:2005, combinada com a avaliação de risco da ABNT ISSO/IEC Guia 73:2005.
É hora de se preocupar com esse assunto. Segundo estudo realizado pela Cyber-Ark, 35% dos profissionais de Tecnologia da Informação admitiram que já foram vítimas de vazamento de informações confidenciais. De acordo com o relatório, 37% dos entrevistados creditam o furto das informações a ex-funcionários, e 28% lista a falha humana como possíveis motivos do vazamento de informações. O levantamento foi realizado no Estados Unidos e Inglaterra e ouviu 400 administradores seniores de TI. (fonte: ComputerWorld)
Por Fabiano Rabaneda
Versão para impressão
Enviar para amigo
