Embedded Files
O estudo de caso mostra a Segurança da Informação em uma empresa, onde foram analisados os princípios básicos de confiabilidade, integridade e disponibilidade e a existência de uma Política de Segurança. Uma empresa que tenta se manter no mais alto nível de competição deve tomar, como principal ativo, a informação, a qual é tida, por sua vez, como um fator crítico.
Independentemente de a ser empresa de grande, médio ou pequeno porte, as informações sigilosas podem comprometer todas as atividades empresariais bem como o seu funcionamento e operações. O estudo de caso apresenta avaliações por meio dos problemas e das sugestões de melhoria aos pontos fundamentais encontrados.
Investigaremos situações em determinada empresa, por meio da busca de diversos fatores, a fim de evidenciar e descrever situações. A investigação consistirá em uma entrevista com gestores do setor de comércio de uma empresa fictícia, supondo o quadro de 35 colaboradores.
Foi observada a necessidade básica de implantação de segurança de dados com base nas pesquisas, para garantir mais segurança à empresa e aos objetivos negociais.
O principal objetivo é mostrar a situação atual da Segurança da Informação, por meio de uma análise da empresa fictícia, identificando ameaças e vulnerabilidades, observando os requisitos básicos da Segurança da Informação citados, anteriormente, que são: a confidencialidade, a integridade e a disponibilidade das informações.
A empresa em questão utiliza Tecnologia da Informação em seus processos, operando com o Sistema Operacional Windows Server 2003 para armazenamento de arquivos e com o Windows Server 2008 para aplicações ERP. Suponha, também, que a empresa possua 22 pontos de trabalho.
No ponto de arquivos, os funcionários acessam com usuário e senha, entretanto a senha é padrão, ou seja, o acesso é feito da mesma maneira e com as mesmas informações. Já no ponto de aplicativos, o qual é utilizado para acessar o ERP, todos têm o seu próprio acesso. Para entrar na internet, não existem nem restrições quanto ao uso, nem endereços virtuais que não podem ser acessados, então, há o acesso comunitário ao wifi. A proibição do uso de internet durante o expediente é, apenas, de cunho ético-moral, feita, verbalmente, sem regras escritas ou documentadas. Por fim, os servidores não têm antivírus.
Para mais entendimento do cenário, foi submetido um questionário com fins de observação:
É utilizada tecnologia para armazenar informações? Sim
Existe alguma política de Segurança da Informação? Não
Há o objetivo de implantar uma Política de Segurança? Não
Existe a proteção de informações computadorizadas? Não
As informações estão disponíveis a qualquer momento, para o proprietário ou para as pessoas autorizadas? Sim
Existe um cuidado com a integridade das informações, em que se aplica o controle delas, para não serem manipuladas, indevidamente? Não
Agora, imaginaremos o contexto, a seguir: você foi contratado(a) como analista de dados da empresa em questão e observou todas as informações apresentadas, anteriormente, e, tendo em vista todos os seus conhecimentos a respeito do quanto é importante a Segurança da Informação, reflita quais seriam as melhores decisões a serem tomadas, ou seja, o que deveria ser implantado, ou, então, o que deveria ser controlado pela empresa, quais tipos de políticas deveriam ser levadas em consideração.
Hoje, podemos observar que, na maioria das organizações, os funcionários têm os seus próprios usuários. Tal recurso funciona para controle de acesso, isto é, o controle de quais sites, sistemas e aplicativos cada usuário tem permissão para acessar. Serve, também, como controle de transferência de informação e recebimento de dados, assim, as empresas podem controlar os sites mais visitados, os arquivos trocados, entre outras informações.
Um tipo de política muito encontrado nas organizações também faz a assinatura de tipos de contratos. Por meio dela, o funcionário se responsabiliza e aceita a não compartilhar dados da empresa, assim, ele compromete-se com o sigilo.
A empresa estudada tem um nível baixo de maturidade relacionado à segurança das informações. Ela não se preocupa com riscos expostos, confidencialidade, integridade e disponibilidade, conforme indicado por Silva, Carvalho e Torres (2003) e Dantas (2011). Logo, conseguimos destacar o problema a partir do caso descrito: a ausência de Política de Segurança da Informação. Podemos, então, refletir sobre os seguintes aspectos:
Para o estudo de caso, existe a necessidade da criação de uma padronização, em que estejam estabelecidas as Políticas da Segurança Empresarial, como afirmam Silva, Carvalho e Torres (2003), elementos formais definem objetivos da organização se tratando de Segurança da Informação. Por isso, é possível observar como parte da reflexão:
Ausência de controle dos arquivos da rede
Os arquivos dos computadores, podem ser acessados por todos da empresa, portanto, verifica-se a falta de proteção aos arquivos, o que, logicamente, não garante confidencialidade e integridade de informações. A proposta de implementação de controles de acessos a arquivos, apenas, para autorizados garante a integridade de informação. Segundo Silva, Carvalho e Torres (2003), alguns métodos garantem a confidencialidade sem impedir o acesso de autorizadas, mantendo, assim, a integridade, a qual é essencial na garantia da confiabilidade das informações.
Inexistência de regras para acessos e usos de internet
Para Dantas (2011), a internet pode possibilitar portas de vulnerabilidade, desse modo, o acesso sem controle da rede wifi pode comprometer as informações. Entretanto, conforme Silva, Carvalho e Torres (2003), obter informação e não a acessar é como não ter informação nenhuma. Para estes problemas, recomenda-se a inclusão de padronização sobre o uso da internet e restrições de acesso de dispositivos móveis ao uso de wifi.
Por fim, recapitulando, apresentamos os conceitos definidos por autores sobre Segurança de Informação, dando enfoque aos princípios básicos: a confidencialidade, a integridade e a disponibilidade. Mostramos situações precárias em uma empresa fictícia, para demonstrar a aplicação dos princípios básicos da Segurança da Informação e as soluções aos problemas.
Em uma corporação, as informações são importantes e devem ser o ativo essencial do negócio, assim, elas precisam de proteção. O objetivo é provocar a reflexão a respeito dos cuidados que foram tomados graças à Segurança de Informações e, dessa forma, contribuir para a conscientização da importância dela e, também, para o fato de que essa segurança deve ser vista como estratégia de negócio.
Para Vancim (2016), a informação se apresenta, em nosso dia a dia, no contexto profissional, ou seja, em organizações, elas são muito importantes e impactam as tomadas de decisões. A informação possui um ciclo de vida: ela nasce com a produção, tem um tempo de vida útil e, durante este período, é manuseada, utilizada interna e externamente, transportada por diversos meios e armazenada, por fim, morre ao ser destruída (DANTAS, 2011).
Segundo Dantas (2011), a vulnerabilidade é uma fraqueza que pode ser afetada por uma ou mais ameaças que causam danos. Existem em vários locais, por exemplo, em instalações físicas sem proteção contra enchentes, contra incêndio, etc.; na falta de políticas de segurança; na falha no controle de acesso e de uso de materiais ou na utilização, com total liberdade, de equipamentos.
A informação é muito importante. Fontes (2008) cita que todas informações eram armazenadas, sem muita segurança, em papéis dentro de gavetas, nas empresas. Hoje em dia, as informações, independentemente de suas tecnologias, são de relevante preocupação dos empresários. Conforme Dantas (2011) A Segurança da Informação é a proteção informacional quanto a vários tipos de ameaças, de modo a garantir a continuidade do negócio, a minimizar o risco para ele e a maximizar o retorno sobre o investimento e as oportunidades de negócio (DANTAS, 2011).
Em termos de Segurança da Informação, para Fontes (2008), é necessário considerar informações tecnológicas ou não tecnológicas, ou seja, informações no ambiente, informações em papéis e em pensamentos pessoais. A informação é o elemento fundamental a todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de muito valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação (FONTES, 2011). Segundo Silva, Carvalho e Torres (2003), é necessário ter, como objetivo para a proteção, a implantação de sistemas que tenham, sem sombra de dúvidas, a inspeção e a detecção de ameaças, pois tais sistemas reduzem o impacto caso, um dia, as ameaças sejam executadas.
A confidencialidade age no sentido de que a competitividade entre as empresas depende das informações que elas detêm, então, para manter a confidencialidade, deve-se impedir o acesso de pessoal não autorizado.
A integridade, por sua vez, é um requisito que garante que os dados e as informações sejam processados e transmitidos no sistema informatizado. As mínimas alterações podem causar diversos danos bem como comprometer a integridade dos dados informatizados. Sendo assim, a verificação deve ser executada automática ou manualmente, dependendo do grau de importância das informações.
Já a disponibilidade tem a ver com o acesso autorizado, o qual é essencial à continuação das atividades empresariais. A disponibilidade permite o acesso, não a posse da informação, mantendo, como princípio, os direitos de acesso, sem descartar a confidencialidade. Logo, para pessoas não autorizadas, a consulta das informações não deverá ficar disponível, diferentemente do pessoal autorizado.
A partir dos conhecimentos adquiridos relacionados à segurança das informações, dados e outros aspectos relacionados, será possível, provavelmente, auxiliar na resolução dos problemas apresentados na empresa descrita no estudo de caso e em diversas outras empresas que apresentam problemas nessa segurança.
Por fim, diante de todos os aprendizados a respeito do assunto, os apontamentos e as reflexões, reforçamos a importância do controle bem como da confidencialidade sobre as informações empresariais e pessoais. A partir dos nossos conhecimentos, poderemos responder algumas questões, como: de que forma é possível aumentar a segurança das informações nesta e em outras empresas que não têm políticas de segurança? Como melhorar os processos e eliminar os problemas de vazamento de informações?
Page updated
Report abuse