| |
| Acadêmico(a): Douglas Rosemann |
| Título: Software para Avaliação da Segurança da Informação de uma Empresa Conforme a Norma NBR ISO/IEC 17799 |
| |
| Conclusão: |
| Para proteger a informação de diversos tipos de ameaças, é necessário que exista a cultura de segurança da informação, para que a continuidade dos negócios esteja garantida, minimizando assim, os danos aos negócios e maximizando o retorno dos investimentos e as oportunidades de negócio. Sendo assim é possível afirmar que as informações que estão disponibilizadas para pessoas não autorizadas podem gerar danos e prejuízos a organização. É importante que esta conscientização seja discutida dentro da organização bem como pelos gerentes que fazem parte dela, buscando constantemente a segurança dos dados e informações em suas organizações. Acessos às redes não podem ser controlados totalmente, pois a possibilidade de violação existe e ocorre quando menos se espera, sendo as soluções de segurança as únicas que podem servir como base para a solução. Um dos objetivos da norma NBR ISO/IEC 17799, é garantir que a integridade, a disponibilidade, e a confiabilidade dos recursos incorporados à informação, estejam presentes. Os controles essenciais, bem como as boas maneiras, também são tratados pela norma, os quais precisam ser separados para que o check-list fique consistente. O mesmo, que se encontra no Anexo A, foi gerado a partir da leitura detalhada da norma, com apoio de livros e artigos para consultas de dados técnicos. O resultado desta leitura gerou uma listagem de no total de cento e setenta e cinco tópicos e quinhentos e setenta e quatro perguntas, todos dando ênfase sobre a segurança da informação. Este check-list se encontra inserido no Banco de Dados gerado para o protótipo, para ser utilizado em avaliações prontamente. Realizando-se uma análise do presente trabalho, observa-se que o objetivo principal foi atingido, uma vez que o software desenvolvido auxilia na avaliação do grau de adequação de uma empresa à norma NBR ISO/IEC 17799. Apesar de não ter sido utilizado em situações reais (em empresas), o software forneceu os resultados desejados nas simulações realizadas. O software permite que sejam incluídos novos tópicos e perguntas, o que permite adequá-lo, rapidamente, às mudanças da norma ou da empresa. Adicionalmente, o software quantifica, através das notas estabelecidas pelo avaliador, o grau de conformidade da empresa em relação a cada tópico da norma. Ao concluir uma avaliação, o usuário pode imprimir um relatório apontando críticas sobre a situação da empresa frente a cada item da norma. É a partir desse relatório é que a empresa pode estabelecer as estratégias e ações a serem implementadas para melhorar o grau de adequação com relação à norma NBR ISO/IEC 17799. Trabalhos que são fundamentados sobre normas de padronização, são considerados às vezes, como não importantes para utilização futura. Mas foi comprovado com este trabalho que o critério segurança é importante, e que organizações que não estão com suas informações bem resguardadas, correm sérios riscos de ver perder parte de suas informações, ou senão todo, a qualquer hora. E ainda aquelas que ignorarem estas informações, ficarão ultrapassadas perante as outras organizações que investem nesta área. Vale lembrar, que não somente normas de segurança são importantes, outras normas também possuem sua grande importância, isto pode ser comprovado pela procura dessa padronização, e pelas organizações que já adotaram estes padrões. O produto final gerado, a partir deste trabalho, está pronto para ser utilizado em um processo de avaliação da segurança da informação de uma organização. Pode-se dizer que este trabalho é um dos primeiros trabalhos deste nível sobre a norma NBR ISO/IEC 17799, e já está conceitualmente adaptado para a realidade, ao que se refere a segurança nas organizações em geral. |
| |
|
