| |
| Acadêmico(a): Douglas Rosemann |
| Título: Software para Avaliação da Segurança da Informação de uma Empresa Conforme a Norma NBR ISO/IEC 17799 |
| |
| Introdução: |
| Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local (Dias, 2000). Com as mudanças tecnológicas e a difusão do uso dos computadores por todas as áreas da empresa, essa simplicidade nos procedimentos de segurança deixou de existir. A complexidade aumentou não só em função do número de pessoas que têm acesso às informações quanto das diferentes formas através das quais essas informações podem ser acessadas. Com isso, além da segurança física (controle de acesso, locais reservados etc.) surge à necessidade de se criar controles lógicos, de forma a aumentar a probabilidade de que somente pessoas autorizadas possam acessar, modificar e / ou excluir as informações armazenadas em meio digital. Conforme ressalta Albernaz (2001), a informação é um recurso vital em todas as organizações, tendo influência em muitos aspectos do negócio e da própria sobrevivência da organização. Assim, observa-se que a informação é um ativo importante das organizações e que sua segurança é essencial tanto para o retorno dos investimentos quanto para a continuidade dos negócios. Casanas (2001) afirma que, nos anos recentes, a informação assumiu importância vital para manutenção dos negócios, os quais são marcados pela dinamicidade da economia globalizada e permanentemente on-line. Dessa forma, são poucas as organizações que não dependem da tecnologia de informações, direta ou indiretamente. Com isso, o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência. Neste sentido, desde a década de 80 vêm sendo criadas normas para segurança da informação. Em 1987 o Department Of Trade Centre (UK DTI) criou o Comercial Computer Security Centre (CCSC) o qual possuía dois objetivos principais: 1. auxiliar companhias britânicas que comercializavam produtos para segurança de tecnologia da informação através da criação de critérios para avaliação da segurança; 2. criação de um código de segurança para os usuários das informações. Em 1989 foi publicada a primeira versão do código de segurança denominado PD0003 – Código para Gerenciamento da Segurança da Informação. Em 1995 esse código foi revisado e publicado como uma norma britânica, a BS7799:1995. Essa norma foi revisada e alterada mais algumas vezes até que em 1º de dezembro de 2000 foi homologada pela International Standartization Organization (ISO) como ISO/IEC 17799:2000. No Brasil sua homologação ocorreu pela Associação Brasileira de Normas Técnicas (ABNT) sendo denominada como NBR ISO/IEC 17799:2001. Nascimento (2001) ressalta que a partir da publicação da norma NBR ISO/IEC 17799, passa a existir um referencial de aceitação internacional. Essa norma, de acordo com Saldanha (2002), estabelece um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação, além de promover a confiança nas transações comerciais entre organizações, realizadas através dos computadores. De acordo com Souza (2001), a norma NBR ISO/IEC 17799 define 127 controles divididos em 10 itens. Esta divisão tem por objetivo permitir que sejam identificadas as necessidades específicas de cada ambiente. Os tópicos propostos pela norma NBR ISO/IEC 17799 são: 1. política de segurança; 2. segurança organizacional; 3. classificação e controle de ativos de informação; 4. segurança em pessoas; 5. segurança ambiental e física; 6. gerenciamento das operações e comunicações; 7. controle de acesso; 8. desenvolvimento e manutenção de sistemas; 9. gestão da continuidade do negócio; 10. conformidade. Torna-se importante ressaltar que a norma esclarece que não é necessária a implementação de todos os tópicos integrantes. Para se definir os tópicos necessários em um dado ambiente, deve-se realizar uma análise de risco ou diagnóstico de vulnerabilidade. Para realizar essa análise, deve-se identificar quais são os ativos a serem protegidos e qual é o grau de proteção desejado. Entretanto, é importante salientar que os controles de segurança da informação são consideravelmente mais baratos e mais eficientes quando incorporados nos estágios do projeto e da especificação dos requisitos. Portanto, é essencial que a empresa tenha, ao implementar a norma NBR ISO/IEC 17799, uma visão abrangente de todos os tópicos incluídos e o grau de adequação da empresa com relação a cada um deles. A partir desse diagnóstico inicial é possível, então, realizar uma implantação planejada da norma. É dentro desse contexto que se enquadra o presente trabalho, uma vez que seu objetivo é justamente o desenvolvimento de um protótipo de Software que permita a realização de um diagnóstico inicial sobre o grau de adequação da empresa aos tópicos propostos pela norma NBR ISO/IEC 17799. |
| |
|
