PROTEJA O MAIOR BEM DA SUA EMPRESA, A INFORMAÇÃO,
COM: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Byron Lanverly de M. Júnior1, Érica Acioli da Silva1, José Humberto
Souza1, Rodrigo Pereira Neves1, Francisco Abud Nascimento2, Almir Pereira
Guimarães2, Hélio Martins do Nascimento Junior2.
1
2
Pós-Graduandos - FAL
Curso de Sistemas de Informação – Faculdade de Alagoas (FAL)
Rua PIO XII, 70, Jatiúca , Maceió, AL – Brasil
{lanverly , erica.acioli, rodrigo.pneves, heliomartins79} @gmail.com,
[email protected], [email protected], [email protected]
Resumo. Este artigo apresenta uma Política de Segurança da Informação
para uma empresa proteger seu maior bem, que é a Informação. Visando
mostrar as características da segurança da informação num ambiente de T.I,
exibindo aspectos a serem levados em conta na elaboração de uma política de
segurança da informação.
1. Introdução
Atualmente a economia mundial evoluiu de um modelo industrial para um
modelo baseado em conhecimento, assim como a ética, a segurança deve ser
entendida como parte fundamental da cultura interna da empresa, ou seja, qualquer
incidente de segurança subtende-se como alguém agindo contra a ética e os bons
costumes regidos pela empresa. As ameaças à vulnerabilidade nos sistemas
computacionais vêm crescendo em uma velocidade proporcional e muitas vezes
superior ao avanço tecnológico, dessa forma, faz-se necessário implementar uma
política de segurança.
Uma política de segurança de uma empresa define as normas e procedimentos
que melhor atendam ao propósito da mesma, minimizados os riscos com perdas e
violações de qualquer um de seus bens. Em toda política de segurança da informação
faz-se necessário ter uma idéia clara daquilo que se quer proteger, contra quem
queremos defender e quais obstáculos que essa política oferece para funcionamento
normal do sistema. Podemos assumir que todos os dados referentes a uma empresa
fazem parte do seu patrimônio. Esta Política de Segurança da Informação restringe-se
à defesa das informações e sistemas computacionais de software e hardware da
empresa. Assim como ao acesso físico e lógico às informações.
O restante do artigo está organizado da seguinte forma: Na seção 2, explana a
importância da segurança da informação. Na seção 3, mostra a implantação da política
de segurança da informação. Na seção 4, as considerações finas são expostas.
2. A importância da segurança da informação
2.1. Dados e informação
Do ponto de vista da teoria das decisões, a organização pode ser visualizada
como uma série estruturada de redes de informação que ligam as necessidades de
informação de cada processo decisório às fontes de dados. Embora separadas, essas
redes de informação sobrepõem-se e interpretam-se de maneira complexa.
CHIAVENATO (2000) diz que, os dados são os elementos que servem de base
para a formação de juízos ou para a resolução de problemas. Um dado é apenas um
índice, um registro, uma manifestação objetiva, passível de uma análise subjetiva, isto
é, existe a interpretação da pessoa para a sua manipulação. Em si, os dados têm pouco
valor. Todavia, quando classificados, armazenados e relacionados entre si, os dados
permitem a obtenção da informação. Assim, os dados isolados não são significativos e
não constituem informação. Os Dados exigem processamento (classificação,
armazenamento e relacionamento), para que possam ganhar significado e
conseqüentemente informar. A Informação apresenta significado e intencionalidade,
aspectos que a diferenciam do conceito de Dado.
As informações constituem um dos objetos de maior valor para as empresas.
BALLONI (2002) diz que, atualmente a informação é de valor altamente significativo e
pode representar grande poder para quem a possui, seja pessoa, seja a empresa. A
informação apresenta-se como recurso estratégico sob a ótica da vantagem
competitiva. Possui valor, pois está presente em todas as atividades que envolvem
pessoas, processos, sistemas, recursos financeiros, tecnologias e etc.
2.2 Segurança da informação
A empresa pode ser constituída por equipamentos, tecnologias e pessoas. Os
equipamentos e tecnologia não pensam, não tem sentimentos, não roubam, não
cometem fraudes, enfim, não agem dolosamente. O homem sim!
“A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse
valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma
outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.”
(WADLOW, 2000)
Informação compreende qualquer conteúdo que possa ser armazenado ou
transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao
ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento.
A segurança da informação, por ser um assunto tão importante para todos,
pois afeta diretamente todos os negócios de uma organização ou de um indivíduo, tem
como propósito proteger os chamados ativos de informação, não importando onde
eles estejam armazenados ou representados: impressos em papel, armazenados em
discos rígidos de computadores ou até mesmo na memória das pessoas que os
conhecem. Entendemos por ativos de informação todas as peças de informação que
uma empresa possui, como arquivos e sistemas, que possuam valor, demandando
necessidades em termos de proteção.
WADLOW (2000) afirma que, a segurança não é uma tecnologia. Não é possível
comprar um dispositivo que torne sua rede segura, assim como não é possível comprar
ou criar um software capaz de tornar seu computador seguro. A falácia dessas
promessas se baseia na implicação de a segurança ser um estado que se pode
alcançar. Isso não é possível. A segurança é a direção em que se pode viajar, mas
nunca chegando de fato ao destino. Diz também que:
“A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa
que a mantém e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou
interromper a aplicação do processo, sua segurança será cada vez pior, à medida que
surgem novas ameaças e técnicas.”
A segurança está relacionada à necessidade de proteção contra o acesso ou
manipulação, intencional ou não, de informações confidenciais por elementos não
autorizados, e a utilização não autorizada do computador ou seus dispositivos
periféricos. A necessidade de proteção deve ser definida em termos das possíveis
ameaças e riscos e dos objetivos de uma organização, formalizada nos termos de uma
política de segurança (SOARES, 1995).
A segurança é um requisito essencial para o funcionamento confiável e robusto
dos sistemas de informação. A crescente dependência do uso da informática em todos
os setores da atividade humana, aliada à facilidade de acesso aos sistemas de
informação através da Internet, trouxe à tona muitos problemas e desafios para a
operação segura desses sistemas. A Figura 1 mostra a pirâmide comportamental de
acesso a dados.
Figura 1. Pirâmide comportamental de acesso aos dados
AMOROSO (1994) relata em seu livro que, segurança da informação
compreende um conjunto de medidas que visam proteger e preservar informações e
sistemas de informações, assegurando-lhes integridade (Salvaguarda da exatidão e
completeza da informação e dos métodos de processamento), disponibilidade(garantia
de que os usuários autorizados obtenham acesso à informação e aos ativos
correspondentes sempre que necessário) e confidencialidade(garantia de que o acesso
à informação seja obtido somente por pessoas autorizadas). Esses elementos
constituem os três pilares da segurança da informação e, portanto, são essenciais para
assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido,
esses pilares, juntamente com mecanismos de proteção têm por objetivo prover
suporte a restauração de sistemas de informações, adicionando-lhes capacidades
detecção, reação e proteção. A Figura 2 mostra os três pilares segurança da
informação. Os componentes criptográficos da segurança da informação tratam da
confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto,
ressaltar que o uso desses pilares é feito em conformidade com as necessidades
específicas de cada organização. Assim, o uso desses pilares pode ser determinado
pela suscetibilidade das informações ou sistemas de informações, pelo nível de
ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses
pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e
privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma
estratégia, levando em conta os pilares acima mencionados, a fim de compor uma
arquitetura de segurança que venha unificar os propósitos dos três pilares. A Figura2
mostra os pilares para a segurança da informação.
Figura 2. Pilares para a segurança da informação
2.3 Política de segurança
Em toda Política de Segurança faz-se necessário ter uma idéia clara daquilo que
se quer defender, contra quem queremos defender e quais os entraves que essa
política oferece para funcionamento normal do sistema. Uma Política de Segurança de
uma empresa define as normas e procedimentos que melhor atendam ao propósito da
mesma, minimizando os riscos com perdas e violações de qualquer um dos seus bens.
Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu
patrimônio.
A política de segurança é um instrumento importante para proteger a sua
organização contra ameaças à segurança da informação que a ela pertence ou que
está sob sua responsabilidade. A política de segurança não define procedimentos
específicos de manipulação e proteção da informação, mas atribuem direitos e
responsabilidades às pessoas (usuários, administradores de redes e sistemas,
funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem
quais as expectativas que podem ter e quais são as suas atribuições em relação à
segurança dos recursos computacionais com os quais trabalham. Além disso, a política
de segurança também estipula as penalidades às quais estão sujeitos aqueles que a
descumprem (CERT, 2003).
A implantação de uma política de segurança baseia-se na aplicação de regras
que limitam o acesso de uma entidade às informações e recursos com base na
comparação do seu nível de autorização relativo a essa informação ou recurso, na
designação da sensibilidade da informação ou recurso e na forma de acesso
empregada. Assim, a política de segurança define o que é, e o que não é permitido em
termos de segurança, durante a operação de um dado sistema. A base política de
segurança é a definição do comportamento autorizado para os indivíduos que
interagem com um sistema. (SOARES, 1995).
É importante a Política de Segurança da Informação na empresa, uma vez que a
informação é um bem de valor intangível, e que não basta apenas estas possuírem
meios tecnológicos e informatizados para protegê-las contra danos e ataques internos
e externos, desta forma, a Empresa necessita de uma Política de Segurança da
Informação bem estruturada, com o objetivo de alcançar a solução que deixe as
informações íntegras e seguras tomando como base a norma de segurança ISO
17799/27001.
As conseqüências de uma política de segurança implementada e corretamente
seguida podem ser resumidas em três aspectos: Redução da probabilidade de
ocorrência, Redução de danos causados por eventuais ocorrências, Criação de
procedimentos para se recuperar de eventuais danos.
A implantação da Política de Segurança da Informação dar-se-á: Gestão à
Informação, Classificação das Informações, Impressão da Informação; Eliminação da
Informação, Acesso Físico, Equipamentos, Hardware e Software, Acesso à Rede, Acesso
à Internet, Uso de Correio Eletrônico, Quanto ao Registro de Eventos e Evidências
(LOG), Monitoramento.
Uma Política de Segurança da Informação bem elaborada e devidamente
implantada protege a informação e ajuda a minimizar os problemas de acessos
indevidos internos, vírus, pirataria, falta de cultura dos usuários que não se preocupam
com segurança e fraudes. Porém, apenas a criação e implantação desta política não
são suficientes se não existirem mecanismos de controle para assegurar que as normas
estipuladas nessa política estão sendo efetivamente adotadas. Uma das maneiras de
controlar tudo isso é através de auditorias permanentes, fazendo com que, uma das
responsabilidades da auditoria interna seja, não somente verificar a existência de uma
Política de Segurança da Informação, mas também de verificar se suas normas estão
sendo efetivamente cumpridas e de redigir relatórios de recomendações de melhoria a
cada trabalho realizado, a fim de evidenciar que falhas foram encontradas e que
devem ser corrigidas (BIANCO, 2004).
2. Implementação de uma política de segurança da informação
A informação é um bem de valor intangível, e não basta apenas meios
tecnológicos e informatizados para protegê-la contra danos e ataques internos e
externos de sua rede, necessitando assim de uma política de segurança da informação
bem estruturada, deixando as informações íntegras e seguras.
3.1 A política de segurança da informação
De acordo com o que foi descrito no capítulo anterior, a informação representa
um valioso patrimônio para a Empresa, sendo assim, a política segurança da
informação torna-se uma premissa de máxima importância para realização de suas
atividades com total eficácia e confidencialidade. Com isso, pretende lidar com
determinadas situações, sejam elas contingenciais ou de rotinas que impliquem em
riscos e incertezas no tocante à segurança da informação, nos seus aspectos físicos,
lógicos e comportamentais.
“Na implantação de uma política de segurança a primeira tarefa a ser realizada é a
definição do que se deseja, fixando-se os objetivos a serem atendidos, definindo-se os
meios e recursos necessários, estabelecendo-se as etapas a cumprir e os prazos das
mesmas. Só após haver uma avaliação do que é necessário fazer é que se começa a
executar o planejado. Ainda assim, o planejado raramente atende todas as situações que
aparece, de modo que, frequentemente, a necessidade de acertar desvios de rota ou até
mesmo mudar radicalmente o planejado originalmente.” (CARUSO, 1999)
De acordo com GIL (1998) um bom planejamento de segurança é a base para
um programa de segurança abrangente e efetivo em relação ao investimento
efetuado, entretanto, o principal requisito para o planejamento é o contínuo apoio e
participação da alta administração. O planejamento da segurança em informática
implica a atuação dos profissionais envolvidos com a tecnologia de informática em
atividades dos focos:
Determinações dos processos a serem praticados e estabelecimentos dos resultados
esperados, uma vez estabelecidas/instaladas as condições de insegurança empresarial;
Montagem/criação de cenários futuros, de maior probabilidade de ocorrência, para
estudo de “causas” e de “conseqüências”, com a concomitante caracterização das
práticas e resultados prováveis, em termos de medidas de segurança preventivas,
detectivas, corretivas e restauradoras;
Definição de atividades para analista de segurança de informática, para usuários e
para profissionais de informática e de segurança empresarial/patrimonial;
Elaboração de normas de planos, bem como definição de softwares a serem
adquiridos e de sustentação de hardware de terceiros, para situações de insegurança
em informática com forte potencial de ocorrência, como greve total ou paralisação
parcial do sistema computacional, acarretando atraso de processamento e conseqüentes
perdas financeiras para as organizações;
Criação de sistemas de informação para captação de indícios e identificação de
tendências, tanto de novas práticas de segurança, quanto de ocorrências com elevado
poder de desestabilização do ambiente de informática;
Definição de simulações e de testes que garantam/estabeleçam confiança nas
medidas de segurança consideradas adequadas;
Estabelecimento de objetivos, diretrizes, do perfil, dos custos e do nível de impacto
da segurança em informática almejada.
3.2 A aplicação da política de segurança
A política de segurança da informação compromete e responsabiliza cada um
que faz parte da empresa, estando todos cientes também que os ambientes da
empresa, inclusive correio eletrônico e Internet estão sujeitos a monitoramento. É
também obrigação de cada um manter-se atualizado com as regras da empresa.
3.3 Princípios da política de segurança da informação
Uma das diretrizes citadas por CARUSO (1999) é a responsabilidade sobre os
ativos. Nessa etapa é determinado quem é responsável e qual o grau de
responsabilidade envolvido na política de segurança para cada uma das funções
tenham ativos a ser regulados no âmbito da política de segurança. Não se deve
confundir responsabilidade sobre ativos com responsabilização; este último conceito
envolve a identificação clara das pessoas que acessam ativos e o nível de acesso que
estão tendo sobre os mesmos. Não é preciso ser responsável por um ativo para se ter
o direito de acesso a ele.
Para garantir a Segurança da Informação, é necessário que todos os
colaboradores da empresa zelem para que os seguintes princípios sejam respeitados:
Vigilância: agir como guardiões dos ativos de informação da Empresa, evitando o uso
inadequado dos mesmos.
Atitude: assumir uma postura adequada no tratamento da segurança da informação,
tendo como base o comprometimento com a política definida.
Visão: considerar a política de segurança como uma estratégia da empresa e um
diferencial de negócio.
Tecnologia: contribuir com recursos de hardware e software que permitam
implementar, auxiliar, monitorar e controlar para que os ativos de informação da
empresa sejam usados de modo seguro e adequado por seus colaboradores.
3.4 Diretrizes da política de segurança da informação
A política de segurança é um conjunto de diretrizes gerais destinadas a
governar a proteção a ser dada a ativos da empresa.
Segundo STEFFEN (1999) as conseqüências de uma política de segurança
implementada e corretamente seguida podem ser resumidas em três aspectos:
Redução da probabilidade de ocorrência, Redução de danos causados por eventuais,
Criação de procedimentos para se recuperar de eventuais danos.
A Política de Segurança deverá ser comunicada oficialmente a todos os
colaboradores da empresa, visando garantir que todas as pessoas tenham consciência
da mesma e a pratiquem na Empresa.
Deverá haver um Comitê responsável pela Gestão da Segurança da Informação.
A Política de Segurança da Informação será revisada e atualizada
periodicamente, cabendo ao Comitê responsável estabelecer a periodicidade.
Responsabilidades de segurança de informações devem ser atribuídas na fase
de recrutamento dos recursos humanos da empresa, incluídas nos contratos e
monitorados durante a vigência destes contratos.
Um plano de contingência e continuidade do negócio deverá ser implementado
e testado periodicamente, visando reduzir riscos de perda de disponibilidade e
integridade dos ativos de informação, por meio da combinação de ações de prevenção
e recuperação.
Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras,
protegidas por um perímetro de segurança definido, com barreiras de segurança
apropriadas aos riscos identificados e controle de acesso.
Todo ativo de informação deve ser protegido de divulgação, modificação, furto
ou roubo por pessoas não autorizadas e adotados controles de forma a minimizar sua
perda ou dano.
3.5 Controles e normas de uso da informação
Algumas atividades necessitam de controles firmes, e segurança de
informações é uma delas. É necessário controlar o domínio de usuários, o domínio de
recursos e as interações entre os dois domínios.
3.5.1 Quanto à gestão da informação
A informação é o maior bem da empresa, de uso restrito e confidencial, para
isso precisa-se de um responsável.
3.5.2 Quanto à classificação das informações
Informação é o elemento que sintetiza a natureza de qualquer entidade,
expressando suas características.
As informações precisam ser classificadas quanto a sua criticidade de forma
que possam receber o tratamento adequado para que esse ativo seja protegido.
As informações podem ser: Públicas, Sensível, Confidenciais, Restritas.
As regras e metodologia que embasam a classificação de criticidade das
informações, e visam identificar o risco para o negócio caso uma informação seja
divulgada indevidamente, devem ser consultadas pelos proprietários da informação ao
classificarem as informações/ativos sob sua responsabilidade.
É de responsabilidade da área de Segurança da Informação definir as regras e
metodologia em procedimento que deve ser divulgado e disponível para consulta.
3.5.3 Quanto à eliminação da informação
O processo de eliminação da informação é tão ou mais importante que a
própria geração ou armazenamento da mesma. Por isso, o descarte de mídias ou
eliminação de conteúdos de informação sensível ou sigilosa deve atender aos
seguintes procedimentos para o descarte seguro:
As mídias contendo informações sensíveis devem ser descartadas através de
incineração ou trituração, ou da eliminação dos dados para uso por uma outra
aplicação dentro da organização.
Os itens que possivelmente requerem descarte seguro: Gravação de Voz; PapelCarbono; Relatórios Impressos; Fitas de Impressão descartáveis; Fitas
magnéticas; Discos Removíveis e cartuchos; Meio de armazenamento ótico;
Listagem de Programas; Dados de teste; Documentação de Sistemas;
Documentos em Papel.
3.5.4. Quanto ao acesso físico
Segurança física em informática corresponde à manutenção das condições
operacionais e da integridade dos recursos materiais componentes dos ambientes e
plataformas computacionais.
Controle de acesso: processo destinado a garantir que todos os acessos aos
recursos sejam acessos autorizados.
Nível especial de acesso: Algumas pessoas da Empresa, para o desempenho
adequado de suas funções, possuem níveis especiais de acesso. Estes são nossos
colaboradores especiais. Quando se tratar de um software de controle de acesso,
um nível especial de acesso caracteriza-se em possuir a senha e o direito de usar
uma identificação para o sistema (userid, chave...) com privilégios especiais de
acesso ao ambiente computacional, privilégios estes que um usuário normal não
possui.
3.5.5. Quanto aos equipamentos, hardware e software
Esta política visa nos auxiliar a coibir o mau uso dos equipamentos, diminuindo
assim a incidência de ataque de vírus e desvio de informações confidenciais.
3.5.6. Quanto ao acesso à rede
Dentro da Intranet cada serviço que é acessado tem uma carga de risco
associada, que pode causar impactos em seu ambiente. Com isso, STEFFEN(1999)
explica que uma política de segurança deve, antes de mais nada, definir quais os
serviços que serão disponibilizados na rede interna, por exemplo: correio eletrônico,
transferência de arquivos, acesso remoto por terminal e execução de comandos,
WWW, nome de domínio, serviço de gerenciamento de redes, sistemas de arquivos na
rede; com base nos serviços atendidos é que serão montados os dispositivos de
proteção.
Os dispositivos de proteção que poderão ser utilizados para um melhor
desempenho dos serviços e uma melhor segurança na empresa, como por exemplo:
Proxy, Firewall, Proxy transparente, VPN, IDS, Criptografia e Assinatura Digital.
Figura3. Acesso de computadores a rede, onde é possível compartilhar informações.
3.5.7. Quanto ao acesso à internet
A Internet também tem o seu lado recreativo, que copia, modifica e amplifica
soluções já adotadas em outros veículos. Sites que oferecem sorteio, que pagam por
clicks, que dão prêmios por quem ficam neles navegando, pornografia, notícias de
esportes, etc., são grandes consumidores de tempo e, portanto REDUTORES DA
PRODUTIVIDADE. A EMPRESA pode e deve zelar para que isso não aconteça. A Figura 4
mostra como é feito o acesso dos computadores a Internet.
Figura4. Acesso dos computadores através da Internet por onde trafega milhares de
informações
3.5.8. Quanto ao uso de correio eletrônico
O serviço de correio eletrônico foi projetado para ter como uma de suas
principais características a simplicidade. O problema deste serviço é que foi
comparado com o correio terrestre, dando a falsa idéia de que os e-mails são cartas
fechadas. Mas eles são, na verdade, como cartões postais, cujo conteúdo pode ser lido
por qualquer um que obtenha acesso a eles. Por isso, a importância de conter sempre
as assinaturas nos e-mails, podendo seguir o seguinte formato: Nome do Colaborador,
Função, Telefone Comercial, Nome da Empresa, E-mail ou Site, Mensagem Corporativa
Padrão da EMPRESA,
Obs: Também é obrigatória a inclusão dos seguintes dizeres abaixo da assinatura do email:
“Esta mensagem pode conter informações confidenciais, somente podendo ser usada pelo
indivíduo ou entidade a quem foi endereçada. A transmissão incorreta da mensagem não
acarreta a perda de sua confidencialidade. Caso esta mensagem tenha sido recebida por
engano, solicitamos que comunique o remetente e apague-a de seu sistema imediatamente. É
vedado a qualquer pessoa que não seja o destinatário usar, revelar, distribuir ou copiar
qualquer parte desta mensagem. Ambiente sujeito a monitoramento. “
3.5.9. Quanto ao registro de eventos e evidências (Log)
Devem ser produzidas e mantidas trilhas de auditorias registrando as exceções
e outros eventos de segurança relevantes, a fim de auxiliar investigações futuras e a
monitoração do controle de acesso.
“O custo do sistema de segurança deverá ser proporcional ao valor do que o sistema está
protegendo. É bem mais provável descobrir ataques e atacantes pela análise de registro do
que detectá-los no momento do ataque.” (WADLOW, 2000).
3.5.10. Quanto ao monitoramento
Para garantir as regras desta Política de segurança, a empresa terá que:
Implantar sistemas de monitoramento de acesso às estações de trabalho,
servidores internos e externos, e-mails, navegação, Internet e outros
componentes da rede;
Inspecionar qualquer arquivo armazenado na rede, esteja no disco local da
estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento
desta política;
Instalar sistemas de proteção e detecção de invasão à rede (firewall, IDS, etc.),
para garantir a segurança e integridade dos dados e programas armazenados na
rede;
A Figura 5 mostra a arquitetura de uma rede onde todas as informações estão
sendo monitoradas.
Figura 5. Mostra uma rede onde as informações que está sendo monitoradas.
3.5.11. Quanto ao backup das informações
A política de backup é uma importante preocupação da estratégia de segurança
física. O backup adequado será sua salvação, se ocorrer algo muito sério. Mas os
backups apresentam vários perigos, pois se um visitante tiver acesso ao backup poderá
por em risco a informação. Porém sem eles, se houver alguma perda dos dados não
haverá recuperação.
4. Considerações Finais
Com base nos princípios da Política de Segurança da Informação, foi possível
avaliar o segmento dos paradigmas básicos em sua composição: a integridade, como
sendo condição na qual a informação ou os recursos da informação são protegidos
contra modificações não autorizadas, a confidencialidade, visando a propriedade de
certas informações que não podem ser disponibilizadas ou divulgadas sem autorização
prévia do seu dono e a disponibilidade, característica essa que se relaciona diretamente a
possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas
atividades a qualquer hora.
5. Referências Bibliográficas
CASTELLS, M. A sociedade em rede – a era da informação: economia, sociedade e
cultura. Vol 1. 5. Ed. São Paulo: Paz e Terra, 1999.
CARUSO, Carlos Alberto Antônio; STEFFEN, Flavio Deny. Segurança em informática
e de informações. 2. ed. rev. e ampl. São Paulo: SENAC, 1999. 366 p.
CHIAVENATO, Idalberto. Introdução à teoria geral da administração. 6. ed. rev. e
atual. Rio de Janeiro: Campus, 2000. 700 p.
GIL, Antonio de Loureiro. Segurança em informática. 2. ed. São Paulo: Atlas, 1998.
192 p.
IMONIANA, Joshua Onome, Auditoria de Sistemas de Informação; Editora Atlas,
2001.
OLIVEIRA, Jayr Figueiredo de, Sistemas de Informação: um Enfoque Gerencial
Inserido no Contexto Empresarial e Tecnológico. São Paulo : Érica, 2000
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de
computadores: das LANs, MANs e WANs as redes ATM. 2. ed. rev. e ampl. Rio de
Janeiro: Campus, 1995. 705 p.
TANENBAUM, As, Redes de Computadores, 4ª edição. Editora Campus, 2001.
TEIXEIRA Junior, J.H. etal, Redes de Computadores: serviços, administração e
segurança. São Paulo: Makron, 1999.
TOFFLER, Alvin. Terceira onda. Tradução João Távora. Rio de Janeiro: Record, 1999.
491p - Civilização moderna, 1945
KUROSE James f., Ross, K.W., Redes de computadores e a Internet – Uma nova
abordagem. Ed. São Paulo: Addson Weslwy, 2003.
WADLOW, A.Thomas, Projeto e Gerenciamento de Redes Seguras; Editora Campus,
2000.
6. Referências Bibliográficas Eletrônicas
BALLONI, Antonio José. Porque gestão em sistemas e tecnologias da informação?
Revista
Unicamp,
Campinas,
2002.
Disponível
em:
http://www.revista.unicamp.br/infotec/artigos/balloni.html>. Acessado em: outubro
de 2005.
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil, Práticas de Segurança para Administradores de Redes Internet, 05 de JUN de
2005.
Disponível
em:<
http://www.cert.br/docs/seg-adm-redes/seg-admredes.html#subsec2.1 >. Acessado em: 10 de agosto de 2006.
FERREIRA, Fernando Nicolau Freitas, Política, Treinamento e Conscientização em
Segurança, 18 de Abr de 2005. Disponível em:< http://www.modulo.com.br>.
Acessado em: 10 de agosto de 2006.
FERREIRA, Fernando Nicolau Freitas, Segurança no acesso de prestadores de serviço,
29 de Nov de 2004. Disponível em:< http://www.modulo.com.br>. Acessado em: 11
de agosto de 2006.
ROCKENBACH, Aléxis, Políticas de Segurança. Disponível em:
http://penta.ufrgs.br/gereseg/rfc2196/>. Acessado em: < 10 de ago de 2006>
<
UEMURA, Cláudio Norikazu, A importância da segurança da informação, 28 de Mar
de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto
de 2006.
Download

política de segurança da informação