| |
ARTIGO
autor: Antônio Esdras de Góes Almeida,
CPP |
| |
A importância da Segurança Patrimonial na
Segurança da Informação
|
| |
Em nossa região, quando se fala ou se escreve sobre
Segurança da Informação, em 90% dos
casos está se tratando da proteção
da informação eletrônica, seja da invasão
de “hackers” ou de acessos indevidos na rede
local, se estendendo no máximo às regras de
controle de acesso à sala dos servidores..
|
| |
Observamos também, que nos seminários e cursos
nacionais o foco é quase totalmente voltado para
os cuidados com a informação eletrônica,
mas temos que lembrar que esta é somente uma parte
importante da Segurança da Informação.
|
| |
Não basta ter uma excelente estrutura de proteção
da informação eletrônica se as informações
impressas ficarem abandonadas sobre as mesas, se não
existir um tratamento adequado do lixo (informação
impressa descartada) e se não houverem critérios
bem definidos para admissão e demissão de
funcionários e terceiros. Outras falhas comuns que
podem comprometer a segurança da informação
são: não definir claramente quem pode ter
acesso às informações sigilosas, não
treinar de forma adequada os gestores quanto aos cuidados
com estas informações, não fazer um
controle efetivo sobre cópias das chaves das áreas
que armazenam estas informações e não
fazer a devida proteção das salas de reunião.
|
| |
Estes são apenas alguns exemplos para ilustrar como
o trabalho de Segurança da Informação
também está inserido nas atribuições
e responsabilidades da equipe que cuida da Segurança
Patrimonial.
|
| |
Cada vez mais as organizações estão
sujeitas às ações de espionagem industrial,
sejam através de profissionais muito bem treinados
e dispositivos altamente sofisticados ou de simples grampos
telefônicos, pequenos gravadores escondidos ou de
cópia ou fotos de documentos sigilosos deixados sobre
as mesas. O acesso a estas informações pode
trazer sérios prejuízos financeiros de imagem
ou representar grandes perdas de oportunidade no mercado
em função de reações mais rápidas
da concorrência para produtos e processos pioneiros
ou de características exclusivas.
|
| |
Até mesmo a falta de cuidado no descarte / destruição
de documentos sigilosos ou confidenciais podem "custar
muito caro", para a imagem das organizações
ou dos profissionais responsáveis pela sua guarda. |
| |
Para reforçar a idéia de que as ações
não podem se limitar à Proteção
da Informação Eletrônica, relacionamos
a seguir alguns tópicos importantes que devem ser
considerados e tratados para termos uma Segurança
da Informação mais efetiva:
|
| |
|
| 1. |
Classificar
criteriosamente as informações e definir claramente
quem pode ter acesso às mesmas; |
| |
|
| 2. |
Fazer
uma análise de Risco, Vulnerabilidades, Ameaças
e Impactos envolvidos; |
| |
|
| 3. |
Estabelecer
medidas efetivas para tratamento dos Riscos – Elaborar
um Plano de Segurança da Informação; |
| |
|
| 4. |
Estabelecer
requisitos para admissão e demissão de funcionários
e terceiros; |
| |
|
| 5. |
Formalizar
acordos e contratos de confidencialidade de informações
com funcionários, terceiros, fornecedores e clientes
(sempre que a situação exigir); |
| |
|
| 6. |
Realizar
treinamentos específicos para os gestores das informações
sigilosas incluindo procedimentos em situações
de crise e emergências; |
| |
|
| 7. |
Promover
seminários e campanhas de conscientização
para todos os membros da organização destacando
a importância e os cuidados a serem tomados para efetiva
segurança da informação; |
| |
|
| 8. |
Avaliar
instalações e criar dispositivos, medidas e
procedimentos de segurança para proteção
de salas de reunião e salas que guardem informações
sigilosas; |
| |
|
| 9. |
Utilizar
aparelhos para detectar e interferir a interceptação
eletrônica da comunicação (“grampos”),
sempre que for necessário; |
| |
|
| 10. |
Estabelecer
critérios claros de descarte e destruição
de documentos sigilosos (tratamento adequado do “lixo”); |
| |
|
| 11. |
Estabelecer
um controle efetivo do acesso físico, das cópias
de chaves (claviculário) e da troca periódica
do segredo das fechaduras que dão acesso às
informações sigilosas; |
| |
|
| 12. |
Estabelecer
auditorias periódicas dos dispositivos de segurança
da informação para detectar e tratar as falhas
encontradas. |
| |
|
| |
Somente para alinhar os conceitos, definimos como Segurança
da Informação o conjunto de ações
destinadas à proteção das informações
de acessos indevidos, de cópias e alterações
de conteúdo não autorizadas, além de
evitar a sua indisponibilidade. Para que estas ações
tenham maior eficácia se faz necessário que
os trabalhos de proteção da informação
tenham uma abrangência maior do que a praticada na
maioria dos casos e que sejam envolvidos também a
equipe de Segurança Patrimonial e os detentores das
informações sigilosas, além de criar
uma consciência e participação de todos
os membros da organização. |
| |
Antonio Esdras de Góes Almeida, CPP (Certified Protection
Professional), é Bacharel em Administração
de Empresas e 1º Tenente de Infantaria (R/2) do Exército
Brasileiro. Possui 13 anos de experiência na área
de Sistemas e é diretor Técnico da Lantech
Consultoria e Projetos de Segurança.
esdras@lantech.com.br
|
| |
|
