|
|
Em nossa região, quando se fala ou
se escreve sobre Segurança da Informação,
em 90% dos casos está se tratando da
proteção da informação
eletrônica, seja da invasão de
“hackers” ou de acessos indevidos
na rede local, se estendendo no máximo
às regras de controle de acesso à
sala dos servidores.
|
Observamos
também, que nos seminários
e cursos nacionais o foco é quase
totalmente voltado para os cuidados com
a informação eletrônica,
mas temos que lembrar que esta é
somente uma parte importante da Segurança
da Informação.
|
Não basta ter uma excelente estrutura de
proteção da informação
eletrônica se as informações
impressas ficarem abandonadas sobre as mesas, se
não existir um tratamento adequado do lixo
(informação impressa descartada) e
se não houverem critérios bem definidos
para admissão e demissão de funcionários
e terceiros. Outras falhas comuns que podem comprometer
a segurança da informação são:
não definir claramente quem pode ter acesso
às informações sigilosas, não
treinar de forma adequada os gestores quanto aos
cuidados com estas informações, não
fazer um controle efetivo sobre cópias das
chaves das áreas que armazenam estas informações
e não fazer a devida proteção
das salas de reunião.
|
Estes são apenas alguns exemplos para ilustrar
como o trabalho de Segurança da Informação
também está inserido nas atribuições
e responsabilidades da equipe que cuida da Segurança
Patrimonial.
|
Cada
vez mais as organizações estão
sujeitas às ações de espionagem
industrial, sejam através de profissionais
muito bem treinados e dispositivos altamente sofisticados
ou de simples grampos telefônicos, pequenos
gravadores escondidos ou de cópia ou fotos
de documentos sigilosos deixados sobre as mesas. O
acesso a estas informações pode trazer
sérios prejuízos financeiros de imagem
ou representar grandes perdas de oportunidade no mercado
em função de reações mais
rápidas da concorrência para produtos
e processos pioneiros ou de características
exclusivas.
|
| Até
mesmo a falta de cuidado no descarte / destruição
de documentos sigilosos ou confidenciais podem "custar
muito caro", para a imagem das organizações
ou dos profissionais responsáveis pela sua guarda. |
Para reforçar a idéia de que as ações
não podem se limitar à Proteção
da Informação Eletrônica, relacionamos
a seguir alguns tópicos importantes que devem
ser considerados e tratados para termos uma Segurança
da Informação mais efetiva:
|
| 1. |
Classificar
criteriosamente as informações e definir
claramente quem pode ter acesso às mesmas; |
2. |
Fazer uma análise de Risco, Vulnerabilidades,
Ameaças e Impactos envolvidos; |
3. |
Estabelecer medidas efetivas para tratamento dos Riscos
– Elaborar um Plano de Segurança da Informação; |
4. |
Estabelecer requisitos para admissão e demissão
de funcionários e terceiros; |
5. |
Formalizar acordos e contratos de confidencialidade
de informações com funcionários,
terceiros, fornecedores e clientes (sempre que a situação
exigir);
|
6. |
Realizar treinamentos específicos para os gestores
das informações sigilosas incluindo
procedimentos em situações de crise
e emergências;
|
7. |
Promover seminários e campanhas de conscientização
para todos os membros da organização
destacando a importância e os cuidados a serem
tomados para efetiva segurança da informação; |
8. |
Avaliar instalações e criar dispositivos,
medidas e procedimentos de segurança para proteção
de salas de reunião e salas que guardem informações
sigilosas;
|
9. |
Utilizar aparelhos para detectar e interferir a interceptação
eletrônica da comunicação (“grampos”),
sempre que for necessário;
|
10. |
Estabelecer critérios claros de descarte e
destruição de documentos sigilosos (tratamento
adequado do “lixo”); |
11. |
Estabelecer um controle efetivo do acesso físico,
das cópias de chaves (claviculário)
e da troca periódica do segredo das fechaduras
que dão acesso às informações
sigilosas;
|
12. |
Estabelecer auditorias periódicas dos dispositivos
de segurança da informação para
detectar e tratar as falhas encontradas. |
| |
Somente para alinhar os conceitos, definimos como
Segurança da Informação o conjunto
de ações destinadas à proteção
das informações de acessos indevidos,
de cópias e alterações de conteúdo
não autorizadas, além de evitar a sua
indisponibilidade. Para que estas ações
tenham maior eficácia se faz necessário
que os trabalhos de proteção da informação
tenham uma abrangência maior do que a praticada
na maioria dos casos e que sejam envolvidos também
a equipe de Segurança Patrimonial e os detentores
das informações sigilosas, além
de criar uma consciência e participação
de todos os membros da organização.
|
| |
Antonio Esdras de Góes Almeida, CPP (Certified
Protection Professional), é Bacharel em Administração
de Empresas e 1º Tenente de Infantaria (R/2)
do Exército Brasileiro. Possui 13 anos de experiência
na área de Sistemas e é diretor Técnico
da Lantech Consultoria e Projetos de Segurança.
esdras@lantech.com.br
|
