INSTITUTO CENECISTA DE ENSINO SUPERIOR DE SANTO NGELO PS GRADUAO EM GESTO ESTRATGICA

GUILHERME STRHER RENZ

GESTO DE SEGURANA DE INFORMAES NAS EMPRESAS

Santo ngelo (RS) 2013

GUILHERME STRHER RENZ

GESTO DE SEGURANA DE INFORMAES NAS EMPRESAS

Artigo de Concluso do Curso de PsGraduao, realizado no Instituto Cenecista de Ensino Superior de Santo ngelo (IESA), na rea de Sistemas de Informaes Gerenciais, como requisito parcial para obteno do grau de Especialista em Gesto Estratgica.

Orientador: Prof. Renato Przyczynski

Santo ngelo (RS) 2013

INSTITUTO CENECISTA DE ENSINO SUPERIOR DE SANTO NGELO

Prof. Jlio Csar Lindemann Diretor

Professor Renato Przyczynski Coordenador do Curso de Administrao

Professora Salete Oro Boff Coordenadora do Ncleo de Ps Graduao e Pesquisa Cientfica

GESTO DE SEGURANA DE INFORMAES NAS EMPRESAS Guilherme Strher Renz1 Renato Przyczynski2 RESUMO O presente artigo tem por objetivo buscar na literatura estudos na rea de Gesto da Informao que revelam a existncia ou inexistncia de polticas de Gesto da Segurana da Informao (GSI) adotadas nas empresas. O volume de dados gerados pelas organizaes e o valor das informaes para a gesto de negcios so incalculveis. Partindo dessa premissa, importante analisar estudos que abordam a importncia das polticas de GSI nas empresas, considerando que a informao passou a ser um ativo intangvel relevante. Esse ativo compreende informaes que variam de clientes e fornecedores a mtodos de produo caracterizando-as como elementos estratgicos para a sobrevivncia das organizaes no novo milnio. As anlises partiram de estudos publicados na rea de Gesto da Informao, voltados a encontrar uma possvel resposta para a questo principal de pesquisa, a qual indagou se as empresas adotam polticas de GSI. Dente os resultados, verificou-se a inexistncia de polticas de GSI em um nmero considervel de empresas. Os estudos analisados neste artigo apontam que em 43% das empresas as polticas de GSI no so formalizadas, esto desatualizadas ou at mesmo inexistem. Palavras-chave: Polticas, Gesto, Segurana, Informao, Existncia, Empresas.

Acadmico do Curso de Ps Graduao em Gesto Estratgica do Instituto Cenecista de Ensino Superior de Santo ngelo- IESA. 2 Graduao em Administrao, Especializao em Informtica na Educao, Mestrado em Desenvolvimento, Gesto e Cidadania, Professor Tempo Integral do Instituto Cenecista de Ensino Superior de Santo ngelo - IESA 4

1 INTRODUO A ascenso econmica constante das organizaes no cenrio econmico atual ocasionado pelo escalonamento da globalizao provoca uma ruptura no processo de gesto das empresas at que as mesmas se adaptem rapidamente as novas exigncias. Como parte desse processo de adaptao e evoluo, necessria a adaptao de todos os colaboradores, sobretudo, dos gestores que respondem pelo nvel estratgico. Devido massificao do uso da internet e da utilizao de softwares que alimentam bases de dados cada vez mais robustas, as informaes das empresas passam a correr risco em relao sua segurana por serem abrangentes e por estarem disponibilizadas em ambientes tecnolgicos facilmente acessveis atravs de interfaces simples de operar como, por exemplo, a rede mundial de computadores.

indiscutvel o papel da Tecnologia da Informao no cenrio econmico, as quais essas empresas esto inseridas. Entendemos que as empresas devem monitorar constantemente situaes que podem ameaar os seus negcios. O cuidado em identificar pontos crticos no acompanhamento das ameaas faz parte de um processo de gerenciamento da Tecnologia de Informao (TI) que a empresa deve utilizar, porm, muitas delas falham neste aspecto por desconhecimento, falta de capital humano qualificado e ausncia de motivao. Sendo assim, o objetivo principal desse artigo buscar na literatura estudos na rea de Gesto da Informao que revelam a existncia ou inexistncia de polticas de Gesto da Segurana da Informao (GSI) adotada nas empresas.

O volume dirio de dados gerados pelas organizaes tem um valor indiscutvel para os seus negcios. Informaes sobre processos produtivos, fornecedores, projetos de produtos, custos, enfim, informaes que so consideradas estratgicas diante do mercado, so a todos os momentos armazenadas e trabalhadas em computadores e dispositivos digitais. A informao inserida em mdias de armazenamento, podendo ser um servidor de dados, um ambiente virtual ou at mesmo um disco removvel como pendrive. No bastando isso, importante pensar que a crescente utilizao de meios digitais est possibilitada pela transmisso de dados em redes de comunicao. Sendo assim, a questo a maneira que os gestores

pensam a segurana desses dispositivos e redes de comunicao que, por inmeras razes tecnolgicas, no so prova de falhas.

Partindo dessa afirmao, este estudo tem como objetivo fundamental investigar a existncia de polticas de GSI nas organizaes.

Esta pesquisa relevante por apresentar um estudo terico qualitativo que contribui para a prtica da gesto nas organizaes.

2 ANLISE DE ESTUDOS DE GESTO DA SEGURANA DA INFORMAO

Para tratar do assunto da gesto da segurana da informao das empresas, inevitvel conhecermos alguns conceitos que permeiam esse assunto. Indiscutivelmente, as PSI Polticas de Segurana da Informao fazem frente a esse assunto. Alguns autores, Nosworthy (2000), por exemplo, definem a PSI como uma forma de demonstrao de comprometimento da alta administrao para com a segurana da informao.

Whitmann (2004) salienta que a PSI um ponto de partida para a segurana da informao. Ele ainda enfatiza que a partir dela que a organizao cria todo um perfil que ir regulamentar as atitudes relacionadas segurana. O autor tambm relata que a PSI responsvel pela definio do papel da segurana da informao no apoio e no suporte viso e misso organizacional e que estas devem propiciar uma complementao do objetivo de negcio principal da organizao, permitindo que a empresa trabalhe de maneira correta, controlada e segura.

De acordo com Hne e Eloff (2002), as polticas de segurana da informao (PSI) tm uma grande importncia na esfera tcnica. Porm, segundo eles, a sua efetividade vem sendo o maior desafio aos profissionais responsveis por ela em virtude da manipulao humana. Ainda segundo os autores referenciados, o fator humano tem sido o principal responsvel pelos incidentes relacionados segurana de dados empresariais e corporativos.

Neste mbito a valorizao das polticas de segurana da informao de maneira subjetiva por parte de todos os colaboradores, aponta para uma melhoria da sua efetividade, ocasionando assim uma alavancagem do ponto de vista estratgico das empresas, visto que poltica de gesto da segurana da informao pode se tornar um fator competitivo no cenrio dos negcios.

Segundo relatam Ernest e Young (2004), o grande desafio das empresas conscientizar o capital humano das importncias que uma PSI tem para a empresa e seus clientes e no s para ela como tambm para seus colaboradores, visto que informaes sobre eles tambm esto dentro desse contexto. Estudando os riscos da falta de polticas de Gesto de Segurana da Informao (GSI), percebemos a importncia da adeso dos diretores a gesto da segurana, pois so eles os responsveis por organizar estrategicamente uma poltica que universalize as ideias da organizao fazendo com que esta se torne um quesito importantssimo no posicionamento estratgico da empresa diante o mercado global.

Outro conceito do CERT (Comit Brasileiro de Resposta a Tratamento de Incidentes) que devemos ter em mente com relao a ameaas. Segundo o CERT, ameaa a quebra de uma ou mais das trs propriedades fundamentais relacionadas segurana, que seriam elas: confidencialidade, integridade e disponibilidade. (CERT, 2003).

Conforme a 9 Pesquisa Nacional de Segurana da Informao realizada pela Modulo Security Solutions com cerca de 50% das 1000 maiores empresas brasileiras, foi verificado que at mesmo existe a preocupao com segurana da informao, porm os nmeros so preocupantes, vejamos o Grfico 1 abaixo:

Grfico 1 Empresas e Polticas de GSI

Empresas x Polticas de GSI

Possui mas est Desatualizada (17%) Est em Desenvolvimento (17%) Possui e est Atualizada (46%) 46% No Possui Poltica Formalizada (11%) No Sabem Informar (9%)

17% 11%

17%

9%

Percentual de Empresas que Possuem Polticas de GSI

Fonte: Adaptado de Modulo Security Solutions (2003) pelo autor

Como podemos perceber no Grfico 1, 43% das empresas (9% No sabem Informar + 17% Est em Desenvolvimento + 17% No Possui Poltica Formalizada) a poltica no formalizada ou est desatualizada o que pode nos demonstrar uma imagem de falta de comprometimento da gesto dessas empresas com relao a GSI.

Contata-se nas empresas, que os funcionrios no tm a noo do quanto suas atitudes podem impactar no negcio. Elwanger (2009 p.16) apud in Hne e Eloff (2002) diz que:
...funcionrios despreparados, no conscientes da importncia da segurana da informao e que desconhecem os procedimentos necessrios para garantila, podem comprometer significativamente a efetividade da mesma.

A partir dessa citao e afirmao, podemos elencar alguns mtodos que possam facilitar a implementao de PSI dentro das empresas.

De acordo com Payne (2003), o endomarketing apresenta-se como uma estratgia de gesto voltada a um conjunto de aplicaes de tcnicas que teoricamente, tecnicamente e praticamente seriam capazes de resgatar um comprometimento dos usurios para que se engajem em utilizar as PSI adotadas pela gesto da empresa. Neste sentido, uma possvel complexidade das PSI implantadas faz parte de um processo de gerenciamento das regras de conduta normativas o que provocaria um processo de resistncia natural do ser humano. O famoso dramaturgo Bernard Shaw j frisou certa vez: Se ensinardes alguma coisa a um homem, ele nunca aprender. Quando falamos em polticas de gesto da segurana da informao, tenho plena convico que Shaw estava certo. O aprender, segundo ele, um processo ativo. Aprendemos fazendo. Por isso, se desejamos que os funcionrios, colaboradores, diretores e presidentes se envolvam no processo de gesto da segurana da informao, preciso que os ensinemos a faz-lo e a perceber a real importncia desse processo na prtica.

Ainda, como referencial terico a esse assunto, podemos indagar diversos materiais que auxiliam os gestores a estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao. A prpria ABNT Associao Brasileira de Normas Tcnicas dispe da NBR ISO/IEC 27001:2006 norma direcionada diretamente a este assunto.

A NBR ISO/IEC 27001:2006 ainda ilustra alguns cenrios que podem e j fizeram parte de muitas organizaes. A norma ilustra um possvel ataque a site de comrcio eletrnico da empresa. Segundo a norma, deveria haver uma pessoa com treinamento suficiente nos procedimentos apropriados para minimizar os impactos a clientes, fornecedores e a rotina organizacional.

Como citado anteriormente, o endomarketing, uma das diversas reas do marketing acaba sendo uma alternativa para motivar as empresas a adotarem uma poltica de Gesto de Segurana da Informao. Esta rea do marketing pode nos possibilitar um excelente resultado no processo de colaborao coletiva e articulada da implementao com sucesso das polticas de gesto da segurana da informao.

Segundo Bekin (2005), o marketing uma tcnica que direciona suas aes para a satisfao dos seus clientes. Sendo assim, endomarketing ou marketing interno, estaria voltando suas aes aos clientes internos da empresa, ou seja, seus colaboradores.

Elwanger (2009) atribui muito bem a ideia do endomarketing no conceito de organizao moderna que vivenciamos hoje. Segundo ela, a importncia dada pelo endomarketing a satisfao dos clientes internos sendo que esta acarreta o aumento da capacidade organizacional para satisfazer os clientes externos. Ao fazer uso da estratgia do endomarketing nas empresas, segundo ela, as empresas passam a construir e perseguir a melhoria de seu relacionamento com os clientes internos, fortalecendo o comprometimento dos mesmos com os objetivos e valores organizacionais. Bekin (2005) enfatiza que esse processo garante a melhor qualidade de bens, servios e produtividade de pessoas, visando satisfao de seus clientes.

Cerqueira (2002) ainda nos diz que o endomarketing pode ser um conjunto de aes e projetos que uma organizao deve de fato empreender para se consolidar uma base cultural de comprometimento de seus colaboradores se utilizando para isso de tecnologias adequadas. Ainda segundo Cerqueira (2002), o comprometimento das pessoas obtido no somente com uma adeso externa e superficial, mas tambm como uma adeso interna. Essa reao interna segundo Cerqueira seria uma reao positiva ao que proposto, esta reao sendo uma adeso voluntria a uma ideia, a uma nova ordem ou mudana futura.

No contexto da GSI ento, seria dos colaboradores aderirem de maneira voluntria ideia de que eles so responsveis pela segurana da informao atravs de atitudes comprometidas com a poltica de GSI.

A tabela 1 a seguir, apresenta os principais autores consultados para a realizao do presente estudo a partir das contribuies para a teoria e para a prtica organizacional.

10

Definio de PSI Importncia da PSI Importncia da GSI Fatores Limitantes a implantao de GSI Ferramenta para a introduo dos conceitos de GSI nas empresas Destaca conceitos importantes do Marketing e do Endomarketing Salienta e evidencia a importncia do Endomarketing dentro da organizao Tabela 1 - Fonte: resultado da pesquisa, elaborado pelo autor

Principais Autores Consultados Nosworthy (2000) Whitmann (2004) Hne e Eloff (2002) Ernest e Young (2004) Payne (2003) Bekin (2005) Cerqueira (2002)

Contribuies para a realizao do estudo

A tabela mostra um nmero considervel de autores, os quais investigaram os aspectos da Gesto da Informao. Dentre eles, destaca-se Whitmann (2004) que evidencia a importncia das PSI dentro da organizao. Essa importncia relevante visto que a PSI o primeiro fator a ser adotado dentro de uma GSI. Ainda, Ernest e Young (2004) evidenciaram os fatores limitantes a uma poltica de Gesto da Informao eficiente e posteriormente Payne (2003) nos trs uma ferramenta que aborda as potencialidades de se utilizar o endomarketing para trabalhar a Gesto da Informao.

3 METODOLOGIA Este trabalho se caracteriza como um estudo terico, qualitativo, bibliogrfico com o objetivo de buscar na literatura estudos tericos e bases conceituais na rea de Gesto da Informao que revelam a existncia ou inexistncia de polticas de Gesto da Segurana da Informao (GSI) adotada nas empresas.

Para a realizao do estudo, foram elencadas algumas etapas. Primeiro ponto foi utilizadas as primeiras leituras de contato com textos sobre o assunto. Em um segundo momento, a escolha dos artigos publicados em peridicos acadmicos. Por fim, foram realizadas as anlises tericas a partir das informaes coletadas nos artigos.

11

Os dados qualitativos foram imprescindveis para a concluso da pesquisa e sua coleta aconteceu durante o perodo compreendido entre outubro de 2012 a outubro de 2013. Os estudos de casos e estudos tericos mencionados forneceram as bases principais das anlises que consideraram as prticas de GSI, objeto principal de estudo neste artigo.

CONSIDERAES FINAIS

Considerando que o presente estudo tinha por objetivo buscar na literatura estudos na rea de Gesto da Informao que revelavam a existncia ou inexistncia de polticas de Gesto da Segurana da Informao (GSI) adotada nas empresas, podemos dizer que ao final do estudo temos o objetivo como concretizado. Conforme ilustrado em grfico da Modulo Security Informations 43% das empresas, as polticas de GSI no so formalizadas ou esto desatualizadas e at mesmo inexistem.

Dentre o estudo, os autores pesquisados foram importantes por sua contribuio para os estudos na rea de Gesto da Informao. Dentre as principais contribuies, evidencia-se a importncia de se construir e aplicar uma poltica de gesto da segurana da informao nas organizaes. Os dados coletados foram analisados a partir dos principais conceitos e abordagens tericas apresentadas no referencial bibliogrfico da presente pesquisa.

Manter boas prticas de segurana suportadas por uma boa poltica de segurana da informao um dos primeiros passos para aumentar o nvel de confiana dos clientes em relao as nossas organizaes. Ainda, no devemos esquecer que uma organizao moderna resultado da interao entre mquinas e profissionais capacitados, orientados por uma poltica de segurana da informao sintonizada com a cultura e o ambiente tecnolgico existente (AXUR, 2002). Todas estas questes, devidamente ponderadas, levantam questes sobre a efetividade das polticas de gesto da segurana de informao com base nos estudos efetuados por esse artigo at o momento com base no objetivo inicial. A condio de
12

desenvolvimento e implantao de polticas de segurana da informao est diretamente relacionada com a capacidade dos colaboradores em interagir com esse processo. O processo de cooperao dos colaboradores para o sucesso dessas polticas diretamente ligado aos valores que ele trs consigo, cultura, conhecimento sobre o assunto entre outros.

Realizada uma abordagem sobre o assunto, percebemos que moldar os colaboradores a fim de fazer com que os mesmos se comprometam, um processo pedaggico que envolve articulao estratgica da empresa com o objetivo de maximizar a colaborao e cooperao do capital humano. Conforme percebemos, o endomarketing passa ser uma excelente ferramenta, uma vez que objetiva a conduo de uniformidade nos objetivos da organizao com colaboradores, diretores, enfim, todos os stakeholders.

O endomarketing a nica rea da administrao capaz de escalonar a forma como tratamos e nos comunicamos com todos os colaboradores da organizao. Uma poltica de GSI deve ser adotada e utilizada por todos, sendo assim, no se tem conhecimento de outro conjunto de tcnicas to efetivas quanto o endomarketing para que a poltica de GSI seja eficiente e eficaz atingindo todos os objetivos do negcio de maneira positiva.

Ainda, tratando-se de um assunto que pode se considerar como estratgico para as organizaes, com base na sua complexidade e no nmero de envolvidos nesse processo, recomenda-se que as organizaes obtenham pessoas com capital intelectual no assunto a fim de construir uma poltica de gesto de segurana de informao qualificada, no s voltada a segurana da informao, mas tambm a TI como um todo.

Sabemos das diversas benesses que ela nos traz, porm, se no organizada e respeitada os limites da sua interao, pode, em pequenos detalhes, atravancar o processo de desenvolvimento da organizao tornando a TI um conjunto de prejuzos, resultado divergente do que almejamos em nossas organizaes.

13

Como sugesto para estudos futuros, seria adotar uma empresa e realizar um estudo de caso prtico para realizar a implantao de uma poltica de Gesto da Informao atravs do endomarketing e medir o grau de envolvimento dos colaboradores.

REFERNCIAS BIBLIOGRFICAS ALBERTIN, Rosa; Estratgias de Governana de TI, Ed. Campus, 2009.

ALEXA, The Web Information Company. Disponvel em: http://teclife.blogspot.com. Acesso em: 9 de setembro de 2011.

AXUR. White Paper: Poltica de Segurana da Informao. AXUR Information Security. 2002. Disponvel em: http://www.axur.com.br. Acesso: janeiro de 2013.

BEKIN, S.F. Conversando sobre endomarketing. So Paulo: Macron Books. 1995

BRASIL. Portaria n. 34, de 05 de agosto de 2009. Dirio Oficial da Repblica Federativa do Brasil, Braslia, 06 agosto 2009. BROWN, G.E. "George Bernard Shaw". Evans Brothers Ltd, 1970. CERQUEIRA, W. Endomarketing: educao e cultura para a qualidade. Rio de Janeiro: Qualimark, 2002.

CERT. Prticas de Segurana para Administradores de Redes Internet. 2003. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Disponvel em http://www.nic.br/. Acesso em: 15 de agosto de 2011.

ELWANGER, Cristiane. Impacto da Utilizao de Tcnicas de Endomarketing na Efetividade das Polticas de Segurana da Informao. Dissertao de Mestrado, UFSM. 2009.

14

ERNEST & YOUNG. Global Information Security Survey. Ernest & Young. 2004. Disponvel em: http://www.ey.com Acesso: novembro 2012. FVERO, A. Poltica de Segurana da Informao - Guia prtico para elaborao e implementao. Prefcio. Rio de Janeiro. Cincia Moderna. 2006

HNE, K.; ELOFF, J.H.P. What makes an effective information security police? Network Security. pp 14-16. 2002.

KENN, Peter G. W. Guia Gerencial para a tecnologia da informao: Conceitos essenciais e terminologia para empresas e gerentes. Rio de Janeiro: Campus, 1996.

MANDARINO, R. Um Estudo sobre a Segurana e a Defesa do Espao Ciberntico Brasileiro. Monografia (especializao). Universidade de Braslia (UnB). Departamento de Cincia da Computao - DCE:Braslia. Jun.2009 p.29

MODULO SECURITY INFORMATION. 9 Pesquisa Nacional de Segurana da Informao. Disponvel em: http://www.modulo.com.br/. Acesso em 14 de novembro de 2011.

NBR ISO/IEC 17799:2005. Tecnologia da Informao. Cdigo de Prtica para a Gesto da Segurana da Informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro. 2005.

NOSWORTHY, J.D. Implementing Information Security in the 21st Century - Do You Have the Balancing Factors? Computers & Security, 19(4), pp. 337 - 347. 2000.

OLIVEIRA, W.J. Segurana da Informao. Florianpolis. Visual Books, 2001.

SVEEN, F. O.; TORRES, J. M.; SARRIEGI, J. M. Learning from Your Elders: A shortcut to Information Security Management Success. Computer Safety, Reliability and Security. Vol. 4680, pp. 224-237, 2008.

15

TUDOR, J.L. Information Security Architecture: An Integrated Approach to Security in the Organization. 2 Edio, CRC Press. 2006. WHITMANN M. E. In Defence of the realm: undersatanding the threats to information security. International Journal of Information Management. Vol 24; pp. 4347.2004.

WOOD, C. C. An unnapreciated reason why information security policies fail. Computer Fraud & Security, n. 10, p. 13-14. 2000.

16