ACCOUNTING INFORMATION SECURITY: · PDF filegarantir a continuidade do negócio, ......

1

ACCOUNTING INFORMATION SECURITY: PROCEDURES FOR THE PREPARATION OF A SECURITY POLICY BASED ON ISO 27001 And ISO 27002.

Icaro Valente Mattes (Universidade Federal de Santa Catarina, Santa Catarina, Brasi) [email protected]érgio Murilo Petri (Universidade Federal de Santa Catarina, Santa Catarina, Brasil) [email protected]

This article aims to develop a security policy information indicating procedures and standards, based on the ABNT. The implementation of ISO 27001 and ISO 27002 entails greater security and standardization of services and management accounting information. The object was justification for the interview by the author in accounting offices and the research done by firms PricewaterhouseCoopers and Modulo Security Solutions. The article helps to structure a System of Information Security Management (ISMS) based on ISO, following the technical standards and requirements presented indicated. Polls show strong growth with the global issue of Information Security and major problems encountered in accounting offices. In response, the items were raised minimum standard ISO 27002-related risks relevant accounting and making an example of the Information Security Policy applies

Keywords: Information Security, Information Technology, Accounting, ISO 27001, ISO 27002.

SEGURANÇA DA INFORMAÇÃO CONTÁBIL: PROCEDIMENTOS PARA ELABORAÇÃO DE UMA POLÍTICA DE SEGURANÇA COM BASE NA ISO 27001 E ISO 27002.

Este artigo tem por objetivo elaborar uma política de segurança da informação, indicando procedimentos e padrões, baseando-se na norma da ABNT. A aplicação das ISO 27001 e ISO 27002 implica maior segurança e padronização dos serviços e da gestão da informação contábil. O objeto para justificativa foi a entrevista feita pelo autor em escritórios contábeis e as pesquisas feitas pelas empresas PricewaterhouseCoopers e Módulo Security Solutions. O artigo auxilia a estruturar um Sistema de Gestão da Segurança da Informação (SGSI) com base nas ISO, seguindo os requisitos apresentados e técnicas padrões indicadas. As pesquisas indicam grande crescimento mundial com a questão da Segurança da Informação e principais problemas encontrados em escritórios contábeis. Como resposta, foram levantados os itens mínimos do padrão ISO 27002 relacionados com os riscos pertinentes a contabilidade e formulando um exemplo de Política de Segurança da Informação aplicável.

Palavras-chave: Segurança da Informação, Tecnologia da Informação, Contabilidade, ISO 27001, ISO 27002.

10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil

0090

2

1 INTRODUÇÃO

O profissional recorda-se da época que o essencial era apenas resguardar os

documentos em um lugar com restrição ao acesso físico de pessoal não autorizado.

Concordando com a opinião de Antônio Everaldo (2012), atualmente a utilização da

tecnologia de informação na contabilidade tem importância vital para a sobrevivência

da organização, pois sem computadores, redes, banco de dados e um sistema seguro, a

prestação de serviços torna-se inviável.

O tempo trouxe mudanças tecnológicas e como consequência o uso dos

computadores com maior capacidade de processamento, armazenamento, consulta e

geração de obrigações vinculadas à contabilidade. Gerando assim, a necessidade

imprescindível de uma estrutura com uma equipe treinada e com políticas de segurança

mais sofisticadas.

A evolução da tecnologia e dos sistemas de informação refletem em uma maior

precaução com as informações geradas e armazenadas por estes sistemas. Avaliando os

possíveis problemas que podem ocorrer como o extravio ou a alteração de valores e

lançamentos, esse assunto torna-se bastante relevante.

A informação que os bancos de dados possuem é um ativo com alto valor, com

extrema importância e indispensável para o funcionamento da organização. Portanto,

necessita de políticas claras e seguras para sua preservação. O trabalho de segurança da

informação engloba por diversos pontos do negócio: local físico, hardware, software,

colaboradores, processos e, principalmente, a política aplicada.

O intuito da Segurança da Informação não se restringe apenas em manter a

disponibilidade da informação, mas também suas características essenciais:

consistência, integridade, autenticidade e confidencialidade. Segundo a ISO 27002:

“Segurança da informação é a proteção da informação de vários tipos de ameaças para

garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

sobre investimentos e as oportunidades de negócio.” (ABNT NBR ISO/IEC

27002:2005). A segurança da informação por si só não tem sentido, não se deve aplicar

uma política de segurança se essa não estiver de acordo com os objetivos do negócio.


0091

3

Uma informação só possuirá importância para empresa se esta gerar

conhecimento e assim, formar base para tomada de decisões, desta forma ela terá seu

valor na empresa e deverá ser valorizada como um ativo. Como especifica a NBR

ISO/IEC 27002:

A informação é um ativo que, como qualquer outro ativo importante, é

essencial para os negócios de uma organização e consequentemente necessita

ser adequadamente protegida. Isto é essencialmente importante no ambiente

dos negócios, cada vez mais interconectado.

Corroborando com Gustavo Alberto (2006), neste contexto a aplicação de mecanismos

de proteção é fundamental para a maximização dos resultados e perpetuidade do

negócio.

A redação da Política de Segurança da Informação é o primeiro passo para

aplicação de um sistema de gestão da segurança da informação, segundo a NBR

ISO/IEC 27002 trata-se de uma aglutinação de diversos aspectos:

A segurança da informação é obtida a partir da implementação de um conjunto

de controles adequados, incluindo políticas, processos, procedimentos,

estruturas organizacionais e funções de software e hardware.

É possível afirmar baseando-se em Edison Fontes (2012), que sem o respaldo da alta

diretoria não será possível o retorno planejado, pois é necessário o apoio e colaboração

para que haja responsabilidade e cobrança sobre os colaboradores.

Baseado no que foi citado acima, levantou-se o seguinte problema que direciona

esta pesquisa: Quais procedimentos e padrões mínimos devem ser adotados para a

elaboração prática de uma Política de Segurança da Informação em escritórios

contábeis?

Para responder tal questionamento o presente artigo tem como objetivo reunir e

compilar as informações sobre a elaboração de uma política de Segurança da

Informação a fim de indicar o padrão mínimo para políticas e normas de segurança em

escritórios contábeis. Na busca de resposta e respaldo técnico do problema central da

pesquisa, foram abordados os seguintes objetivos específicos:

a) Sumarizar problemas e ameaças com segurança da informação nas empresas e as

barreiras na aplicação de políticas de segurança da informação.


0092

4

b) Identificar e relacionar os padrões e normas mínimas, selecionando os principais

pontos das ISO 27001 e ISO 27002 relacionáveis com escritórios contábeis.

c) Esquematizar um exemplo de gestão da segurança da informação voltado à

contabilidade, baseando-se em exemplos de casos reais.

Justifica-se a escolha do assunto baseando nos dois critérios de justificativas em

um projeto de pesquisa: a relevância social e a relevância científica, indicado por

Gonçalves (2012).

A relevância social se dá devido a sua peculiaridade em relação à importância

que as organizações devem dar ao assunto e em consequência a grande valorização dado

a matéria pelos gestores tanto no Brasil quanto no exterior segundo a Pesquisa Global

de Segurança da Informação pela PwC (2012), 10ª Pesquisa Nacional de Segurança da

Informação (2007) e na pesquisa feita com diversos escritórios contábeis na Grande

Florianópolis. Seguindo Edison Fontes (2010), a organização não pode desaparecer

porque uma situação de exceção aconteceu no seu dia a dia, ou seja, pensando na

continuidade de seus negócios é essencial a aplicação de um plano de segurança.

O critério de relevância científica é preenchido, pois se trata de uma pesquisa

bibliográfica voltada a acrescentar informações sobre o assunto a fim de trazer

informações oportunas e com caráter cumulativo (Gonçalves, 2012). Permitindo uma

cobertura mais ampla da temática.

Como delimitação do artigo foi contemplada o estudo da ISO 27001 que trata

dos requisitos para adaptação e implementação do SGSI, ISO 27002 que trata dos

códigos de prática de um SGSI. Além desses, será utilizada a Pesquisa Global de

Segurança da Informação, a qual é a maior pesquisa do gênero no mundo realizada pela

PwC, CIO Magazine e CSO Magazine.

O trabalho será estruturado em cinco partes no formato a seguir: Iniciado na

primeira parte com a Introdução, respondendo os quesitos do tema, Problema,

Justificativa e Objetivos. A segunda parte citada refere-se à Metodologia da Pesquisa,

entrando em foco o estudo e data mining sobre a pesquisa manual do autor em

escritórios contábeis de algumas cidades da Grande Florianópolis, a Pesquisa Global de

Segurança da Informação (2012) feita pela PwC, CIO Magazine e CSO Magazine e

também a 10ª Pesquisa Nacional de Segurança da Informação (2007) realizada pela


0093

5

empresa Módulo. A terceira parte refere-se ao embasamento teórico da Segurança da

Tecnologia da Informação e seu relacionamento com a Contabilidade. A parte quatro

refere-se a apresentação e discussão dos resultados em respostas aos objetivos

específicos. E a parte cinco apresenta as conclusões e discussões finais.

2 METODOLOGIA DA PESQUISA

2.1 Enquadramento Metodológico

A presente pesquisa caracteriza-se como descritiva, pois segundo Triviños

(1987) procura conhecer a realidade, características e problemas, indicando as

peculiaridades atuais dos sistemas de gestão de segurança e seus possíveis erros de

aplicação.

Explicativa, pois será baseada nas características dos gestores atuais (PwC,

2012) e identificar fatores determinantes para uma aplicação correta de um Sistema de

Gestão da Segurança da Informação.

De acordo com a abordagem trata-se de uma pesquisa quantitativa (Viera, 1996),

pois será utilizado a pesquisa feita pela PwC, a qual foi aplicada à testes estatísticos e

indica as principais opiniões e particularidades dos gestores atualmente.

Segundo os procedimentos técnicos é considerada uma pesquisa bibliográfica e

documental por ser baseada nas referências indicadas e também ser elaborada de acordo

com a pesquisa feita pela PwC.

2.2 População e Amostra

A população e a amostra analisada estão de acordo com as diversas pesquisas

utilizadas. Além da pesquisa manual do autor em escritórios contábeis de algumas

cidades da Grande Florianópolis, a Pesquisa Global de Segurança da Informação (2012)

feita pela PwC, CIO Magazine e CSO Magazine e também a 10ª Pesquisa Nacional de

Segurança da Informação (2007) realizada pela empresa Módulo.

A pesquisa feita pelo autor teve como população diversos escritórios contábeis

na região da Grande Florianópolis, entre 2010 e 2012, os quais englobam clientes de um

software específico de solução para escritórios de contabilidade. A amostra representa

cerca de 10% da população de empresas contábeis da região.


0094

6

Na pesquisa feita pela PwC, CIO Magazine e CSO Magazine, entre 2011 e 2012,

foram entrevistados mais de 9.600 CEOs, CFOs, CISOs, CIOs, CSOs, vice-presidentes

e diretores de TI e de segurança da informação de 138 países. Sendo desse total 21%

dos respondentes oriundos da América do Sul e o Brasil teve uma participação relativa

de 10%.

A pesquisa feita pela empresa Módulo contou com uma amostra de

aproximadamente 600 questionários, entre junho de 2005 e janeiro de 2006. A

entrevista contou com profissionais das áreas de Tecnologia e Segurança da Informação

correspondendo a metade das mil maiores empresas brasileiras.

2.3 Pesquisa similares

Levantando as literaturas relacionadas, foi possível criar uma relação com o

assunto com os seguintes estudos: Fontes (2011), Lorens (2007), Benz (2008),

Cavalcante (2003), Menezes (2005), Roza (2010), Venturini (2006) e Ribas (2010).

A partir dessas literaturas, é possível destacar Benz (2010) que faz estudo de

casos em instituições financeiras, Cavalcante (2003) que utiliza o estudo de caso uma

instituição de ensino superior, e Roza (2010) e Ribas (2010) que aplicam seu estudo em

hospitais e na área da saúde.

Sem dúvida o estudo mais similar é o de Fontes (2011), que se trata do único em

criar um estudo a fim de indicar um padrão mínimo na aplicação da ISO 27002 em

instituições de diversas áreas. Este artigo baseia-se de forma bem clara a alguns

procedimentos aplicados por Edison Fontes, demonstrados em algumas de suas obras

publicadas.

3 FUNDAMENTAÇÃO TEÓRICA

3.1 A Informação

A informação é o bem mais precioso da empresa. Move os negócios e nos faz ter

conhecimento do rumo que a organização está seguindo. Corroborando com Edison

Fontes (2006) que faz a afirmação de que a informação é muito mais que um conjunto


0095

7

de dados, transformar esses dados em informação é transformar algo pouco significante

em um recurso de valor para a vida profissional.

As empresas devem atribuir valor à Informação, sabendo que a proteção desta é

essencial para qualquer organização. As organizações tanto privadas, como públicas

dependem da Informação para seus processos decisórios, não podendo funcionar sem

uma quantidade significativa de informação e seu conhecimento acontece pela

utilização destas segundo o que passam Silva e Tomaél (2007).

Analisando o que Padoveze (2000) descreve como informação: “É o dado que

foi processado e armazenado de forma compreensível para seu receptor e que apresenta

valor real ou percebido para suas decisões correntes ou prospectivas”. Entendemos

então que a informação é um produto dos dados organizados para a empresa utilizar

para análise e decisões.

Na mesma linha de raciocínio Oliveira (1998) indica que a informação é o

produto dos dados, devidamente registrados, classificados, organizados e interpretados.

Neste contexto engloba a qualidade da informação que está diretamente relacionada

com a segurança da informação.

3.2 Segurança da Informação

O conceito de segurança da informação segundo ABNT NBR ISO/IEC

17799:2005 é a proteção da mesma de vários tipos de ameaças para garantir

continuidade do negócio, minimizar riscos e maximizar o retorno e as oportunidades de

negócio. Com isso temos a visão de que a segurança da informação interfere

diretamente nos resultados da empresa. A ABNT (2005) também indica em norma que a

informação precisa ser protegida de forma adequada a fim de manter a sua

confidencialidade, integridade e disponibilidade e o não atendimento destes requisitos

pode ocasionar resultados negativos.

A segurança da informação é formada por todo um contexto de variáveis

necessárias para chegar a um Sistema de Gestão da Segurança da Informação confiável

como cita Edison Fontes (2006), que a segurança da informação é o conjunto de

orientações, normas, procedimentos, políticas e demais ações que tem por objetivo

proteger o recurso informação. Indicando os pontos básicos necessários para aplicação

de um SGSI.


0096

8

Uma política implica definir diretrizes, limites e o direcionamento que a

organização deseja para os controles que serão implantados na proteção da informação,

de acordo com Vianez, Segobia e Camargo (2008). Aplicando assim estas políticas de

segurança de acordo com as regras de negócios da organização e não levando em conta

somente a questão de auditoria, como indica Thomas Peltier (2004) aonde políticas,

padrões e procedimentos devem ser benéficos às organizações.

3.3 Framework ABNT NBR ISO/IEC 27001/ 27002

A história, seguindo Edison Fontes (2012), das normas ISO 27001 e ISO 27002

teve seu nascimento no Padrão Britânico, criando a Norma BS7799, sendo republicada

pela British Standard International (BSI), segundo Sêmola (2003), devido ao grande

crescimento das organizações. Em 2000 foi publicada finalmente por órgão de caráter

mundial a International Organization for Standardization (ISO) com o nome de ISO

17799 e por fim esta mesma organização em 2005 após nova revisão publicou nova

versão a primeira ISO 27001. No Brasil foram adotadas pela Associação Brasileira de

Normas Técnicas com o nome de ABNT NBR ISO/IEC.

A aplicação de um Sistema de Gestão da Segurança da Informação segundo a

NBR ISO/IEC 27001 adota como abordagem de processo o modelo PDCA (Plan-Do-

Check-Act). Abaixo segue a imagem do esquema que é utilizado segundo a ABNT:

Figura 1 – Modelo do PDCA aplicado aos processos do SGSI

Fonte: NBR ISO/ IEC 27001

A primeira etapa é de Planejamento (P – Plan) sendo essencial para

implementação de um sistema de segurança da informação. Trata-se da criação de uma


0097

9

política e objetivos de segurança, como explica a ABNT (2006) aonde indica que

primeiramente é necessário elaborar uma política de segurança a fim de prover uma

orientação e apoio da direção para a segurança da informação de acordo com os

requisitos de negócio e com as leis e regulamentações pertinentes.

Segundo Sêmola (2003), a política de segurança tem um papel similar à

Constituição Federal, pois explicita as regras primordiais de direção do SGSI. O mesmo

autor ainda fala que esta política deve estar focada nas camadas estratégica, tática e

operacional da organização.

O autor Edison Fontes (2012) indica ser essencial o papel do Gestor da

Segurança da Informação neste contexto, e que este deve ter o máximo de autonomia e

autoridade possível para desenvolver, implantar e manter processos, a fim de aumentar

as chances de sucesso na proteção das informações. O mesmo autor indica que mesmo

com esta liberdade, o gestor da informação deve ser submetido a regulamentos e

controles indicados na política.

Seguindo as etapas do PDCA, após a elaboração de políticas e objetivos, são

demonstrado os passos seguintes no quadro:

Figura 2 – Atividades do PDCA

Fonte: NBR ISO/ IEC 27001

A norma NBR ISO/ IEC 27001:2006 indica como se encaminhar para geração

de um Sistema de Gestão de Segurança da Informação (SGSI), indo ao encontro a

norma NBR ISO/ IEC 27002:2005 define um código de prática e indica os elementos

essenciais para aplicar a proteção da informação. Na primeira página da ABNT (2005) a

norma indica seus objetivos:


0098

10

Esta norma estabelece diretrizes e princípios gerais para iniciar, implementar,

manter e melhorar a gestão de segurança da informação em uma organização.

Os objetivos desta Norma proveem diretrizes gerais sobre metas geralmente

aceitas para a gestão da segurança da informação.

O autor Gustavo Alberto (2006), afirma que a adoção de padrões conhecidos no

mercado, como as ISO 27001 e 27002, possuem diversas vantagens. A principal é a

conformidade (compliance) dos processos corporativos com a norma, indicando aos

parceiros de negócio sua preocupação com a Confidencialidade, Integridade e

Disponibilidade da informação manipulada.

4. APRESENTAÇÃO E DISCUSÃO DOS RESULTADOS

4.1 Problemas, ameaças e as barreiras com segurança da informação.

Um dos pontos de um planejamento é a análise e reconhecimento dos reais

riscos que podemos encontrar pelo caminho. Neste sentido é demonstrado, segundo a

pesquisa da empresa Módulo (2007), os problemas que mais estiveram presentes nas

organizações e contribuíram para despender dinheiro sem retorno.

Figura 5 – Problemas que geraram perdas financeiras

Fonte: Módulo Security Solutions (2007)


0099

11

Conhecendo os problemas, o próximo passo seria a criação da política de

segurança para tentar minimizar os prejuízos. Porém as empresas esbarram em diversas

barreiras, como relaciona a pesquisa da empresa Módulo (2007) que indica como sendo

o principal obstáculo falta de consciência dos gerentes e dos usuários, que muitas vezes

não são favoráveis à mudanças na sua rotina.

Figura 6 – Principais obstáculos para a implementação da Segurança

Fonte: Módulo Security Solutions (2007)

Seguindo a pesquisa feita pelo autor em escritórios contábeis, os problemas são

mais específicos, mas sem fugir do padrão indicado pela 10ª Pesquisa Nacional de

Segurança da Informação (2007).

Figura 7 – Problemas mais comuns em escritórios contábeis com Segurança

Fonte: Autor (2012)


0100

12

Escritórios com até três funcionários tem como principal dificuldade de

aplicação o orçamento apertado para investimentos mais pesados, enquanto escritórios

maiores tendem a tomar atitudes de segurança, mas sem formalizar e padronizar. Nesta

pesquisa em específico as perdas de informação e o retrabalho eram no geral grande

problema devido a falha no sistema e/ou no banco de dados.

4.2 Padrões e normas mínimas para escritórios contábeis.

Levando em conta a pesquisa feita com os escritórios contábeis da região da

Grande Florianópolis e corroborando com alguns pontos da dissertação de Edison

Fontes (2011) é possível vincular aos erros e problemas encontrados neste estudo, itens

essenciais da ISO 27002 (2005) cabíveis a situação destes escritórios. Segue os itens e

uma breve explanação:

Quadro I – Itens Mínimos da NBR ISO/IEC 27002 Indicado a Escritórios

Contábeis


0101

13


0102

14

4.3 Exemplo de Política e Normas da Segurança da Informação voltado à

contabilidade.

O objetivo de uma política ou norma é repassar a informação aos colaboradores

de como deverá funcionar a sistemática da empresa, quais os cuidados e detalhes de

funcionamento. A linguagem deve ser clara, objetiva e interessante ao leitor, com o

intuito de se fazer entender facilmente como recomenda Edison Fontes (2012): “escreva

para o seu público”.

Com o auxílio de diversos modelos do Sr. Edison Fontes (2012) e aplicando os

itens essenciais levantados como específicos para escritórios contábeis, segue um

exemplo de política de segurança da informação formalizada. Lembrando que os pontos


0103

15

são de acordo com as pesquisas e não são necessariamente aplicáveis a qualquer

negócio ou escritório.

EXEMPLO

POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO

1. OBJETIVO

Definir normas e procedimentos para tratamento e precauções sobre informações

geradas, armazenadas e manipuladas nos meios lógicos e físicos no ambiente do

escritório.

2. ABRANGÊNCIA

Esta política é aplicável a todos os usuários (gerentes, contadores, colaboradores,

estagiários, clientes e fornecedores) da informação que estejam vinculados de alguma

forma ao escritório.

3. IMPLEMENTAÇÃO

Serão escolhidos representantes responsáveis pela Gestão da Segurança da Informação,

estes farão a implementação e manutenção para continuidade da política de segurança.

Terão o rotulo de Gerente de Segurança da Informação (GSI), este pode indicar

subgerentes a fim de auxiliar na aplicação e controle da política.

4. PROCEDIMENTOS E RESPONSABILIDADES

4.1 Declaração de Responsabilidade

Todos os usuários devem preencher a Declaração de Responsabilidades, com o intuito

de se declarar ciente de seus direitos e obrigações sobre uso de equipamentos, acessos

físicos e lógicos e disseminação de informações de caráter interno do escritório, tanto

durante o período de contrato com o escritório como após o termino.

4.2 Término de Contrato

O GSI tem a responsabilidade de aplicar os procedimentos a seguir no momento da

saída de algum colaborador ou termino de contrato com algum cliente ou fornecedor:

- Devolução de equipamentos e documentos do escritório;


0104

16

- Devolução de chaves e cartões da empresa;

- Exclusão de login e senha dos usuários nos sistemas; e

- Aplicação da Declaração de confidência.

Obs. A declaração de confidência especifica pontos sobre a divulgação de informações

internos da empresa a concorrentes diretos e/ou clientes e fornecedores.

4.3 Acessos Físicos

Fica o GSI responsável por rotular documentos e informações, bem como o banco de

dados da empresa, pela importância e aplicar a segurança física sobre estes, as chaves de

acesso ficarão exclusivamente com o GSI.

4.4 Segurança dos Equipamentos

Com a frequência trimensal o Gerente de Segurança deverá contratar um Técnico em

Computadores e Redes com a finalidade de analisar o funcionamento da estrutura de

cabeamento e os equipamentos, fica também responsável pela contratação quando de

ocorrência de sinistros sem previsão.

4.5 Planejamento e Aceitação do Sistema

Juntamente com a alta gerência e supervisores dos colaboradores o GSI fará análises

com frequência semestral nos sistemas utilizados e na estrutura de banco de dados, com

o intuito de aplicar uma estrutura condizente com as necessidades futuras do escritório.

4.6 Cópias de Segurança

Serão realizadas cópias de segurança duas vezes ao dia, um no período de almoço dos

usuários e outro ao final do expediente. Estas cópias ficarão em três locais:

- Servidor local;

- Discos Rígidos (HD) externos; e

- Servidor em nuvem (Internet).


0105

17

O Gerente de Segurança será responsável pela contratação do servidor em nuvem e terá

posse exclusiva do HD externo. O GSI terá que uma vez por semana testar as cópias de

segurança.

4.7 Acessos Lógicos

Fica o Gerente de Segurança responsável por indicar subgerente pelo cadastro de

usuário no sistema utilizado pelo escritório, bem como aplicar controle geral de senhas,

privilégios de uso e restrição a informações.

4.8 Monitoramento e Controle

O Gerente é exclusivo responsável pelo controle permanente desta política e poderá

fazer uso de processo de registro de eventos (LOG) a todos os usuários com o objetivo

de analisar futuros problemas e ocorrências.

5. CUMPRIMENTO

O não cumprimento dos procedimentos e responsabilidades apontados nesta política

acarretará penas administrativas, contratuais e até legais. Cabendo demissão de

colaboradores e/ou rescisão de contrato com clientes e fornecedores.

Em caso de situações não previstas, os usuários poderão preencher a Ficha de Sugestões

e encaminhar para análise do GSI e gerencia.

Dúvidas e maiores informações ficarão a cargo do gerente de segurança da informação.

Assim temos um exemplo simples, porém abrangente, pois inclui praticamente

todos os itens relevantes indicados pela pesquisa para aplicação de uma política de

segurança da informação em escritórios contábeis. Apesar de bem sucinta se aplica a

grande maioria dos escritórios necessitando apenas de ajustes de acordo com a

peculiaridade de cada estrutura.

4.4 Análise dos Resultados

Os problemas previstos antes da ocorrência são riscos que podem ser evitados

com uma boa política de segurança. Em muito dos casos os escritórios analisados

possuem ferramentas para evitar alguns dos gastos não orçados no planejamento


0106

18

mensal. Porém, esses escritórios não possuem uma formalização e nem um profissional

responsável para manter a política funcionando constantemente.

Não existe a possibilidade de indicar uma política padrão capaz de se encaixar

em qualquer escritório, com o estudo foi possível levantar alguns dos problemas mais

comuns na área de contabilidade e levantar quais itens seriam aplicáveis a uma política

de segurança mais segura. Mas existe a condição de ter o investimento e priorizar a

continuidade da ideia, gerando assim a melhora contínua do processo.

Apesar de trabalhoso despender tempo e dinheiro, o processo é um esforço

necessário aos escritórios e a toda e qualquer empresa que tenha grandes perspectivas de

crescimento. A partir do artigo, pode-se observar que com uma política de segurança

bem aplicada e relacionada com os objetivos de negócio, ocorre uma maior organização

e controle do que rodeia a empresa.

5. CONSIDERAÇÕES FINAIS

Este artigo teve como principal foco levantar os pontos mais importantes no

quesito segurança da informação em escritórios contábeis. Sendo desenvolvido a partir

de um estudo em escritórios da Grande Florianópolis com o objetivo de levantar

principais problemas com segurança da informação e barreiras na aplicação de uma

política de segurança da informação.

O questionamento principal é definir quais procedimentos e padrões mínimos

devem ser adotados para a elaboração prática de uma Política de Segurança da

Informação em escritórios contábeis. Assim, foram elaborados três objetivos específicos

a fim de alcançar a resposta principal: a) Sumarizar problemas, ameaças e barreiras na

aplicação da segurança da informação em escritórios de contabilidade; b) Identificar

segundo problemas levantados os padrões mínimos da ISO 27002 a ser adotado; e c)

Esquematizar situação de exemplo com os itens selecionados.

No sentido geral, segundo as pesquisas, foi mostrado um perfil muito similar dos

escritórios analisados, demonstrando os problemas e barreira de forma idêntica. Os itens

selecionados têm como base, além da pesquisa aplicada, também casos práticos. Por

esse motivo, o artigo tende a se aplicar a praticamente qualquer escritório contábil de

forma correta.


0107

19

Os resultados obtidos foram muito positivos para indicar a evolução no quesito

conscientização com a prioridade que deve ser dada a segurança da informação. Esse

modo de pensar também vem a dispender um maior investimento nas empresas para

aumentar a confiabilidade e disponibilidade das informações.

A pesquisa teve como principais limitações: a falta de pessoal capacitado para

uma conversa mais técnica sobre o assunto Segurança da Informação e também a

abertura das informações internas do escritório pelos contadores ou gestores

responsáveis pelo estabelecimento.

Por se tratar de um assunto muito prático, a maioria da parte teórica relacionada

se baseia em estudos de caso e suas conclusões e indicações, assim como este artigo.

Porém, por se tratar de um assunto relativamente atual é necessário ainda mais

pesquisas, estudos e aplicações reais para ter uma posição mais concreta sobre o tema.

REFERÊNCIAS

ABNT, NBR ISO/ IEC 27001 Tecnologia da informação – Técnicas de segurança –

Sistema de Gestão da segurança da informação – Requisitos. Rio de Janeiro:

Associação Brasileira de Normas Técnicas, 2006.

ABNT, NBR ISO/ IEC 27002 Tecnologia da informação – Técnicas de segurança –

Código de prática para a gestão da segurança da informação. Rio de Janeiro:

Associação Brasileira de Normas Técnicas, 2005.

ALBERTIN, Alberto Luiz; PINOCHET, Luis Hernan Contreras. Política de Segurança

de Informações. Rio de Janeiro: Elsevier, 2010.

ALVES, Gustavo Alberto. Segurança da Informação – Uma Visão Inovadora da

Gestão. 1. Ed. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.

BENZ, Karl Heinz. Alinhamento estratégico entre políticas de segurança da

informação e as estratégias e práticas adotadas na TI: estudo de casos em

instituições financeiras. Porto Alegre: Universidade Federal do Rio Grande do Sul,

Dissertação de Mestrado, Programa de Pós Graduação em Administração, 2008.

CAVALCANTE, Sayonara de Medeiros. Segurança da informação no correio

eletrônico baseada na ISO/IEC 17799: um estudo de caso em uma instituição de


0108

20

ensino superior, foco no treinamento. Natal: Universidade Federal do Rio Grande do

Norte, Dissertação de Mestrado, Programa de Engenharia de produção, 2003.

FONTES, Edison Luiz Gonçalves. Segurança da Informação: o usuário faz a

diferença. 1. Ed. São Paulo: Saraiva, 2006.

FONTES, Edison. Política de segurança da informação: uma contribuição para o

estabelecimento de um padrão mínimo. São Paulo: Centro Estadual de Educação

Tecnológica Paula Souza, Dissertação de Mestrado, Programa de Pós-Graduação em

Tecnologia, 2011.

FONTES, Edison Luiz Gonçalves. Políticas e normas para segurança da informação.

1. Ed. Rio de Janeiro: Brasport, 2012.

GONÇALVES, José Artur Teixeira. Metodologia da pesquisa. Blog do professor.

Disponível em: http://metodologiadapesquisa.blogspot.com/2009/04/conhecimento-

cientifico-e-conhecimento.html. Acesso em: 22 nov. 2012.

ISACA/ Information System Audit and Control Association/ http://www.isaca.org /

Acesso em: 11 de dezembro de 2012.

LORENS, Evandro. Aspectos normativos da segurança da informação: um modelo

de cadeia de regulamentação. Brasília: Universidade de Brasília, Dissertação de

Mestrado, Departamento de Ciência da Informação e Documentação, 2007.

MENEZES, Josué das Chagas. Gestão da segurança da informação: análise em três

organizações brasileiras. Salvador: Universidade Federal da Bahia, Dissertação de

Mestrado, Núcleo de Pós Graduação em Administração, 2005.

MENEZES, Josué das Chagas. Gestão da segurança da informação. 1. Ed. Leme:

Mizuno, 2006.

OLIVEIRA, Djalma de Pinho Rebouças. Sistemas, organização e métodos – uma

abordagem gerencial. 10. ed. São Paulo: Atlas, 1998.

PADOVEZE, Clovis Luiz. Sistemas de informações contábeis – fundamentos e

análise. 2. ed. São Paulo: Atlas, 2000.


0109

21

PELTIER, Thomas. Information Security Policies and Procedures. USA: Auerbach,

2005.

PRICEWATERHOUSECOOPERS. Pesquisa Global de Segurança da Informação.

São Paulo: PricewaterhouseCoopers, 2012.

RIBAS, Carlos Eduardo. Sistema de gestão da segurança da informação em

organizações na área da saúde. São Paulo: Universidade de São Paulo - USP,

Dissertação de Mestrado, Faculdade de Medicina, 2010.

ROZA, Fabiana Freitas Furtado. Política de segurança da informação em ambientes

hospitalares. São Caetano do Sul: Faculdade de Tecnologia, Trabalho de Conclusão de

Curso de Graduação em Tecnologia em Segurança da Informação, 2010.

SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1. Ed.

São Paulo: Campus, 2002.

SILVA, Terezinha Elizabeth; TOMÁEL, Maria Inês. Gestão da Informação nas

Organizações. Revista Informação&Informação, n. 12. Londrina: Universidade

Estadual de Londrina, 2007.

SILVA, Antônio Everardo Nunes Da. Segurança da Informação – Vazamento de

Informações – As informação estão realmente seguras em sua empresa. 1. Ed. Rio de

Janeiro: Editora Ciência Moderna Ltda., 2012.

TRIVIÑOS, Augusto N. S. Introdução à pesquisa em ciências sociais: a pesquisa

qualitativa em educação. São Paulo: Atlas, 1987.

VENTURINI, Yeda Regina. Modelo Ontológico de segurança para negociação de

política de controle de acesso em multidomínios. São Paulo: Universidade de São

Paulo - USP, 2006.

VIEIRA, Marcelo Milano Falcão. A Comparative study on quality management in

the Brazilian and the Scottish prison service. Scotland: University of Edinburg.

Tese (Doutorado, PhD on Business Studies). Edimburgo. 1996.

VIANEZ, Marcos S.; SEGOBIA, Roberta H.; CAMARGO, Vander. Segurança de

Informação: Aderência à Norma ABNT NBR ISO/IEC N. 17.799:2005. Revista de

Informática Aplicada, v. IV n.1- Jan./Jun., São Caetano do Sul; USCS, 2008.


0110

ACCOUNTING INFORMATION SECURITY: · PDF filegarantir a continuidade do negócio, ......

Documents

Transcript of ACCOUNTING INFORMATION SECURITY: · PDF filegarantir a continuidade do negócio, ......