ACCOUNTING INFORMATION SECURITY: · PDF filegarantir a continuidade do negócio, ......
Transcript of ACCOUNTING INFORMATION SECURITY: · PDF filegarantir a continuidade do negócio, ......
1
ACCOUNTING INFORMATION SECURITY: PROCEDURES FOR THE PREPARATION OF A SECURITY POLICY BASED ON ISO 27001 And ISO 27002.
Icaro Valente Mattes (Universidade Federal de Santa Catarina, Santa Catarina, Brasi) [email protected]érgio Murilo Petri (Universidade Federal de Santa Catarina, Santa Catarina, Brasil) [email protected]
This article aims to develop a security policy information indicating procedures and standards, based on the ABNT. The implementation of ISO 27001 and ISO 27002 entails greater security and standardization of services and management accounting information. The object was justification for the interview by the author in accounting offices and the research done by firms PricewaterhouseCoopers and Modulo Security Solutions. The article helps to structure a System of Information Security Management (ISMS) based on ISO, following the technical standards and requirements presented indicated. Polls show strong growth with the global issue of Information Security and major problems encountered in accounting offices. In response, the items were raised minimum standard ISO 27002-related risks relevant accounting and making an example of the Information Security Policy applies
Keywords: Information Security, Information Technology, Accounting, ISO 27001, ISO 27002.
SEGURANÇA DA INFORMAÇÃO CONTÁBIL: PROCEDIMENTOS PARA ELABORAÇÃO DE UMA POLÍTICA DE SEGURANÇA COM BASE NA ISO 27001 E ISO 27002.
Este artigo tem por objetivo elaborar uma política de segurança da informação, indicando procedimentos e padrões, baseando-se na norma da ABNT. A aplicação das ISO 27001 e ISO 27002 implica maior segurança e padronização dos serviços e da gestão da informação contábil. O objeto para justificativa foi a entrevista feita pelo autor em escritórios contábeis e as pesquisas feitas pelas empresas PricewaterhouseCoopers e Módulo Security Solutions. O artigo auxilia a estruturar um Sistema de Gestão da Segurança da Informação (SGSI) com base nas ISO, seguindo os requisitos apresentados e técnicas padrões indicadas. As pesquisas indicam grande crescimento mundial com a questão da Segurança da Informação e principais problemas encontrados em escritórios contábeis. Como resposta, foram levantados os itens mínimos do padrão ISO 27002 relacionados com os riscos pertinentes a contabilidade e formulando um exemplo de Política de Segurança da Informação aplicável.
Palavras-chave: Segurança da Informação, Tecnologia da Informação, Contabilidade, ISO 27001, ISO 27002.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0090
2
1 INTRODUÇÃO
O profissional recorda-se da época que o essencial era apenas resguardar os
documentos em um lugar com restrição ao acesso físico de pessoal não autorizado.
Concordando com a opinião de Antônio Everaldo (2012), atualmente a utilização da
tecnologia de informação na contabilidade tem importância vital para a sobrevivência
da organização, pois sem computadores, redes, banco de dados e um sistema seguro, a
prestação de serviços torna-se inviável.
O tempo trouxe mudanças tecnológicas e como consequência o uso dos
computadores com maior capacidade de processamento, armazenamento, consulta e
geração de obrigações vinculadas à contabilidade. Gerando assim, a necessidade
imprescindível de uma estrutura com uma equipe treinada e com políticas de segurança
mais sofisticadas.
A evolução da tecnologia e dos sistemas de informação refletem em uma maior
precaução com as informações geradas e armazenadas por estes sistemas. Avaliando os
possíveis problemas que podem ocorrer como o extravio ou a alteração de valores e
lançamentos, esse assunto torna-se bastante relevante.
A informação que os bancos de dados possuem é um ativo com alto valor, com
extrema importância e indispensável para o funcionamento da organização. Portanto,
necessita de políticas claras e seguras para sua preservação. O trabalho de segurança da
informação engloba por diversos pontos do negócio: local físico, hardware, software,
colaboradores, processos e, principalmente, a política aplicada.
O intuito da Segurança da Informação não se restringe apenas em manter a
disponibilidade da informação, mas também suas características essenciais:
consistência, integridade, autenticidade e confidencialidade. Segundo a ISO 27002:
“Segurança da informação é a proteção da informação de vários tipos de ameaças para
garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno
sobre investimentos e as oportunidades de negócio.” (ABNT NBR ISO/IEC
27002:2005). A segurança da informação por si só não tem sentido, não se deve aplicar
uma política de segurança se essa não estiver de acordo com os objetivos do negócio.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0091
3
Uma informação só possuirá importância para empresa se esta gerar
conhecimento e assim, formar base para tomada de decisões, desta forma ela terá seu
valor na empresa e deverá ser valorizada como um ativo. Como especifica a NBR
ISO/IEC 27002:
A informação é um ativo que, como qualquer outro ativo importante, é
essencial para os negócios de uma organização e consequentemente necessita
ser adequadamente protegida. Isto é essencialmente importante no ambiente
dos negócios, cada vez mais interconectado.
Corroborando com Gustavo Alberto (2006), neste contexto a aplicação de mecanismos
de proteção é fundamental para a maximização dos resultados e perpetuidade do
negócio.
A redação da Política de Segurança da Informação é o primeiro passo para
aplicação de um sistema de gestão da segurança da informação, segundo a NBR
ISO/IEC 27002 trata-se de uma aglutinação de diversos aspectos:
A segurança da informação é obtida a partir da implementação de um conjunto
de controles adequados, incluindo políticas, processos, procedimentos,
estruturas organizacionais e funções de software e hardware.
É possível afirmar baseando-se em Edison Fontes (2012), que sem o respaldo da alta
diretoria não será possível o retorno planejado, pois é necessário o apoio e colaboração
para que haja responsabilidade e cobrança sobre os colaboradores.
Baseado no que foi citado acima, levantou-se o seguinte problema que direciona
esta pesquisa: Quais procedimentos e padrões mínimos devem ser adotados para a
elaboração prática de uma Política de Segurança da Informação em escritórios
contábeis?
Para responder tal questionamento o presente artigo tem como objetivo reunir e
compilar as informações sobre a elaboração de uma política de Segurança da
Informação a fim de indicar o padrão mínimo para políticas e normas de segurança em
escritórios contábeis. Na busca de resposta e respaldo técnico do problema central da
pesquisa, foram abordados os seguintes objetivos específicos:
a) Sumarizar problemas e ameaças com segurança da informação nas empresas e as
barreiras na aplicação de políticas de segurança da informação.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0092
4
b) Identificar e relacionar os padrões e normas mínimas, selecionando os principais
pontos das ISO 27001 e ISO 27002 relacionáveis com escritórios contábeis.
c) Esquematizar um exemplo de gestão da segurança da informação voltado à
contabilidade, baseando-se em exemplos de casos reais.
Justifica-se a escolha do assunto baseando nos dois critérios de justificativas em
um projeto de pesquisa: a relevância social e a relevância científica, indicado por
Gonçalves (2012).
A relevância social se dá devido a sua peculiaridade em relação à importância
que as organizações devem dar ao assunto e em consequência a grande valorização dado
a matéria pelos gestores tanto no Brasil quanto no exterior segundo a Pesquisa Global
de Segurança da Informação pela PwC (2012), 10ª Pesquisa Nacional de Segurança da
Informação (2007) e na pesquisa feita com diversos escritórios contábeis na Grande
Florianópolis. Seguindo Edison Fontes (2010), a organização não pode desaparecer
porque uma situação de exceção aconteceu no seu dia a dia, ou seja, pensando na
continuidade de seus negócios é essencial a aplicação de um plano de segurança.
O critério de relevância científica é preenchido, pois se trata de uma pesquisa
bibliográfica voltada a acrescentar informações sobre o assunto a fim de trazer
informações oportunas e com caráter cumulativo (Gonçalves, 2012). Permitindo uma
cobertura mais ampla da temática.
Como delimitação do artigo foi contemplada o estudo da ISO 27001 que trata
dos requisitos para adaptação e implementação do SGSI, ISO 27002 que trata dos
códigos de prática de um SGSI. Além desses, será utilizada a Pesquisa Global de
Segurança da Informação, a qual é a maior pesquisa do gênero no mundo realizada pela
PwC, CIO Magazine e CSO Magazine.
O trabalho será estruturado em cinco partes no formato a seguir: Iniciado na
primeira parte com a Introdução, respondendo os quesitos do tema, Problema,
Justificativa e Objetivos. A segunda parte citada refere-se à Metodologia da Pesquisa,
entrando em foco o estudo e data mining sobre a pesquisa manual do autor em
escritórios contábeis de algumas cidades da Grande Florianópolis, a Pesquisa Global de
Segurança da Informação (2012) feita pela PwC, CIO Magazine e CSO Magazine e
também a 10ª Pesquisa Nacional de Segurança da Informação (2007) realizada pela
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0093
5
empresa Módulo. A terceira parte refere-se ao embasamento teórico da Segurança da
Tecnologia da Informação e seu relacionamento com a Contabilidade. A parte quatro
refere-se a apresentação e discussão dos resultados em respostas aos objetivos
específicos. E a parte cinco apresenta as conclusões e discussões finais.
2 METODOLOGIA DA PESQUISA
2.1 Enquadramento Metodológico
A presente pesquisa caracteriza-se como descritiva, pois segundo Triviños
(1987) procura conhecer a realidade, características e problemas, indicando as
peculiaridades atuais dos sistemas de gestão de segurança e seus possíveis erros de
aplicação.
Explicativa, pois será baseada nas características dos gestores atuais (PwC,
2012) e identificar fatores determinantes para uma aplicação correta de um Sistema de
Gestão da Segurança da Informação.
De acordo com a abordagem trata-se de uma pesquisa quantitativa (Viera, 1996),
pois será utilizado a pesquisa feita pela PwC, a qual foi aplicada à testes estatísticos e
indica as principais opiniões e particularidades dos gestores atualmente.
Segundo os procedimentos técnicos é considerada uma pesquisa bibliográfica e
documental por ser baseada nas referências indicadas e também ser elaborada de acordo
com a pesquisa feita pela PwC.
2.2 População e Amostra
A população e a amostra analisada estão de acordo com as diversas pesquisas
utilizadas. Além da pesquisa manual do autor em escritórios contábeis de algumas
cidades da Grande Florianópolis, a Pesquisa Global de Segurança da Informação (2012)
feita pela PwC, CIO Magazine e CSO Magazine e também a 10ª Pesquisa Nacional de
Segurança da Informação (2007) realizada pela empresa Módulo.
A pesquisa feita pelo autor teve como população diversos escritórios contábeis
na região da Grande Florianópolis, entre 2010 e 2012, os quais englobam clientes de um
software específico de solução para escritórios de contabilidade. A amostra representa
cerca de 10% da população de empresas contábeis da região.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0094
6
Na pesquisa feita pela PwC, CIO Magazine e CSO Magazine, entre 2011 e 2012,
foram entrevistados mais de 9.600 CEOs, CFOs, CISOs, CIOs, CSOs, vice-presidentes
e diretores de TI e de segurança da informação de 138 países. Sendo desse total 21%
dos respondentes oriundos da América do Sul e o Brasil teve uma participação relativa
de 10%.
A pesquisa feita pela empresa Módulo contou com uma amostra de
aproximadamente 600 questionários, entre junho de 2005 e janeiro de 2006. A
entrevista contou com profissionais das áreas de Tecnologia e Segurança da Informação
correspondendo a metade das mil maiores empresas brasileiras.
2.3 Pesquisa similares
Levantando as literaturas relacionadas, foi possível criar uma relação com o
assunto com os seguintes estudos: Fontes (2011), Lorens (2007), Benz (2008),
Cavalcante (2003), Menezes (2005), Roza (2010), Venturini (2006) e Ribas (2010).
A partir dessas literaturas, é possível destacar Benz (2010) que faz estudo de
casos em instituições financeiras, Cavalcante (2003) que utiliza o estudo de caso uma
instituição de ensino superior, e Roza (2010) e Ribas (2010) que aplicam seu estudo em
hospitais e na área da saúde.
Sem dúvida o estudo mais similar é o de Fontes (2011), que se trata do único em
criar um estudo a fim de indicar um padrão mínimo na aplicação da ISO 27002 em
instituições de diversas áreas. Este artigo baseia-se de forma bem clara a alguns
procedimentos aplicados por Edison Fontes, demonstrados em algumas de suas obras
publicadas.
3 FUNDAMENTAÇÃO TEÓRICA
3.1 A Informação
A informação é o bem mais precioso da empresa. Move os negócios e nos faz ter
conhecimento do rumo que a organização está seguindo. Corroborando com Edison
Fontes (2006) que faz a afirmação de que a informação é muito mais que um conjunto
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0095
7
de dados, transformar esses dados em informação é transformar algo pouco significante
em um recurso de valor para a vida profissional.
As empresas devem atribuir valor à Informação, sabendo que a proteção desta é
essencial para qualquer organização. As organizações tanto privadas, como públicas
dependem da Informação para seus processos decisórios, não podendo funcionar sem
uma quantidade significativa de informação e seu conhecimento acontece pela
utilização destas segundo o que passam Silva e Tomaél (2007).
Analisando o que Padoveze (2000) descreve como informação: “É o dado que
foi processado e armazenado de forma compreensível para seu receptor e que apresenta
valor real ou percebido para suas decisões correntes ou prospectivas”. Entendemos
então que a informação é um produto dos dados organizados para a empresa utilizar
para análise e decisões.
Na mesma linha de raciocínio Oliveira (1998) indica que a informação é o
produto dos dados, devidamente registrados, classificados, organizados e interpretados.
Neste contexto engloba a qualidade da informação que está diretamente relacionada
com a segurança da informação.
3.2 Segurança da Informação
O conceito de segurança da informação segundo ABNT NBR ISO/IEC
17799:2005 é a proteção da mesma de vários tipos de ameaças para garantir
continuidade do negócio, minimizar riscos e maximizar o retorno e as oportunidades de
negócio. Com isso temos a visão de que a segurança da informação interfere
diretamente nos resultados da empresa. A ABNT (2005) também indica em norma que a
informação precisa ser protegida de forma adequada a fim de manter a sua
confidencialidade, integridade e disponibilidade e o não atendimento destes requisitos
pode ocasionar resultados negativos.
A segurança da informação é formada por todo um contexto de variáveis
necessárias para chegar a um Sistema de Gestão da Segurança da Informação confiável
como cita Edison Fontes (2006), que a segurança da informação é o conjunto de
orientações, normas, procedimentos, políticas e demais ações que tem por objetivo
proteger o recurso informação. Indicando os pontos básicos necessários para aplicação
de um SGSI.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0096
8
Uma política implica definir diretrizes, limites e o direcionamento que a
organização deseja para os controles que serão implantados na proteção da informação,
de acordo com Vianez, Segobia e Camargo (2008). Aplicando assim estas políticas de
segurança de acordo com as regras de negócios da organização e não levando em conta
somente a questão de auditoria, como indica Thomas Peltier (2004) aonde políticas,
padrões e procedimentos devem ser benéficos às organizações.
3.3 Framework ABNT NBR ISO/IEC 27001/ 27002
A história, seguindo Edison Fontes (2012), das normas ISO 27001 e ISO 27002
teve seu nascimento no Padrão Britânico, criando a Norma BS7799, sendo republicada
pela British Standard International (BSI), segundo Sêmola (2003), devido ao grande
crescimento das organizações. Em 2000 foi publicada finalmente por órgão de caráter
mundial a International Organization for Standardization (ISO) com o nome de ISO
17799 e por fim esta mesma organização em 2005 após nova revisão publicou nova
versão a primeira ISO 27001. No Brasil foram adotadas pela Associação Brasileira de
Normas Técnicas com o nome de ABNT NBR ISO/IEC.
A aplicação de um Sistema de Gestão da Segurança da Informação segundo a
NBR ISO/IEC 27001 adota como abordagem de processo o modelo PDCA (Plan-Do-
Check-Act). Abaixo segue a imagem do esquema que é utilizado segundo a ABNT:
Figura 1 – Modelo do PDCA aplicado aos processos do SGSI
Fonte: NBR ISO/ IEC 27001
A primeira etapa é de Planejamento (P – Plan) sendo essencial para
implementação de um sistema de segurança da informação. Trata-se da criação de uma
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0097
9
política e objetivos de segurança, como explica a ABNT (2006) aonde indica que
primeiramente é necessário elaborar uma política de segurança a fim de prover uma
orientação e apoio da direção para a segurança da informação de acordo com os
requisitos de negócio e com as leis e regulamentações pertinentes.
Segundo Sêmola (2003), a política de segurança tem um papel similar à
Constituição Federal, pois explicita as regras primordiais de direção do SGSI. O mesmo
autor ainda fala que esta política deve estar focada nas camadas estratégica, tática e
operacional da organização.
O autor Edison Fontes (2012) indica ser essencial o papel do Gestor da
Segurança da Informação neste contexto, e que este deve ter o máximo de autonomia e
autoridade possível para desenvolver, implantar e manter processos, a fim de aumentar
as chances de sucesso na proteção das informações. O mesmo autor indica que mesmo
com esta liberdade, o gestor da informação deve ser submetido a regulamentos e
controles indicados na política.
Seguindo as etapas do PDCA, após a elaboração de políticas e objetivos, são
demonstrado os passos seguintes no quadro:
Figura 2 – Atividades do PDCA
Fonte: NBR ISO/ IEC 27001
A norma NBR ISO/ IEC 27001:2006 indica como se encaminhar para geração
de um Sistema de Gestão de Segurança da Informação (SGSI), indo ao encontro a
norma NBR ISO/ IEC 27002:2005 define um código de prática e indica os elementos
essenciais para aplicar a proteção da informação. Na primeira página da ABNT (2005) a
norma indica seus objetivos:
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0098
10
Esta norma estabelece diretrizes e princípios gerais para iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma organização.
Os objetivos desta Norma proveem diretrizes gerais sobre metas geralmente
aceitas para a gestão da segurança da informação.
O autor Gustavo Alberto (2006), afirma que a adoção de padrões conhecidos no
mercado, como as ISO 27001 e 27002, possuem diversas vantagens. A principal é a
conformidade (compliance) dos processos corporativos com a norma, indicando aos
parceiros de negócio sua preocupação com a Confidencialidade, Integridade e
Disponibilidade da informação manipulada.
4. APRESENTAÇÃO E DISCUSÃO DOS RESULTADOS
4.1 Problemas, ameaças e as barreiras com segurança da informação.
Um dos pontos de um planejamento é a análise e reconhecimento dos reais
riscos que podemos encontrar pelo caminho. Neste sentido é demonstrado, segundo a
pesquisa da empresa Módulo (2007), os problemas que mais estiveram presentes nas
organizações e contribuíram para despender dinheiro sem retorno.
Figura 5 – Problemas que geraram perdas financeiras
Fonte: Módulo Security Solutions (2007)
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0099
11
Conhecendo os problemas, o próximo passo seria a criação da política de
segurança para tentar minimizar os prejuízos. Porém as empresas esbarram em diversas
barreiras, como relaciona a pesquisa da empresa Módulo (2007) que indica como sendo
o principal obstáculo falta de consciência dos gerentes e dos usuários, que muitas vezes
não são favoráveis à mudanças na sua rotina.
Figura 6 – Principais obstáculos para a implementação da Segurança
Fonte: Módulo Security Solutions (2007)
Seguindo a pesquisa feita pelo autor em escritórios contábeis, os problemas são
mais específicos, mas sem fugir do padrão indicado pela 10ª Pesquisa Nacional de
Segurança da Informação (2007).
Figura 7 – Problemas mais comuns em escritórios contábeis com Segurança
Fonte: Autor (2012)
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0100
12
Escritórios com até três funcionários tem como principal dificuldade de
aplicação o orçamento apertado para investimentos mais pesados, enquanto escritórios
maiores tendem a tomar atitudes de segurança, mas sem formalizar e padronizar. Nesta
pesquisa em específico as perdas de informação e o retrabalho eram no geral grande
problema devido a falha no sistema e/ou no banco de dados.
4.2 Padrões e normas mínimas para escritórios contábeis.
Levando em conta a pesquisa feita com os escritórios contábeis da região da
Grande Florianópolis e corroborando com alguns pontos da dissertação de Edison
Fontes (2011) é possível vincular aos erros e problemas encontrados neste estudo, itens
essenciais da ISO 27002 (2005) cabíveis a situação destes escritórios. Segue os itens e
uma breve explanação:
Quadro I – Itens Mínimos da NBR ISO/IEC 27002 Indicado a Escritórios
Contábeis
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0101
13
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0102
14
4.3 Exemplo de Política e Normas da Segurança da Informação voltado à
contabilidade.
O objetivo de uma política ou norma é repassar a informação aos colaboradores
de como deverá funcionar a sistemática da empresa, quais os cuidados e detalhes de
funcionamento. A linguagem deve ser clara, objetiva e interessante ao leitor, com o
intuito de se fazer entender facilmente como recomenda Edison Fontes (2012): “escreva
para o seu público”.
Com o auxílio de diversos modelos do Sr. Edison Fontes (2012) e aplicando os
itens essenciais levantados como específicos para escritórios contábeis, segue um
exemplo de política de segurança da informação formalizada. Lembrando que os pontos
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0103
15
são de acordo com as pesquisas e não são necessariamente aplicáveis a qualquer
negócio ou escritório.
EXEMPLO
POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO
1. OBJETIVO
Definir normas e procedimentos para tratamento e precauções sobre informações
geradas, armazenadas e manipuladas nos meios lógicos e físicos no ambiente do
escritório.
2. ABRANGÊNCIA
Esta política é aplicável a todos os usuários (gerentes, contadores, colaboradores,
estagiários, clientes e fornecedores) da informação que estejam vinculados de alguma
forma ao escritório.
3. IMPLEMENTAÇÃO
Serão escolhidos representantes responsáveis pela Gestão da Segurança da Informação,
estes farão a implementação e manutenção para continuidade da política de segurança.
Terão o rotulo de Gerente de Segurança da Informação (GSI), este pode indicar
subgerentes a fim de auxiliar na aplicação e controle da política.
4. PROCEDIMENTOS E RESPONSABILIDADES
4.1 Declaração de Responsabilidade
Todos os usuários devem preencher a Declaração de Responsabilidades, com o intuito
de se declarar ciente de seus direitos e obrigações sobre uso de equipamentos, acessos
físicos e lógicos e disseminação de informações de caráter interno do escritório, tanto
durante o período de contrato com o escritório como após o termino.
4.2 Término de Contrato
O GSI tem a responsabilidade de aplicar os procedimentos a seguir no momento da
saída de algum colaborador ou termino de contrato com algum cliente ou fornecedor:
- Devolução de equipamentos e documentos do escritório;
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0104
16
- Devolução de chaves e cartões da empresa;
- Exclusão de login e senha dos usuários nos sistemas; e
- Aplicação da Declaração de confidência.
Obs. A declaração de confidência especifica pontos sobre a divulgação de informações
internos da empresa a concorrentes diretos e/ou clientes e fornecedores.
4.3 Acessos Físicos
Fica o GSI responsável por rotular documentos e informações, bem como o banco de
dados da empresa, pela importância e aplicar a segurança física sobre estes, as chaves de
acesso ficarão exclusivamente com o GSI.
4.4 Segurança dos Equipamentos
Com a frequência trimensal o Gerente de Segurança deverá contratar um Técnico em
Computadores e Redes com a finalidade de analisar o funcionamento da estrutura de
cabeamento e os equipamentos, fica também responsável pela contratação quando de
ocorrência de sinistros sem previsão.
4.5 Planejamento e Aceitação do Sistema
Juntamente com a alta gerência e supervisores dos colaboradores o GSI fará análises
com frequência semestral nos sistemas utilizados e na estrutura de banco de dados, com
o intuito de aplicar uma estrutura condizente com as necessidades futuras do escritório.
4.6 Cópias de Segurança
Serão realizadas cópias de segurança duas vezes ao dia, um no período de almoço dos
usuários e outro ao final do expediente. Estas cópias ficarão em três locais:
- Servidor local;
- Discos Rígidos (HD) externos; e
- Servidor em nuvem (Internet).
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0105
17
O Gerente de Segurança será responsável pela contratação do servidor em nuvem e terá
posse exclusiva do HD externo. O GSI terá que uma vez por semana testar as cópias de
segurança.
4.7 Acessos Lógicos
Fica o Gerente de Segurança responsável por indicar subgerente pelo cadastro de
usuário no sistema utilizado pelo escritório, bem como aplicar controle geral de senhas,
privilégios de uso e restrição a informações.
4.8 Monitoramento e Controle
O Gerente é exclusivo responsável pelo controle permanente desta política e poderá
fazer uso de processo de registro de eventos (LOG) a todos os usuários com o objetivo
de analisar futuros problemas e ocorrências.
5. CUMPRIMENTO
O não cumprimento dos procedimentos e responsabilidades apontados nesta política
acarretará penas administrativas, contratuais e até legais. Cabendo demissão de
colaboradores e/ou rescisão de contrato com clientes e fornecedores.
Em caso de situações não previstas, os usuários poderão preencher a Ficha de Sugestões
e encaminhar para análise do GSI e gerencia.
Dúvidas e maiores informações ficarão a cargo do gerente de segurança da informação.
Assim temos um exemplo simples, porém abrangente, pois inclui praticamente
todos os itens relevantes indicados pela pesquisa para aplicação de uma política de
segurança da informação em escritórios contábeis. Apesar de bem sucinta se aplica a
grande maioria dos escritórios necessitando apenas de ajustes de acordo com a
peculiaridade de cada estrutura.
4.4 Análise dos Resultados
Os problemas previstos antes da ocorrência são riscos que podem ser evitados
com uma boa política de segurança. Em muito dos casos os escritórios analisados
possuem ferramentas para evitar alguns dos gastos não orçados no planejamento
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0106
18
mensal. Porém, esses escritórios não possuem uma formalização e nem um profissional
responsável para manter a política funcionando constantemente.
Não existe a possibilidade de indicar uma política padrão capaz de se encaixar
em qualquer escritório, com o estudo foi possível levantar alguns dos problemas mais
comuns na área de contabilidade e levantar quais itens seriam aplicáveis a uma política
de segurança mais segura. Mas existe a condição de ter o investimento e priorizar a
continuidade da ideia, gerando assim a melhora contínua do processo.
Apesar de trabalhoso despender tempo e dinheiro, o processo é um esforço
necessário aos escritórios e a toda e qualquer empresa que tenha grandes perspectivas de
crescimento. A partir do artigo, pode-se observar que com uma política de segurança
bem aplicada e relacionada com os objetivos de negócio, ocorre uma maior organização
e controle do que rodeia a empresa.
5. CONSIDERAÇÕES FINAIS
Este artigo teve como principal foco levantar os pontos mais importantes no
quesito segurança da informação em escritórios contábeis. Sendo desenvolvido a partir
de um estudo em escritórios da Grande Florianópolis com o objetivo de levantar
principais problemas com segurança da informação e barreiras na aplicação de uma
política de segurança da informação.
O questionamento principal é definir quais procedimentos e padrões mínimos
devem ser adotados para a elaboração prática de uma Política de Segurança da
Informação em escritórios contábeis. Assim, foram elaborados três objetivos específicos
a fim de alcançar a resposta principal: a) Sumarizar problemas, ameaças e barreiras na
aplicação da segurança da informação em escritórios de contabilidade; b) Identificar
segundo problemas levantados os padrões mínimos da ISO 27002 a ser adotado; e c)
Esquematizar situação de exemplo com os itens selecionados.
No sentido geral, segundo as pesquisas, foi mostrado um perfil muito similar dos
escritórios analisados, demonstrando os problemas e barreira de forma idêntica. Os itens
selecionados têm como base, além da pesquisa aplicada, também casos práticos. Por
esse motivo, o artigo tende a se aplicar a praticamente qualquer escritório contábil de
forma correta.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0107
19
Os resultados obtidos foram muito positivos para indicar a evolução no quesito
conscientização com a prioridade que deve ser dada a segurança da informação. Esse
modo de pensar também vem a dispender um maior investimento nas empresas para
aumentar a confiabilidade e disponibilidade das informações.
A pesquisa teve como principais limitações: a falta de pessoal capacitado para
uma conversa mais técnica sobre o assunto Segurança da Informação e também a
abertura das informações internas do escritório pelos contadores ou gestores
responsáveis pelo estabelecimento.
Por se tratar de um assunto muito prático, a maioria da parte teórica relacionada
se baseia em estudos de caso e suas conclusões e indicações, assim como este artigo.
Porém, por se tratar de um assunto relativamente atual é necessário ainda mais
pesquisas, estudos e aplicações reais para ter uma posição mais concreta sobre o tema.
REFERÊNCIAS
ABNT, NBR ISO/ IEC 27001 Tecnologia da informação – Técnicas de segurança –
Sistema de Gestão da segurança da informação – Requisitos. Rio de Janeiro:
Associação Brasileira de Normas Técnicas, 2006.
ABNT, NBR ISO/ IEC 27002 Tecnologia da informação – Técnicas de segurança –
Código de prática para a gestão da segurança da informação. Rio de Janeiro:
Associação Brasileira de Normas Técnicas, 2005.
ALBERTIN, Alberto Luiz; PINOCHET, Luis Hernan Contreras. Política de Segurança
de Informações. Rio de Janeiro: Elsevier, 2010.
ALVES, Gustavo Alberto. Segurança da Informação – Uma Visão Inovadora da
Gestão. 1. Ed. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.
BENZ, Karl Heinz. Alinhamento estratégico entre políticas de segurança da
informação e as estratégias e práticas adotadas na TI: estudo de casos em
instituições financeiras. Porto Alegre: Universidade Federal do Rio Grande do Sul,
Dissertação de Mestrado, Programa de Pós Graduação em Administração, 2008.
CAVALCANTE, Sayonara de Medeiros. Segurança da informação no correio
eletrônico baseada na ISO/IEC 17799: um estudo de caso em uma instituição de
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0108
20
ensino superior, foco no treinamento. Natal: Universidade Federal do Rio Grande do
Norte, Dissertação de Mestrado, Programa de Engenharia de produção, 2003.
FONTES, Edison Luiz Gonçalves. Segurança da Informação: o usuário faz a
diferença. 1. Ed. São Paulo: Saraiva, 2006.
FONTES, Edison. Política de segurança da informação: uma contribuição para o
estabelecimento de um padrão mínimo. São Paulo: Centro Estadual de Educação
Tecnológica Paula Souza, Dissertação de Mestrado, Programa de Pós-Graduação em
Tecnologia, 2011.
FONTES, Edison Luiz Gonçalves. Políticas e normas para segurança da informação.
1. Ed. Rio de Janeiro: Brasport, 2012.
GONÇALVES, José Artur Teixeira. Metodologia da pesquisa. Blog do professor.
Disponível em: http://metodologiadapesquisa.blogspot.com/2009/04/conhecimento-
cientifico-e-conhecimento.html. Acesso em: 22 nov. 2012.
ISACA/ Information System Audit and Control Association/ http://www.isaca.org /
Acesso em: 11 de dezembro de 2012.
LORENS, Evandro. Aspectos normativos da segurança da informação: um modelo
de cadeia de regulamentação. Brasília: Universidade de Brasília, Dissertação de
Mestrado, Departamento de Ciência da Informação e Documentação, 2007.
MENEZES, Josué das Chagas. Gestão da segurança da informação: análise em três
organizações brasileiras. Salvador: Universidade Federal da Bahia, Dissertação de
Mestrado, Núcleo de Pós Graduação em Administração, 2005.
MENEZES, Josué das Chagas. Gestão da segurança da informação. 1. Ed. Leme:
Mizuno, 2006.
OLIVEIRA, Djalma de Pinho Rebouças. Sistemas, organização e métodos – uma
abordagem gerencial. 10. ed. São Paulo: Atlas, 1998.
PADOVEZE, Clovis Luiz. Sistemas de informações contábeis – fundamentos e
análise. 2. ed. São Paulo: Atlas, 2000.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0109
21
PELTIER, Thomas. Information Security Policies and Procedures. USA: Auerbach,
2005.
PRICEWATERHOUSECOOPERS. Pesquisa Global de Segurança da Informação.
São Paulo: PricewaterhouseCoopers, 2012.
RIBAS, Carlos Eduardo. Sistema de gestão da segurança da informação em
organizações na área da saúde. São Paulo: Universidade de São Paulo - USP,
Dissertação de Mestrado, Faculdade de Medicina, 2010.
ROZA, Fabiana Freitas Furtado. Política de segurança da informação em ambientes
hospitalares. São Caetano do Sul: Faculdade de Tecnologia, Trabalho de Conclusão de
Curso de Graduação em Tecnologia em Segurança da Informação, 2010.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1. Ed.
São Paulo: Campus, 2002.
SILVA, Terezinha Elizabeth; TOMÁEL, Maria Inês. Gestão da Informação nas
Organizações. Revista Informação&Informação, n. 12. Londrina: Universidade
Estadual de Londrina, 2007.
SILVA, Antônio Everardo Nunes Da. Segurança da Informação – Vazamento de
Informações – As informação estão realmente seguras em sua empresa. 1. Ed. Rio de
Janeiro: Editora Ciência Moderna Ltda., 2012.
TRIVIÑOS, Augusto N. S. Introdução à pesquisa em ciências sociais: a pesquisa
qualitativa em educação. São Paulo: Atlas, 1987.
VENTURINI, Yeda Regina. Modelo Ontológico de segurança para negociação de
política de controle de acesso em multidomínios. São Paulo: Universidade de São
Paulo - USP, 2006.
VIEIRA, Marcelo Milano Falcão. A Comparative study on quality management in
the Brazilian and the Scottish prison service. Scotland: University of Edinburg.
Tese (Doutorado, PhD on Business Studies). Edimburgo. 1996.
VIANEZ, Marcos S.; SEGOBIA, Roberta H.; CAMARGO, Vander. Segurança de
Informação: Aderência à Norma ABNT NBR ISO/IEC N. 17.799:2005. Revista de
Informática Aplicada, v. IV n.1- Jan./Jun., São Caetano do Sul; USCS, 2008.
10th International Conference on Information Systems and Technology Management – CONTECSI June, 12 to 14, 2013 - São Paulo, Brazil
0110