Este documento discute os desafios de implantar controles de acesso físico de acordo com uma Política de Segurança da Informação em uma organização. Ele apresenta a importância da segurança da informação e da governança de TI alinhada com as necessidades do negócio. O objetivo é fornecer diretrizes para a elaboração e implementação efetiva de normas de acesso físico na Política de Segurança da Informação de uma empresa.
1. FACULDADE DE TECNOLOGIA
DE SÃO CAETANO DO SUL
CARLA DIAS DA SILVA
O DESAFIO DE SE IMPLANTAR O ACESSO FÍSICO POR MEIO DE UMA
POLITICA DE SEGURANÇA DA INFORMAÇÃO
SÃO CAETANO DO SUL/SÃO PAULO
2014
2. CARLA DIAS DA SILVA
O desafio de se implantar o acesso físico por meio de uma Política de
Segurança da Informação
Trabalho de Conclusão de Curso apresentado à
Faculdade de Tecnologia de São Caetano do Sul,
sob a orientação do Professor MSc. Adilson
Ferreira da Silva como requisito parcial para a
obtenção do diploma de Graduação no Curso de
Segurança da Informação.
SÃO CAETANO DO SUL/SÃO PAULO
2014
4. 4
INTRODUÇÃO
Apresentação do tema
Este Projeto visa facilitar a forma de introduzir o tema a ser desenvolvido na
disciplina de Projeto de Graduação I quanto aos desafios enfrentados pelas
organizações ao implantar o Acesso Físico proposto na Política de Segurança da
Informação.
Ciente que nos dias atuais, a informação é tida como o ativo mais importante
dentro das organizações, por ganhar tamanha importância, existe uma grande
preocupação em garantir a sua segurança.
De acordo com o material disponibilizado pela Tribunal de Contas da União:
“Boas práticas em segurança da informação”:
A segurança de informações visa garantir a integridade,
confidencialidade, autenticidade e disponibilidade das informações
processadas pela instituição. A integridade, a confidencialidade e a
autenticidade de informações estão intimamente relacionadas aos
controles de acesso.
Diante dessa situação, a Segurança da Informação torna-se uma ferramenta
obrigatória dentro das organizações que buscam soluções que proteja seus ativos,
sendo necessário e indispensável que a organização possua uma Política de
Segurança da Informação.
Um grande desafio enfrentado pelos gestores é fazer com que a Política esteja
bem alinhada com as necessidades de negócio da empresa, porém, o desafio é maior
levando-se em conta que, além de diretrizes, normas e procedimentos bem
estruturados, acrescenta-se outro ponto, o ativo de pessoas, além de ciente de suas
competências e responsabilidades gerais, devem zelar e estar envolvidos para que
atuem em conformidade com a Política de Segurança da Informação.
Objetivo
5. 5
Garantir a Segurança da Informação tornou-se uma necessidade estratégica de
negócio, diante disso o trabalho irá buscar soluções que possam auxiliar as empresas
para elaboração de diretrizes, normas e procedimentos de Controle de Acesso Físico e
auxilia-las para colocar em prática tais itens presentes na Política de Segurança.
Problema
As dificuldades enfrentadas pela Equipe de Segurança da Informação enfrenta
dificuldades ao elaborar sua Política de Segurança da Informação levando em
consideração a implantação de Controles de Acesso Físico e também enfrenta
problemas ao colocar em prática tais normas e procedimentos descritos na PSI.
Hipótese
Ciente de que a implantação de diretrizes, normas e procedimentos de Controles
de Acesso Lógico é um grande desafio enfrentado pela Equipe de Segurança da
Informação, propõe-se que exista uma Governança de TI alinhada com as
necessidades de negócio e com os objetivos da Equipe de Segurança da Informação
Justificativa
Sendo a Segurança da Informação um aspecto muito amplo e complexo, é
necessário que a organização além de ter uma Política de Segurança, garanta que ela
esteja bem estruturada e alinhada com as necessidades do negócio, com normas e
regras bem definidas.
Muito se discute sobre a importância do Controle de Acesso Físico dentro das
organizações, com isso torna-se necessário garantir um melhor gerenciamento de
controle para manter a segurança física. São muitos espaços a serem protegidos como:
prédios, geradores, cofres, data center, entre outros.
A ISO 27002 recomenda que seja elaborado um projeto de segurança para se
garantir a proteção física dos espaços e controlar o acesso físico de acordo com a
especificações.
6. 6
Metodologia
O desenvolvimento do Projeto se dará da seguinte forma:
Pesquisa bibliográfica sobre Segurança da Informação;
Pesquisa bibliográfica sobre Gestão de Segurança da Informação;
Pesquisa bibliográfica sobre Políticas de Segurança da Informação;
Análise de Políticas de Segurança da Informação já existentes;
Análise de casos de sucesso;
Pesquisa qualitativa com profissionais de TI;
Resultados esperados
Espera-se que o Projeto possa dar um suporte positivo para as organizações
conseguirem elaborar sua Política de Segurança da Informação de acordo com as
necessidades do negócio e, também auxilia-las em suas dificuldades de colocar em
prática normas de segurança de acesso físico propostas em sua Política de Segurança
da Informação.
Cronograma
Primeiro Semestre de 2014
Fev/13 Mar/13 Abr/13 Mai/13 Jun/13
Levantamento bibliográfico
Revisão Projeto
Entrega do Projeto
Entrega 1° Capítulo
7. 7
Escrita do trabalho monográfico
Escrita do trabalho monográfico
Revisão e entrega de 50% do trabalho
Segundo Semestre de 2014
01/08
a
15/08
16/08
a
01/09
01/09
a
15/09
16/09
a
01/10
01/10
a
15/10
16/10
a
01/11
01/11
a
15/11
16/11
a
01/12
01/12
a
15/12
Coleta de dados para Capítulo 2
Redação do Capítulo 2
Coleta de dados para Capítulo 3
Redação do Capítulo 3
Coleta de dados para Capítulo 4
Redação do Capítulo 4
Revisão Completa
Entrega do Trabalho Final
8. 8
1. Política de Segurança da Informação
2. Desafios de implantar
3. Casos de sucesso
9. 9
Referências
TRIBUNAL DE CONTAS DA UNIAO. Boas práticas em segurança da informação.
Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
Governança de TI: da estratégia à gestão dos processos e serviços. São Paulo:
Brasport, 2008.
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu de. Política de
Segurança da Informação. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.
LYRA, Maurício Rocha. Segurança e Auditoria de Sistemas de Informação. Rio de
Janeiro: Editora Ciência Moderna Ltda., 2008.
THOMÉ, Maria Luiza et al.
SÊMOLA, Marcos. Gestão da Segurança da Informação: visão executiva da
segurança da informação. Rio de Janeiro: Elsevier, 2003.