DESTAQUE

 
t157_02_atit.gif (3341 bytes)

 

 

 

"Houve engajamento do comitê e muitas ações já estão mapeadas. Estamos na fase de implantação." Sérgio Mendes - SUPAC

 

 

 

 

 

 

 


t157_02_aatit.gif (110 bytes)

Manter a empresa atualizada e alerta com a questão é função dos Centros de Especialização em Segurança. O papel desses centros é de se preocupar com a prevenção de problemas e falhas, estando sempre atentos para situações de emergência. Partindo da premissa que não existe segurança 100%, mas de um risco iminente que tende a zero, nenhum centro de especialização pode trabalhar focado simplesmente na prevenção. Uma política de segurança voltada unicamente para este objetivo, sem explorar a fatia de risco, fica sem recursos nos momentos de emergência.

A tendência atual é que as empresas tenham seus representantes internos da área de segurança, que possam interagir com empresas terceirizadas, realmente especializadas no assunto. Os centros de especialização trabalham internamente e atuam em parceria com grandes empresas, que tenham as soluções de segurança como atividade principal. Os planos de contingência e as soluções são discutidas e planejadas em conjunto e a empresa terceirizada coloca tudo em prática. Dessa forma, a qualidade dos serviços é garantida e a economia de tempo e dinheiro é grande.

Acompanhando as tendências de mercado, o Serpro criou, este ano, o CESE - Centro de Especialização em Segurança -, que nasceu da fusão do CESEG - Centro de Segurança - com o CEA - Centro de Especialização em Antivírus. Sérgio Peixoto Mendes, chefe da Divisão Operacional e Tecnológica da Superintendência de Atendimento a Clientes - SUPAC, conta que, em termos estruturais, todas as atividades estão sendo mapeadas e as informações concentradas na intranet do Serpro, para que qualquer empregado possa consultar. "Nossas ações anteciparam e preveniram uma série de eventos de contaminação. Além disso, mantemos alguns veículos de comunicação ativos que são os boletins e os informes técnicos, através dos quais divulgamos notícias relacionadas ao assunto segurança (periodicidade semanal) e damos comandos de ações para os administradores das nossas 700 redes externas", explica.

Ao planejar a criação do Centro, a idéia era torná-lo referencial de excelência, tendo como missão principal garantir a segurança da informação com ênfase em redes locais, sem perder a visão corporativa que exige ações tanto no âmbito interno quanto externo (clientes). Foram estabelecidos alguns fatores críticos para o sucesso - conhecimento das principais vulnerabilidades, domínio de algumas ferramentas e de técnicas de auditoria - e um objetivo de prover o Serpro e clientes de uma estrutura capaz de propor normas, planejar e organizar a implantação e manutenção de soluções voltadas à segurança.

Sérgio enfatiza o envolvimento direto da alta direção da Empresa com o assunto, que liberou investimentos para a elaboração da Política de Segurança. "Houve engajamento do nosso comitê de segurança e muitas ações já estão mapeadas. Estamos na fase de implantação em âmbito nacional e multi-superintendência, mas ainda falta superar alguns obstáculos e percorrer boa parte do caminho". Quanto à prioridade da questão, Sérgio é enfático: "diria que só não é maior do que a necessidade dos nossos clientes, que é a nossa principal força motriz".

AS NORMAS INTERNACIONAIS

Um tema que influencia diretamente o faturamento de grandes empresas ao redor de todo o mundo não poderia ficar sem uma normatização, que estabelecesse parâmetros de gerenciamento. Pensando nisso, a Inglaterra criou a BS 7799, norma que define as melhores práticas de segurança, desenvolvida nos critérios europeus.

Com a visibilidade que a questão foi ganhando, a ISO - International Organization for Standartization - decidiu criar, no ano passado, uma nova norma de segurança que atendesse a critérios mundiais. Como de costume, primeiro ela se apoiou em uma norma já existente - a BS 7799 - e formou comitês em vários países, que estudaram a norma européia e recomendaram alterações que a adaptassem mundialmente.

Em dezembro do ano passado, após a entrega de todas as sugestões, foi formalizada a primeira norma ISO para segurança, chamada ISO 17799-1, que regula as melhores práticas da gestão da segurança da informação ao redor do mundo. Logo em seguida, em abril deste ano, foi criada a versão brasileira da norma, NBR 17799-1, com variáveis que abordam 10 pontos principais:

  1. Política de Segurança da Informação;
  2. Organização da Segurança dentro da empresa;
  3. Classificação de informações e controle dos ativos
  4. Segurança aplicada a recursos humanos;
  5. Segurança física e do ambiente;
  6. Gerenciamento das operações e das comunicações;
  7. Controle de acesso;
  8. Manutenção e desenvolvimento de sistemas;
  9. Gerenciamento da continuidade;
  10. Conformidade com leis e regulamentos

Com toda essa reviravolta na normatização da segurança, prevê-se um movimento de corrida semelhante ao que já foi experimentado no Brasil com normas de qualidade: "O movimento de dependência e cobrança já experimentado no Brasil com a ISO ligada à qualidade também vai acontecer com a segurança. A criação da norma vai acelerar o processo e, em pouco tempo, empresas vão aderir a ISO e vão começar a cobrar de seus parceiros na cadeia produtiva esse mesmo posicionamento", diz o consultor de segurança Marcos Sêmola. A busca por critérios e políticas de segurança se institucionalizará de vez..
.

.