Conformidade com a norma ABNT ISO/IEC 27001-2006
um estudo de caso sobre a implementação de Sistema de Gestão da Segurança da Informação
Palavras-chave:
Política de Segurança da Informação, Sistema de Gestão de Segurança da Informação, norma técnicaResumo
Os modelos de gestão das organizações têm passado principalmente a partir de 1990, por fortes processos de inovação tecnológica, impulsionados pelo aceleramento da globalização. Executivos e gestores necessitam de soluções rápidas diante de um mundo cada vez mais globalizado. Neste contexto, a Gestão da Segurança da Informação, a qual exerce um papel extremamente importante no ambiente organizacional, está voltada a proteger a informação das constantes ameaças digitais do ambiente externo. Esta pesquisa tem como objetivo verificar a conformidade de um supermercado com os requisitos da norma 27001 da Associação Brasileira de Normas Técnicas do ano de 2006, especialmente no que tange à existência, à implementação de um Sistema de Gestão da Segurança da Informação e à Política de Segurança da Informação. A pesquisa se caracteriza como descritiva com estudo de caso e abordagem qualitativa. Os instrumentos de coleta de dados foram um questionário aplicado junto à Gerência de Tecnologia da Informação e um checklist aplicado à Coordenação de Recursos Humanos do supermercado objeto de estudo. Os resultados apontam que, apesar do supermercado adotar algumas ações de prevenção, não foi encontrado uma Política de Segurança da Informação, como também a ausência de um Sistema de Gestão da Segurança da Informação, conforme estabelece a referida norma nos itens A.5 e A.8. Para tanto, sugere-se à direção do supermercado, inserir em seu planejamento estratégico uma Política de Segurança da Informação, e tornar o supermercado menos vulnerável os ataques digitais vindos do ambiente externo.
Referências
ARAÚJO, S. G. L. A dimensão humana no processo de Gestão da Segurança da Informação: um estudo aplicado à Pró-Reitoria de Gestão de Pessoas da Universidade Federal da Paraíba. Dissertação (Mestrado em Ciência da Informação). João Pessoa: Universidade Federal da Paraíba, 2016.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT ISO/IEC 17799: 2005 - Tecnologia da informação – Código de prática para a gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: 2005 - Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão de Segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006 - Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2006.
BARBOSA, R. R. Gestão da Informação e do Conhecimento: origens, polêmicas e perspectivas. Informação & Informação, Londrina, v. 13, n. esp., p. 1-25, 2008. Disponível em: http://www.uel.br/revistas/uel/index.php/informacao/article/view/1843. Acesso em: 12 jan. 2023.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Diário Oficial da União, Brasília, DF, 05 out. 1988.
BRASIL. Decreto nº 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial da União, Brasília, DF, 30 dez. 2002.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União, Brasília, DF, 18 nov. 2011.
BRASIL. Decreto n.º 7.845, de 14 de novembro de 2012. Regulamenta procedimentos para credenciamento de segurança e tratamento de informação em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Diário Oficial da União, Brasília, DF, 16 nov. 2012.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília, DF, 24 abr. 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de Segurança Cibernética. Diário Oficial da União, Brasília, DF, 06 fev. 2020.
BRASIL. Decreto nº 10.641, de 2 de março de 2021. Altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Diário Oficial da União, Brasília, DF, 03 mar. 2021.
BRASIL. Medida Provisória nº 1.124, de 13 de junho de 2022. Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e transforma cargos em comissão. Diário Oficial da União, Brasília, DF, 14 jun. 2022a.
BRASIL. Lei nº 14.460, de 25 de outubro de 2022. Transforma a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial e transforma cargos comissionados; altera as Leis nºs 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e 13.844, de 18 de junho de 2019; e revoga dispositivos da Lei nº 13.853, de 8 de julho de 2019. Diário Oficial da União, Brasília, DF, 26 out. 2022b.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. 13 reimpr. São Paulo: Atlas, 2009.
GOBACKLOG. Varejo supermercadista e perspectiva sobre o crescimento no Brasil. [S.l.]: Gobacklog.com, 2020. Disponível em: https://www.gobacklog.com/varejo-supermercadista. Acesso em: 11 jan. 2023.
IG TECNOLOGIA. Brasil é o 5º país do mundo mais afetado por crimes cibernéticos. [S.l.]: iG Tecnologia, 2023. Disponível em: https://tecnologia.ig.com.br/2023-04-15/brasil-quinto-pais-mais-afetado-crimes-ciberneticos.html. Acesso em: 29 set. 2024.
MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da Informação: uma visão sistêmica para implantação nas organizações. João Pessoa: Editora da UFPB, 2019.
MENDES, R. R. et al. Uma metodologia para implantação de um Sistema de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. Revista Principia, João Pessoa, nº 22, p. 69-80, 2013. Disponível em: https://periodicos.ifpb.edu.br/index.php/principia/article/view/158/128. Acesso em: 16 jan. 2023.
MINAYO, Cecília de Souza. Pesquisa social: teoria, método e criatividade. Petrópolis: Vozes, 2016;
SANTOS, V. O. dos; BALDINI FILHO, R. Um modelo de Sistema de Gestão da Segurança da Informação baseado nas normas ABNT NBR ISO/IEC 27001: 2006, 27002:2005 e 27005: 2008. Revista de Telecomunicações, [S.l.], v. 15, n. 1, p. 1-6, 2013. Disponível em: https://www.inatel.br/revista/busca/288-um-modelo-de-sistema-de-gestao-da-seguranca-da-informacao14301-s147497-1/file. Acesso em: 16 jan. 2023.
TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Boas práticas em Segurança da Informação. 4. ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2013.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Copyright (c) 2024 Revista Analisando em Ciência da Informação
Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
As publicações da RACIn estão licenciados sob a Licença Creative Commons CC BY-NC.