Conformidade com a norma ABNT ISO/IEC 27001-2006

um estudo de caso sobre a implementação de Sistema de Gestão da Segurança da Informação

Autores

Palavras-chave:

Política de Segurança da Informação, Sistema de Gestão de Segurança da Informação, norma técnica

Resumo

Os modelos de gestão das organizações têm passado principalmente a partir de 1990, por fortes processos de inovação tecnológica, impulsionados pelo aceleramento da globalização. Executivos e gestores necessitam de soluções rápidas diante de um mundo cada vez mais globalizado. Neste contexto, a Gestão da Segurança da Informação, a qual exerce um papel extremamente importante no ambiente organizacional, está voltada a proteger a informação das constantes ameaças digitais do ambiente externo. Esta pesquisa tem como objetivo verificar a conformidade de um supermercado com os requisitos da norma 27001 da Associação Brasileira de Normas Técnicas do ano de 2006, especialmente no que tange à existência, à implementação de um Sistema de Gestão da Segurança da Informação e à Política de Segurança da Informação. A pesquisa se caracteriza como descritiva com estudo de caso e abordagem qualitativa. Os instrumentos de coleta de dados foram um questionário aplicado junto à Gerência de Tecnologia da Informação e um checklist aplicado à Coordenação de Recursos Humanos do supermercado objeto de estudo. Os resultados apontam que, apesar do supermercado adotar algumas ações de prevenção, não foi encontrado uma Política de Segurança da Informação, como também a ausência de um Sistema de Gestão da Segurança da Informação, conforme estabelece a referida norma nos itens A.5 e A.8. Para tanto, sugere-se à direção do supermercado, inserir em seu planejamento estratégico uma Política de Segurança da Informação, e tornar o supermercado menos vulnerável os ataques digitais vindos do ambiente externo.

Biografia do Autor

Salomão Neves Filho, Centro de Dinâmica de Grupo e Relações Humanas de Recife

Mestre em Ciência da Informação pela Universidade Federal da Paraíba (UFPB), especialista em Gestão de Pessoas pelo Centro Universitário de João Pessoa (UNIPÊ) e graduado em Administração pela UFPB. Atualmente, é facilitador de dinâmica de grupo pelo Centro de Dinâmica de Grupo e Relações Humanas de Recife.

Sânderson Lopes Dorneles, Universidade Estadual da Paraíba (UEPB)

Mestre em Ciência da Informação pela Universidade Federal de Pernambuco (UFPE), especialista em Arquivo e Patrimônio pela Universidade Salgado de Oliveira e bacharel em Arquivologia pela Universidade Federal de Santa Maria (UFSM). Atualmente, é professor do curso de Arquivologia da Universidade Estadual da Paraíba (UEPB) e arquivista do Instituto Federal da Paraíba (IFPB).

Referências

ARAÚJO, S. G. L. A dimensão humana no processo de Gestão da Segurança da Informação: um estudo aplicado à Pró-Reitoria de Gestão de Pessoas da Universidade Federal da Paraíba. Dissertação (Mestrado em Ciência da Informação). João Pessoa: Universidade Federal da Paraíba, 2016.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT ISO/IEC 17799: 2005 - Tecnologia da informação – Código de prática para a gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: 2005 - Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão de Segurança da Informação. Rio de Janeiro: ABNT, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006 - Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2006.

BARBOSA, R. R. Gestão da Informação e do Conhecimento: origens, polêmicas e perspectivas. Informação & Informação, Londrina, v. 13, n. esp., p. 1-25, 2008. Disponível em: http://www.uel.br/revistas/uel/index.php/informacao/article/view/1843. Acesso em: 12 jan. 2023.

BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Diário Oficial da União, Brasília, DF, 05 out. 1988.

BRASIL. Decreto nº 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial da União, Brasília, DF, 30 dez. 2002.

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União, Brasília, DF, 18 nov. 2011.

BRASIL. Decreto n.º 7.845, de 14 de novembro de 2012. Regulamenta procedimentos para credenciamento de segurança e tratamento de informação em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Diário Oficial da União, Brasília, DF, 16 nov. 2012.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília, DF, 24 abr. 2014.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.

BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de Segurança Cibernética. Diário Oficial da União, Brasília, DF, 06 fev. 2020.

BRASIL. Decreto nº 10.641, de 2 de março de 2021. Altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Diário Oficial da União, Brasília, DF, 03 mar. 2021.

BRASIL. Medida Provisória nº 1.124, de 13 de junho de 2022. Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e transforma cargos em comissão. Diário Oficial da União, Brasília, DF, 14 jun. 2022a.

BRASIL. Lei nº 14.460, de 25 de outubro de 2022. Transforma a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial e transforma cargos comissionados; altera as Leis nºs 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e 13.844, de 18 de junho de 2019; e revoga dispositivos da Lei nº 13.853, de 8 de julho de 2019. Diário Oficial da União, Brasília, DF, 26 out. 2022b.

GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. 13 reimpr. São Paulo: Atlas, 2009.

GOBACKLOG. Varejo supermercadista e perspectiva sobre o crescimento no Brasil. [S.l.]: Gobacklog.com, 2020. Disponível em: https://www.gobacklog.com/varejo-supermercadista. Acesso em: 11 jan. 2023.

IG TECNOLOGIA. Brasil é o 5º país do mundo mais afetado por crimes cibernéticos. [S.l.]: iG Tecnologia, 2023. Disponível em: https://tecnologia.ig.com.br/2023-04-15/brasil-quinto-pais-mais-afetado-crimes-ciberneticos.html. Acesso em: 29 set. 2024.

MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da Informação: uma visão sistêmica para implantação nas organizações. João Pessoa: Editora da UFPB, 2019.

MENDES, R. R. et al. Uma metodologia para implantação de um Sistema de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. Revista Principia, João Pessoa, nº 22, p. 69-80, 2013. Disponível em: https://periodicos.ifpb.edu.br/index.php/principia/article/view/158/128. Acesso em: 16 jan. 2023.

MINAYO, Cecília de Souza. Pesquisa social: teoria, método e criatividade. Petrópolis: Vozes, 2016;

SANTOS, V. O. dos; BALDINI FILHO, R. Um modelo de Sistema de Gestão da Segurança da Informação baseado nas normas ABNT NBR ISO/IEC 27001: 2006, 27002:2005 e 27005: 2008. Revista de Telecomunicações, [S.l.], v. 15, n. 1, p. 1-6, 2013. Disponível em: https://www.inatel.br/revista/busca/288-um-modelo-de-sistema-de-gestao-da-seguranca-da-informacao14301-s147497-1/file. Acesso em: 16 jan. 2023.

TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Boas práticas em Segurança da Informação. 4. ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2013.

Downloads

Publicado

2024-11-20

Como Citar

Neves Filho, S., & Dorneles, S. L. (2024). Conformidade com a norma ABNT ISO/IEC 27001-2006: um estudo de caso sobre a implementação de Sistema de Gestão da Segurança da Informação. Revista Analisando Em Ciência Da Informação, 12(2), 36–50. Recuperado de https://revista.uepb.edu.br/racin/article/view/4074